绿盟科技技术博客

【安全漏洞】CVE-2017-12629 – Apache Solr XXE & RCE 漏洞分析

2017-10-24高东Apache Solr, Apache Solr RCE, Apache Solr XXE, CVE-2017-12629, 漏洞分析

Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发，主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现。此次7.1.0之前版本总共爆出两个漏洞：XML实体扩展漏洞（XXE）和远程命令执行漏洞（RCE）。

【绿盟大讲堂】电商类WEB安全七宗罪

2017-10-24王陶然Web安全, Web安全漏洞, web漏洞, 内网渗透, 撞库攻击, 电商网站安全, 社会工程学, 网站安全, 越权漏洞, 逻辑缺陷, 金额篡改

图文细数电商类Web安全七宗罪：内网渗透、逻辑缺陷、常规Web漏洞、撞库攻击、金额篡改、越权操作、社会工程。告诉你各项风险的渗透重点以及应对措施，教你避免安全风险的编码原则。传统网站也适用！

【安全报告】网络安全威胁月报 201710

2017-10-24绿盟科技ddos攻击事件, 安全会议, 绿盟科技博客, 绿盟科技漏洞库, 高危漏洞

绿盟科技网络安全威胁周报及月报系列，旨在简单而快速有效的传递安全威胁态势，呈现重点安全漏洞、安全事件、安全技术。获取最新的威胁月报，请访问绿盟科技博客 https://blog.nsfocus.net/

【前沿趋势】Gartner安全峰会2017见闻

2017-10-23刘文懋Gartner, gartner 2017, gartner 中国, Gartner安全峰会, Gartner安全峰会2017, gartner报告, gartner曲线, Gartner预测, gartner魔力象限, gartner魔力象限 2017

Gartner每年都会在华盛顿National Harbor召开安全峰会，主要面向Gartner的客户，即企业的CIO/CISO们。在将近一周的时间内，咨询师们会密集地向客户介绍Garnter新的研究成果，例如行业发展趋势、安全防护思想、每个领域成熟度和相关厂商，等。Gartner咨询师都有十多年的行业经验，通过对客户、厂商和市场的交流、调查和分析，形成了自己的评估方法和模型，产出一系列安全领域的报告（Cool vendor、Hype cycle等）。一方面，对行业的发展做出了预测，另一方面，也对厂商技术路线和客户采购产生了影响。

那么今年Gartner峰会给我们带来了哪些信息呢，我接下来会从整体原则、变化趋势和细分领域三方面进行分析。