New Log
作者:piaoye 发布于:2011-3-12 10:33 Saturday
OWASP 2011亚洲峰会高端培训
作者:piaoye 发布于:2011-9-30 11:22 Friday
OWASP 2011亚洲峰会高端培训
|
编号 |
培训内容 |
培训时间 |
培训讲师 |
|
培训一 |
如何使用OWASP项目和工具提升企业安全 |
11月10日8:00-12:00 |
Tobias Gondrom |
|
培训二 |
网银系统安全框架设计 |
11月10日14:00-18:00 |
张炜 |
|
培训三 |
OWASP
Top 10 及防治 |
11月11日8:00-12:00 |
王文君 |
|
培训四 |
安全开发之道-从源头解决和预防安全漏洞 |
11月11日14:00-18:00 |
李建蒙 |
详细介绍请查看:http://www.owasp.org.cn/OWASP_Conference/AppSec_2011/training
1. 如何使用OWASP项目和工具提升企业安全(针对人群:CISO, 高级信息安全经理)语言:英文,视情况确定是否需要同传。
内容:
Setting up and
improving your global security organisation using mature OWASP projects and
tools. Achieving cost-effective application security and bringing it all
together on the management level. How to use and leverage OWASP and other
common best practices to improve your security programs and organization. The
workshop will also discuss a number of quick wins and how to use OWASP tools
inside your organisation. The author has extensive experience of managing his
own secure development organization as well as advising to improve a number of
global secure development organisations and processes.
Topics:
- OWASP Top-10 -
how to use within your organisation
- Risk management and threat modeling methods (OWASP risk analysis,
ISO-27005,...)
- OWASP Secure Coding Practices - Quick Reference Guide
- Development Guide
- Training for developers (e.g. Webgoat)
- Maturity Models (SAMM)
- common APIs: ESAPI (Enterprise Security API)
- Measuring: ASVS (Application Security Verification Standard)
2. 网银系统安全框架设计
1. 培训内容简介
2. 银行业务系统的历史和发展
3. 银行业务系统安全的重要性
4. 网银应用系统的特殊性
5. 网银应用系统设计的特点
6. 银行网络应用的安全考虑
7. 银行业务网络构架图及安全考虑
8. 银行业务数据流程图及安全考虑
9. 银行业务工序流程图及安全考虑
10. 业务系统安全设计文档的撰写
o 高层设计
o 底层设计
11. 收集学员反馈
3. OWASP Top 10 及其防治
通过本次培训,学员们可以获取以下技巧:
· 什么是OWASP
Top 10
· 什么是OWASP
ESAPI,它的设计原理以及用它防治Top 10,以及它的某些实现中的缺陷
· 如何使用静态分析工具去发现代码的安全漏洞
· 如何使用动态分析工具去发现系统的安全漏洞
· 作为一个QA,我该如何去做渗透测试
4. 安全开发之道 - 从源头解决和预防安全漏洞
1) 安全开发的重要性
1.1)安全漏洞简介
1.2)安全问题的起因
1.3) 为什么要安全开发
2) 如何从流程上保证安全开发
2.0) 各个阶段问题的统计数据
2.1)任务启动之前的准备
2.2) 产品需求分析阶段
2.3) 设计
2.4)编程
2.5) 测试
2.6) 如何保证工作流程的措施得到实施
2.7) 配置管理的重要性
3) 总结 Summary
OWASP 2011亚洲峰会11月在北京举行
作者:piaoye 发布于:2011-8-30 14:04 Tuesday
2011年11月8-9日,由开源web应用安全项目(OWASP)主办的OWASP 2011亚洲峰会将在北京国际会议中心召开。本届OWASP亚洲峰会将以“互联网安全新思维”为主题,将从“网络安全产品测评”、“OWASP应用安全技术”“业务安全发展新思路”“云安全”等多个角度展开深入的讨论。
OWASP是一个开源的、非盈利的全球性安全组织,致力于应用软件的安全研究。近几年,OWASP峰会以及各国OWASP年会均取得了巨大的成功,推动了数以百万的IT从业人员对应用安全的关注以及理解,并为各类企业的应用安全提供了明确的指引。
OWASP中国分会已经分别成功举办了OWASP 2009上海峰会、OWASP 2010中国峰会. 2011年OWASP中国峰会将升级为OWASP全球四大区域会议之一的OWASP 亚洲峰会。本次峰会期间,还会举办国内首个互联网安全产品展览,邀请国内外各安全厂商、个人软件开发者参与展示最新的技术;同时,也会邀请电信、金融、电力能源、政府等各领导莅临参观指导!
