备注：此补丁适用3.1的所有版本(包括商业版，免费版)漏洞指数：极其严重。黑客可以通过此漏洞取得WebShell权限。影响版本：科汛3.X的所有版本都受此影响。漏洞描述：因为Win2003存在着一个文件解析路径的漏洞，当文件夹名为类似a.asp的时候（即文件夹名看起来像一个ASP文件的文件名），此时此文件夹下的文本类型的文件都可以在IIS中被当做ASP程序来执行。这样黑客即可上传扩展名为jpg或gif之类的看起来像是图片文件的木马文件，通过访问这个文件即可运行木马。因为微软尚未发布这个漏洞的补丁，所以几乎所有网站都会存在这个漏洞。关于此漏洞的文章，大家可以查看这里：http://www.gim...

WinXP系统前所未有地稳定和安全，但还是存在着各种各样的安全漏洞，如果我们对此无动于衷，网上黑客就会有机可乘，他们可以轻易盗窃你的商业机密、破坏你的重要资料……，造成的损失可是巨大的吆！怎样保证您的Windows安全呢？比较好的办法就是经常下载Windows安全补丁，进行系统更新，以便堵住各种安全漏洞，这种工作要象给杀毒软件升级那样经常做。下面就让我们来看看Windows家族有那些安全漏洞，如何堵住这些漏洞？　　一、WinXP的安全漏洞　　1、快速用户切换漏洞　　WindowsXP快速用户切换功能存在漏洞，当你单击“开始”/注销/“切换用户”启动快速用户切换功能，在传统登陆方法下重试登录一个...

当我们还没来得及感叹网上银行的快捷与便利，病毒与黑客的不断得逞就已经把许多用户吓了好一哆嗦。难道说享受便捷的生活就一定要用自身的安全来交换吗?　　【用户篇】不要和陌生人说话　　案件回放　　2005年2月28日，网友小姚在一个名为“利好交易网”的网站上，点击进入了工商银行网上支付系统，他在输入了自己的卡号和密码后却无法登录。好在小姚及时地发现这个工行网站和去年被媒体所曝光的那个假网站非常相似，并迅速赶往附近的工行，取出卡里的大部分钱，只留下71元。几个小时后，当小姚再次查询余额时，发现卡里除了仅有的1元钱外，其他的70元钱早已不翼而飞。　　查找漏洞　　很显然，这个诱骗小姚输入自己账户信息的假网站...

来自微软安全响应中心的消息, 日前, 公司已正式确认了一个存在于 Windows 2000 SP4, Windows Server 2003 SP1, Windows XP SP1, Windows XP SP2 以及 Windows Vista 中的安全漏洞. 该漏洞源自 Client Server Run-Time Subsystem 的缺陷,...

写本文的目地是为了总结一些东西，解决在试图构造一个漏洞数据库的过程中碰到的主要问题，也就是如何对计算机网络漏洞进行分类的问题。文中的一些想法并不成熟，有些甚至连自己也不满意，权作抛砖引玉，以期与在这方面有深入研究的同仁交流，共同提高完善。一个计算机网络安全漏洞有它多方面的属性，我认为主要可以用以下几个方面来概括：漏洞可能造成的直接威胁，漏洞的成因，漏洞的严重性，漏洞被利用的方式。以下的讨论将回绕这几个方面对漏洞细分其类。A．按漏洞可能对系统造成的直接威胁可以大致分成以下几类，事实上一个系统漏洞对安全造成的威胁远不限于它的直接可能性，如果攻击者获得了对系统的一般用户访问权限，他就极有...

近日，IE浏览器又出现一个严重的安全漏洞，恶意用户可以利用HTML电子邮件信息或恶意网页，控制该计算机系统。由于利用该漏洞的代码已经被公布在互联网上，因此，目前这一漏洞具有高危险性。IE在处理"frame"和"iframe"HTML元素的两种属性时就可能会出现缓冲区溢出，新发现的IE漏洞正是利用了这一点。当用户使用一个存在漏洞的IE版本访问恶意网页或使用Outlook、OutlookExpress、AOL以及LotusNotes等依赖于WebBrowserActiveX控件的软件查看HTML电子邮件时，都有可能会受到攻击。目前，只有安装了WindowsXPSP2的系统就...

　　受影响系统：　　phpShopphpShop0.6.1-b　　详细描述：　　phpShop是一款基于PHP的电子商务程序，可方便的扩展WEB功能。phpShop存在多个安全问题，远程攻击者可以利用这些漏洞攻击数据库，获得敏感信息，执行任意脚本代码。　　具体问题如下：　　1、SQL注入漏洞：　　当更新会话时存在一个SQL注入问题，可以对"page"变量提交恶意SQL命令而修改原有SQL逻辑，同样对"product_id"和"offset"变量进行注入也存在同样问题。　　2、用户信息泄露漏洞：　　通过查询"account/shipto"模块，可获得大量客户信息。如果用户以合法帐户登录，也可能查...

   国际安全组织新发布：2004年十大网络应用漏洞 　　 IT安全专业人士的开放网络应用安全计划组织(OWASP)发布的第二份年度十大网络应用安全薄弱环节列表中，增加了“拒绝提供服务”类型的隐患，因为在去年该类型的隐患已屡见不鲜。OWASP的主席兼“奠基石”(一家提供战略安全服务的公司）顾问会主任柯费·马克称：“我们预测：本年度，主要的电子商务网站将遭到拒绝提供服务的攻击，因为黑客已经对众多的用户密码感到厌烦。”比如：当一名掌握着大量电子邮件帐号的黑客发起攻击，致使电子商务网站上的用户密码被修改时，他便得手了。 当柯费在Charle...