中国电信安全帮 绿盟科技帮安全

7月1日,北京。继1月份与中国电信签署战略合作协议后,绿盟科技持续与其云安全产品研发领域开展合作,为电信“安全帮”提供服务支撑,包括Web安全监测及防御、DDoS防御、云SaaS服务能力研发,这表明绿盟科技及其云安全服务平台“绿盟云”正逐步完善其生态系统。 阅读全文 “中国电信安全帮 绿盟科技帮安全” »

从网络安全法草案看关键信息基础设施安全

27日,全国人大21次会议再次审议中国网络安全法,其中涉及关键信息基础设施安全的内容引人关注。长期以来,社会各界十分关注网络安全,强烈要求依法加强网络空间治理,规范网络信息传播秩序,惩治网络违法犯罪,使网络空间清朗起来。全国人大代表也提出许多议案、建议,呼吁出台网络安全相关立法。为适应国家网络安全工作的新形势新任务,落实党中央的要求,回应人民群众的期待,十二届全国人大常委会把制定网络安全方面的立法列入立法工作计划中。

阅读全文 “从网络安全法草案看关键信息基础设施安全” »

翻译:提升关键基础设施网络安全框架

美国的国家与经济安全取决于关键基础设施是否可靠运行。越来越多的关键基础设施系统接入网络,日益复杂,成为网络安全威胁的利用因素,置国家安全、经济以及公共安全与健康于风险之中。与金融和信誉风险类似,网络安全风险会使公司成本上升,收入下降,最终影响公司的运营结果。它还会损害组织的创新能力,妨碍其争取并留住客户。
阅读全文 “翻译:提升关键基础设施网络安全框架” »

Struts2 S2-037(CVE-2016-4438)漏洞分析

昨天pkav发布了一个关于S2-037(CVE-2016-4438)的漏洞分析(好像是他们提交的?),和S2-033一样也是关于rest插件导致method变量被篡改造成的远程代码执行漏洞,而且不需要开启动态方法调用便可利用。之前因为手边琐碎的事情不断,而且感觉rest插件配置有点麻烦,就没有跟S2-033这个鸡肋。但是没想到居然还有后续,这次是想偷懒也没得躲了╮(╯▽╰)╭,下面就让我们来看看这个漏洞到底是个什么玩意儿~~ 阅读全文 “Struts2 S2-037(CVE-2016-4438)漏洞分析” »

Struts2远程代码执行漏洞(S2-037)技术分析与防护方案

继Apache Struts S2-033后,Apache官方披露了一个新的高级别漏洞,影响范围比S2-033更广。无论是否在开启动态方法调用(Dynamic Method Invocation)的情况下,攻击者使用REST插件调用恶意表达式均可以远程执行代码。
此漏洞编号为 CVE-2016-4438,定名为 S2-037。
阅读全文 “Struts2远程代码执行漏洞(S2-037)技术分析与防护方案” »