诚信网安为百安俱乐部做技术交流
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://trustsec.blog.51cto.com/305338/58962 |
下午2点左右,北京的技术爱好者碌碌续续到达上地菊园的八维计算机培训基地。在培训基地的CCIE培训室外面,聚集了来自启明星辰、绿盟科技、德国电信、中石油、江民科技、锐捷、北信源、Juniper、北软世纪、MOTO等公司的一些技术爱好者。这些技术爱好者想通过这种技术交流方式增加自己对主流攻击技术的了解,便于在工作中更好地掌握技术。由于交流场地是免费借用八维计算机的CCIE培训室,正好赶上八维内部员工在培训室中开会,因此只好在培训室外面聚集等待。后来通过组织人员老蒋跟八维的开会人员交涉,才使得我们的技术交流得以进一步的开展。
技术交流之前,组织人老蒋简要介绍百安俱乐部的历史,以及近期还会开展的一些活动内容,希望更多的技术爱好者参与进来,一起交流、一起学习、一起进步!
叶子先开始做SQL注入攻击的技术交流。当然,叶子利用这个机会也宣传了一下诚信,网安团队。诚信网安以渗透评估和应急响应服务为主,围绕服务开展漏洞挖掘、恶意代码检测、取证分析、安全加固的技术研究课题,打造一流的、专业的渗透评估和应急响应服务团队。叶子首先介绍了近几年攻击技术的发展趋势,从早期的溢出攻击到SQL注入攻击,再到XSS攻击的历史;SQL注入攻击的原理;SQL注入攻击带来的危害;SQL注入攻击国内常用的工具,以及工具实现的技术原理;SQL注入攻击的防范手段。在SQL注入攻击的介绍过程中,叶子结合自己以前做过的渗透评估项目的经验,以及对各种不同开发语言的防范手段做了详细的说明。最后叶子告诉大家,SQL注入的工具不能发现所有的问题,对于SQL注入的检测还是要依靠手工发现,依靠专业人员的经验。并且建议每年定期对Web站点做SQL注入检查。中场休息10分钟,技术爱好者自由活动。
接着叶子做XSS的技术交流。XSS攻击技术门槛低,使用者容易掌握的技术,但由于需要跟社会工程学结合起来使用,所以常被研究人员忽略。然而近年来研究发现,XSS已经成为Web站点的首要危害,XSS攻击带到很大的安全隐患。XSS攻击影响客户端的安全,XSS攻击导致cookie信息、用户账号、密码等敏感信息被窃取;XSS蠕虫的传速传播导致大量Web站点成为肉鸡。叶子介绍了XSS的基本概念;XSS危害性的认识;XSS的攻击分类、攻击流程、攻击的不同方式;XSS的防范方式以及微软的XSS检测工具――XSSDetect。叶子介绍了XSS窃取gmail的cookie、discuz的XSS攻击等;SQL注入攻击和XSS攻击的共同点和不同点。最后叶子跟参会人员对一些新技术的发展趋势做了进一步的交流。
技术交流的最后活动是每位参与人员做简要的自我介绍,让到场的人员互相了解,互相熟悉。通过技术交流活动,不仅学到一些技术的知识,又能结交到更多的安全技术人员。 百安俱乐部 成立于2004年,至令举办过多次的技术交流活动,在北京的安全技术圈子中小有名气。百安俱乐部每月推出一期的安全技术交流,为北京的安全技术爱好者提供交流的平台。 本文出自 “叶子” 博客,请务必保留此出处http://trustsec.blog.51cto.com/305338/58962 本文出自 51CTO.COM技术博客 |
zrxin
博客统计信息
热门文章
最新评论
友情链接