时 间:2011年11月8日-11月9日 OWASP亚洲峰会+安全产品展
2011年11月10日-11月11日 安全培训
地 点:北京国际会议中心(北京市朝阳区北辰东路8号)
更多详细信息,请查看OWASP中国网站:http://www.owasp.org.cn
号码
作者:piaoye 发布于:2011-3-1 0:25 Tuesday
你好,因家里被窃手机号码丢失,请认识的麻烦将号码发送至xb#usa.com
CNNIC预留的域名列表,有十几个已经注册
作者:piaoye 发布于:2011-1-8 21:21 Saturday
被和谐了。别看了
某知名网银系统bug
作者:piaoye 发布于:2010-11-26 14:21 Friday
易宝支付(YeePay.com ) 是中国领先的独立第三方支付平台,2003年8月由北京通融通信息技术有限公司创建。易宝支付自运营以来,致力于为广大商家和消费者提供“安全、简单、快乐”的专业电子支付解决方案和服务。
bug文件:/selfservice/toNewCreateBankCardInfo!photoView.jsp
bug说明:验证cookie,即可读取用户上传身份证,企业营业执照信息
方法:随便去注册个用户,直接打开http://www.yeepay.com/selfservice/toNewCreateBankCardInfo!photoView.action?pid=288 页面,pid参数值为1-999,再高的就没图了,应该是签约的商户不多吧.
转载请注明出处!
王朝覆灭的共同点
作者:piaoye 发布于:2010-11-3 10:46 Wednesday
史鉴散照 一个王朝的崩溃是件令人着迷的事情。从宏大的历史上看,似乎都是一股势力猛然崛起,然后经过或多或少的时间,终于变得沛莫能御,然后势如破竹地攻打下京城,然后是扫平全国,或者传檄而定,或者剑及履及,一个崭新的国家就这么诞生。
这是宏大的史书所构成的一种印象,加之所谓必然性的因素,让我们对于历史产生了一种类似于恢宏壮丽的感觉。实际上,这种印象未必是对的,更多的是那种慢慢焚烧的野火与地火,只是在冲出地面之前,不论是在史书还是民间的传说里,那些都是不值一提的小事,很多人就此忽略了他们的存在。
太平天国是非常典型的例子之一。在此之前,晚清已经只剩了一个空壳,即使这个空壳也被船坚炮利的洋人轰得千疮百孔。洪秀全不过是个不得志,而且读书也不好的人,即使借着我们这里的造反传统拉起一票人马,在没出广西的时候就已经开始显示出了颓势。不但大肆封王许愿,连后宫都置办整齐了。
如果深入研究太平天国的话,就会知道其荒唐已经到了极点。所谓的“天朝田亩制度”从来就没有真正实现过,所到之处焚书坑儒不算,还把治下的人民分成男女两营,如果发现有苟合之事,立刻会招致灭顶之灾。与此同时,那些王爷之类的高官则纷纷大建王府,建设自己的小后宫。
等级制度之森严也是他们的一大特点,甚至已经发挥到了骇人听闻的程度。古人虽然讲究官大一级压死人,但毕竟都是有头有脸的人物,在面子上总还是过得去。而只有那种完全不知道如何用文化维系关系的政权,才能把所有的等级差异如此明显地表现出来。某侯爷的家人触犯了某王爷的威仪,不但自身落得身首分离的下场,连那个侯爷也要负荆请罪,最终被羞辱一顿。
如此荒唐的政权竟然也席卷了大半个中国,总是有道理在。这个道理不妨从晚清最后几年的一段轶事当中去寻找。
野史有记,号称自己要“八表经营”的张之洞办了一生的事,虽然始终被李鸿章目为书生,但自然也算是有自己的局面。当临终的时候,末帝溥仪的生父、时任摄政王的载沣虽然与之政见不合,但也是亲临床榻看望之。张之洞毕竟是四朝老臣,临死之时还是念念不忘天下安危,提出要善抚民众。摄政王载沣扬扬得意道:“不怕,有兵在。”张之洞从此再无一语有关国计民生的大计献于摄政王大人之前。在他看来,清朝已经是完了。虽然张之洞没有所谓现代政治思维,但他知道,但凡是统治者勒兵观变的心态一出,这天下从此就算是无可收拾了。
回到洪杨的太平天国,其实这就是所有给予旧王朝致命打击的关键所在。在尚未知道自己已经病入膏肓的时候,看上去所有正在风光的统治者都是异常强大的,在这之前,他们已经镇压过多少次反抗,并且都轻易得手了。“有兵在”这句话就是支撑所有统治者最厉害的春药,让他误以为自己的位子是很稳固的。
一次又一次的成功,让他们认为这些东西根本没什么了不起,只要是采取强硬的措施,没有人能扛得住专业的大军。当初皇帝拨内帑200万两、赠“遏必隆”宝刀于赛尚阿之时,估计也是这么想的。
这就是所有王朝崩溃时的特点,在那之前已经有过多少次不成功的事例,而种种东西都在老百姓的心里埋藏着。这次不能爆发、这里不能爆发,总有一个哪怕是荒唐的机会爆发出来。星火燎原,固然星火是原因,但离离原上草才是星火可以燎原的根本,受害者的范围越来越大、最终参与者越来越多。今天这个火星很容易就灭了,明天有阵微风又吹过来,烧起来的范围大了一些。谁也不知道哪颗火星最终会引燃那场焚天的烈火。
陈胜吴广起义不过是因为戍边失期,而李自成是因为裁撤役卒而下岗。微风起于萍末之时,仿佛说着“有兵在、有兵在,那是谁的兵?”
