资讯月刊下载

第121期(18-03)

2018年03月 - 总第121期
  • Java程序员开发常用的工具
  • 3月全球数据库排名:PostgreSQL 再迎暴涨
点击下载>>

第120期(18-02)

2018年02月 - 总第120期
  • 开源巨献:2017 年 Google 开源了这些超赞的项目
  • 关于区块链,程序员需要了解什么
点击下载>>

第119期(18-01)

2018年01月 - 总第119期
  • 编写高性能Java代码的最佳实践
  • 从15000个Python开源项目中精选的Top30,Github平均star为3707,赶紧收藏!
点击下载>>

更多月刊下载

活跃编辑

范凯
hantsy

资讯编辑

web前端

企业架构

ITeye小编

其他专家

进入编辑列表

漏洞

原创新闻 [编程语言] Ruby on Rails爆SQL注入漏洞,影响所有版本

近日,Ruby on Rails的Active Record模块被爆出存在一个SQL注入漏洞(CVE-2012-5664),所有版本均受到影响。 描述 鉴于Active Record中动态查找器从方法参数中提取选项的方式,导致方法参数可能会被错误地当成作用域来使用。攻击者可以通过发起特定的请求,利用作用域来注入任意SQL。 受影响的代码会将用户提供的数据传递到动态查找器,例如:Post.fin ...
rails ruby 漏洞 SQL注入
wangguo 评论(1) 有6037人浏览 2013-01-04 0 0

原创新闻 [企业架构] Apache Tomcat 再爆严重安全漏洞

Apache基金会成员Mark Thomas今天在邮件列表中公布了Tomcat中新发现的3个安全漏洞。 1. 拒绝服务漏洞(CVE-2012-4534) 等级:严重 受影响版本: Tomcat 7.0.0 ~ 7.0.27 Tomcat 6.0.0 ~ 6.0.35 描述: 当使用NIO连接器,并启用了sendfile和HTTPS时,如果客户端断开连接,可能会陷入一个无限循环,导致拒绝服 ...
Tomcat 安全 漏洞
wangguo 评论(3) 有10628人浏览 2012-12-05 9 0

原创新闻 [数据库] MySQL 被曝出多个安全漏洞

上周末,安全组织Seclists的一名安全研究人员在邮件列表中公布了一些安全漏洞,其中有几个漏洞与MySQL有关。 这些漏洞包括: 一个基于栈的缓冲区溢出漏洞:已验证的数据库用户有可能引起MySQL守护进程崩溃,然后执行MySQL代码。 一个基于堆的溢出漏洞:和上面漏洞造成的后果一样。 用户权限提升漏洞:允许有文件权限的攻击者将自己的权限提升到管理员级别 拒绝服务(DoS)漏洞 帐户枚举漏洞 ...
mysql 安全 漏洞 甲骨文
wangguo 评论(2) 有7333人浏览 2012-12-04 0 0

原创新闻 [编程语言] Ruby 1.9 现 DoS 漏洞,紧急发布 1.9.3-p327

Ruby开发团队近日在官方博客中称,Ruby 1.9分支中使用的Hash函数中存在安全漏洞,可能导致Hash-flooding DoS攻击。开发团队紧急发布了Ruby-1.9.3 p-327版本,1.9用户应尽快升级至该版本。 详细信息 该漏洞类似于Ruby 1.8.7中的CVS-2011-4815。Ruby 1.9版本使用改进的MurmurHash函数,该函数被报告可以用来创建字符串序列,这些 ...
ruby dos 安全 hash 漏洞
wangguo 评论(2) 有4969人浏览 2012-11-12 0 0

原创新闻 [互联网] 卡巴斯基安全报告:Java成众矢之的

卡巴斯基近日发布了2012年第3季度的安全分析报告,报告显示,Java平台已经成为了攻击者的首要目标。在2012年第3季度的所有攻击行为中,针对Java应用程序的攻击占据了56%。 卡巴斯基报告称,Java跨平台的特性,使其对于应用程序开发者以及恶意软件编写者都具有极大的吸引力。另外,由于Java缺乏强制升级机制,导致漏洞存在的时间较长。据估计,目前已有11亿平台安装了Java。 在今年9月 ...
java 安全 flash 漏洞
wangguo 评论(7) 有7190人浏览 2012-11-06 5 5

原创新闻 [企业架构] Apache Tomcat 爆出拒绝服务漏洞和身份验证漏洞

Apache软件基金会团队在邮件列表中指出,Tomcat中存在一个严重的拒绝服务(DoS)漏洞,以及一个摘要式身份验证漏洞。 1. 拒绝服务(DoS)漏洞(CVE-2012-2733) 漏洞描述: 在HTTP NIO连接器请求解析过程中,用于限制请求头大小的检查进程实施太晚,这允许攻击者通过发送一个请求头非常大的单个请求来触发内存溢出(OutOfMemoryError)。 严重程度:重要 ...
apache tomcat DoS 漏洞 安全
wangguo 评论(9) 有21576人浏览 2012-11-06 4 1

