跨站请求伪造攻击:CSRF安全漏洞

在前面关于web安全系列的文章中，我们介绍了SQL注入攻击和跨站脚本攻击XSS，以及开发人员相应的防范手段。在这里，我们要探讨一下另一类常见的Web攻击手段：CSRF（Cross-site request forgery），即跨站请求伪造攻击。

Windows Vista安全特性分析:改进和局限(下)

微软的新一代操作系统VISTA除了在UI逻辑方面的改变以外,另一个值得关注的是它安全策略,本文对于从事于系统维护的是有直接帮助的,也会加深我们对VISTA的理解。

安全编码实践三：C/C++静态代码分析工具Prefast

Prefast是微软研究院提出的静态代码分析工具。本文阐述了与之相关的技术。

安全编码实践之五 地址空间格局随机化ASLR

概述 在前面安全编码实践中我们介绍过GS编译选项和缓存溢出，以及数据保护DEP。首先，缓存溢出的直接后果就是可能导致恶意代码的远程执行，于是编译器提供了GS保护。但是，GS选项有自身的局限，存在若干方法可以绕过GS选项的保护。于是进一步，操作系统提供了数据执行保护，即DEP，以及与之对应的NXCOMPAT编译选项。

2006年计算机安全发展最新趋势

2006。对于计算机安全而言，可以说是喜忧参半的一年。一方面，计算机病毒和间谍软件的攻击方式、范围和目的产生了一定变化，变得更加难以防范。而与此同时。操作系统和重要应用软件的安全漏洞仍然层出不穷。另一方面，主流的软件厂商针对最新的威胁也推出了一系列相应的对抗措施。

安全编码实践:数据页面保护

概述 在前一期的安全编码实践中我们谈到GS编译选项和缓存溢出。缓存溢出的直接后果就是可能导致恶意代码的远程执行。GS选项存在自身的局限，例如，有若干方法可以绕过GS选项的保护。

安全编码实践之GS编译选项和缓存溢出

GS编译选项可以有效降低缓存溢出安全漏洞的危害程度,作者推荐,在软件开发中,使用GS编译选项。

Web安全开发：SQL注入攻击和网页挂马

SQL注入攻击是最为常见的网站攻击的手段。本文剖析了这一攻击手法,并给出了在代码中采用的相应防范措施。概述网页挂马这个话题想来大家并不陌生。为什么有这么多的网页上存在着木马去攻击普通用户？不可否认,相当一部分网页原本就是恶意的：网页的作者故意在上面放上木马,然后通过各种手段引诱用户去浏览。

享受WPA和PEAP带来的安全 两强联手构筑安全的WLAN

安全因素往往是企业在部署WLAN的时候考虑最多的事情。使用本文介绍的两种加密技术，将有效保护你的无线网络。

MOSS 2007的安全特性

在建立内部协作站点时充分利用MOSS 2007的安全特性，能够确保这些站点的安全，并提供审计跟踪，显示用户对站点内容的访问。

混合环境中如何使用IPSec实施SDI 将SDI延伸到UNIX和Linux系统

本文介绍了如何配置UNIX和Linux操作系统利用预共享密钥使用IPSec。从而使得出入站连接都支持“服务器和域隔离（Server and Domain Isolation，SDI）”。

Microsoftoft Office SharePoint Server2007和RMS在MOSS中为敏感文档设置权限

MOSS的“信息权限管理（Information Rights Management，IRM）”功能允许管理员和用户控制其他人在SharePoint中和下载之后如何使用Office文件。

MOM管理工具包——MOM2005管理工具包的强大监控工具

MOM为服务器和关键业务架构提供了强大的监控手段。MOM的管理工具包更是扩展了针对服务器的监控指标，并在出现关键事件需要干预的时候，向管理员发出警告。

利用信息权限管理保护敏感内容——利用RMS及IRM访问和使用限制保护Office文档

了解权限管理工具如何让Office内容创建者为敏感文档绑定访问和使用限制。从而防止非授权用户使用和分发文档。

中小企业的企业级事件日志工具

这些日志收集和管理工具都是企业级的解决方案，但是同样适用于对日志管理有更多需求的中小企业。

Nmap

安装杀毒软件是系统安全的最基本要求，本文介绍如何使用开源的端口扫描器Nmap确定子网中的计算机上是否安装了杀毒软件。同时，Nmap支持强大的输入和输出参数。它不仅能简单地识别出未知服务器上打开着的端口，而且可以将输出转换成你所期望的格式。甚至可以用grep工具对输出进行再处理。

认证方式是时候和用户名密码认证说“再见”了吗？

记得从在学校开始接触计算机时，第一个操作就是输入用户名和密码。如今从单机到网络，每个人都要记住许多的用户名和密码，众所周知，这种基本的认证方式虽然有问题，也有了一些替代的认证方式，但是好像用户名和密码还没有到能够被抛弃的时候。