转载新闻 [移动开发] 谷歌证实Android存在欺诈漏洞:涉及所有版本

美国北卡罗来纳州州立大学(以下简称NCSU)研究员最近发现了一个存在于Android平台的“短信欺诈”(Smishing)漏洞,Android应用可以通过该漏洞对短信进行伪装,实施钓鱼式欺诈攻击。目前该漏洞已获谷歌证实。 NCSU的研究员表示,该漏洞很容易被攻破,可能被大量用来进行“钓鱼”攻击,获取用户信息。更可怕的是,该漏洞可以让欺诈应用在不需要获得用户任何许可的前提下发起攻击。换句话说,这一漏 ...
Android 漏洞 安全 Google
MnouW 评论(0) 有2277人浏览 2012-11-05 0 0

原创新闻 [编程语言] 甲骨文修复Java漏洞太慢,开发者自己动手

最近,波兰的安全研究公司Security Explorations以及其CEO Adam Gowdiak相当火,他连续多次发现了Java中存在的多个关键漏洞,并报告给甲骨文公司。 Gowdial在9月下旬又向甲骨文报告了一个关键漏洞,攻击者利用该漏洞通过特制的程序可访问系统中特定用户的资源。但Oracle通知Gowdiak,10月份补丁集测试工作已经处于最后阶段,其他的漏洞补丁将包含在下一个补丁集 ...
java 安全 漏洞 jdk
wangguo 评论(4) 有6245人浏览 2012-10-25 7 0

原创新闻 [编程语言] Ruby 1.9.3-p286 发布,安全修复版本

Ruby团队近日发布了Ruby 1.9.3-p286版本。 该版本主要修复了一些安全漏洞: 针对Exception#to_s、NameError#to_s和name_err_mesg_to_s()的漏洞,这些是Ruby解释器内部API。利用这些漏洞,恶意代码可以绕过$SAFE检查。详见:CVE-2012-4464, CVE-2012-4466 在文件路径中插入空字符,可能会导致文件创建例程创 ...
ruby 漏洞 安全
wangguo 评论(2) 有4103人浏览 2012-10-15 2 0

转载新闻 [互联网] 谷歌举办Chrome漏洞挑战赛,黑客赢得六万美元

Google在Hack in the Box 2012上举办了Chrome安全漏洞挑战赛Pwnium 2,为黑客提供了总额两百万美元的奖金。少年黑客Pinkie Pie赢得了最高奖6万美元和一台Chromebook笔记本。这是他在一年内第二次赢得六万美元大奖,他可以以研究Chrome漏洞为生了。今年3月的Pwn2Own挑战赛上,Pinkie Pie成功利用漏洞穿透沙盒攻陷Chrome。 最新的 ...
chrome google 漏洞 安全
MnouW 评论(3) 有4120人浏览 2012-10-12 15 0

转载新闻 [互联网] Firefox 16 曝出重大安全漏洞,紧急发布16.0.1

Firefox 16刚刚发布没两天,就出了大问题,Mozilla已经在官方首页上删去了Firefox 16的下载,转而继续提供Firefox 15.0.1。 Mozilla官方表示,Firefox 16中发现了一个安全漏洞,因此暂时在首页上移除了新版本。Mozilla将尽快修复这个漏洞,在此之前请大家继续使用Firefox 15.0.1。 Mozilla当前并未提供关于该漏洞的更多详情。 Fi ...
firefox 漏洞 安全
MnouW 评论(7) 有6618人浏览 2012-10-11 7 1

原创新闻 [编程语言] Java千疮百孔,新漏洞危及Java 5/6/7

之前发现Java 7中重要安全漏洞的波兰安全公司Security Explorations近日发表公告称,他们在Java中又发现了一个漏洞,攻击者可利用该漏洞绕过沙箱。 Security Explorations公司安全专家Adam Gowdiak称: 引用该安全漏洞影响所有最新的Java SE版本,该问题非常严重,在Java SE 5、6、7平台中,我们已经利用该漏洞成功绕过了Java安全沙箱。 ...
java 漏洞 沙箱 安全
wangguo 评论(25) 有14404人浏览 2012-09-28 17 4

原创新闻 [数据库] 卡巴斯基:Oracle数据库存在加密漏洞

卡巴斯基实验室发布安全公告称,研究发现,攻击者只需知道数据库名称和用户名就可以通过暴力破解方式攻破甲骨文公司的Oracle数据库。 AppSec公司开发者Esteban Martinez Fayo在一个安全会议上展示了他的研究成果,他在一个普通PC上,通过一个特殊工具,在5个小时内获取了数据库中的数据。 Fayo称,这非常简单,攻击者只需知道数据库的名称,以及该数据库的一个有效的用户名就行。 ...
oracle 安全 漏洞
wangguo 评论(10) 有5618人浏览 2012-09-21 10 1

原创新闻 [互联网] Web应用安全问题频出,源于漏洞测试过少

软件厂商Coverity 近日发布了一个软件安全风险报告,报告显示,在欧洲和北美的240个有影响力的web开发商中,少于五分之二的开发商进行安全方面的测试,超过一半的开发商拒绝检查代码中的bug和安全漏洞。这导致的结果是,安全事件出现更频繁,从而使整体开发成本提高。 在报告中列出了以下数据: 超过70%的开发商经历过安全事件,且都抱怨缺少安全方面技术以及对开发人员的监管,此外也有项目扩展和预算 ...
web 安全 漏洞 测试
wangguo 评论(0) 有4059人浏览 2012-09-20 2 2

转载新闻 [互联网] IE 再曝 0day 漏洞,IE/7/8/9 均中招

安全研究员Eric Romang发表声明表示,继微软4月份发布补丁修复关键IE浏览器0day漏洞之后,最近IE浏览器再被曝出严重的安全问题,并且已经被黑客利用攻击用户,因此建议大家暂且使用其它浏览器,等待微软解决此问题。 Romang指出,利用这个0day漏洞攻击者可以绕过Windows的ASLR(地址空间布局随机化)防护机制,访问用户曾访问过的计算机上所有文件。计算机安全厂商Rapid7也证实 ...
浏览器 ie 漏洞 安全
mountain623 评论(0) 有3102人浏览 2012-09-18 0 0

原创新闻 [操作系统] Windows 8 预发行版中存在Flash漏洞

微软在8月15日已经面向MSDN、TechNet订阅用户开放了Windows 8 RTM版本的下载。据悉,该版本包含的Flash Player 11.3.372.94中存在重要的安全漏洞。 Adobe公司已经将其Windows平台上的Flash Player版本更新到了11.4.402.265,并修复了一个零日漏洞(CVE-2012-1535)。攻击者可以使用堆喷射技术,通过Flash中的特制字 ...
windows 8 flash 漏洞
wangguo 评论(4) 有3445人浏览 2012-09-11 0 1

转载新闻 [编程语言] Java 7 再爆新漏洞,Java 6u35不受影响

上周Java平台爆出了严重的安全漏洞,甲骨文也紧急发布了Java 7u7和6u35两个修复版本。 但据发现Java 7漏洞的波兰安全公司Security Explorations的CEO Adam Gowdiak表示,他们只用两三个小时就在甲骨文发布的Java 7修补程序中找出了漏洞。该漏洞如同先前的0day攻击中被利用的漏洞一样,可以完全摆脱Java的沙箱保护机制,可能导致Java用户计算机遭黑 ...
java security 漏洞 安全
MnouW 评论(9) 有6721人浏览 2012-09-03 10 4

原创新闻 [编程语言] Java 7u7和6u35发布,修复重要安全漏洞

近日Java爆出了严重的安全漏洞,甲骨文今天终于有所回应,提前发布了Java 7 Update 7和Java 6 Update 35两个升级版本。 这两个版本主要修复了近日被恶意软件利用的安全漏洞,详细信息:CVE-2012-4681,因此,建议所有开发者尽快升级至这两个版本。 此外,在这两个版本中,还包含了最新版(2012c)的Olson时区数据。 详细信息:7u7 Release Note ...
java jdk 安全 漏洞
wangguo 评论(4) 有7642人浏览 2012-08-31 16 0

原创新闻 [编程语言] Java漏洞问题,甲骨文其实早已知道

近日Java爆出了严重的安全漏洞,影响所有的Java 7分支版本。 据安全研究公司Security Explorations的CEO Adam Gowdiak称,其实甲骨文在今年4月份时已经知道Java 7中存在这两个可能导致恶意软件攻击的漏洞。 Gowdiak称,Security Explorations在今年4月2日曾给甲骨文报告了19个Java 7安全问题,这些问题中包含了两个零日漏洞(被 ...
java bug 漏洞 安全 Oracle
wangguo 评论(9) 有13605人浏览 2012-08-30 12 2

原创新闻 [编程语言] Java 爆高危漏洞,7.x 分支全中招

据国外安全研究机构称,当前的Java版本中包含了一个严重的安全漏洞,可能导致电脑在访问带有恶意代码的特定网页时被感染。 据悉,该漏洞已经被黑客利用,目前仅是一些有针对性的攻击。但有一个漏洞已经开始流通,因此有可能不久就会出现一波大规模的攻击。 迄今为止,已知的有针对性的攻击是利用该漏洞安装Poison Ivy木马,这些恶意软件托管在位于新加坡的一台服务器上。 该漏洞影响了所有Java 7.x分 ...
java JVM 安全 漏洞
wangguo 评论(49) 有25072人浏览 2012-08-28 24 2

最近热门TAG

Java(1854) Google(1441) Android(1244) JavaScript(842) Web(669) Linux(648) 框架(605) Windows(591) 浏览器(540) HTML5(533) Firefox(483) jQuery(480) iOS(479) Ruby(427) Chrome(386) HTML(380) 编程(365) 工作(349) Apache(346) Python(328)

热门资讯

Global site tag (gtag.js) - Google Analytics