Web攻防

思科对系统进行了升级，修正后门程序关键漏洞。思科安全顾问表示，漏洞的存在是由于SSH访问键存在一个默认密钥，骇客无需身份验证就可访问CUCDM窃取密钥。管理员建议用户升级CUCDM至4.4.2版本。

从叙利亚电子军团(SyrianElectronicArmy)入侵《纽约时报》网站，到针对主要数据中间商进行的、把数以百万计用户置于风险境地的长期黑客行为，网络攻击者在窃取敏感信息和造成重大服务中断方面正变得越来越复杂、且有效。

一个名为“Anonymous巴西”的黑客组织实施了这次攻击，该组织也是全球松散的黑客组织“Anonymous”的一部分。

郑州烟草与趋势科技达成深度合作，共建新一代防毒体系。郑州烟草利用趋势科技Web安全网关（IWSA）产品以及云安全威胁防护解决方案，帮助内网用户远离互联网Web应用中的各种威胁，实现了可信赖的网络环境。

eBay宣布：一个包含加密密码和非财务数据的数据库遭到黑客攻击，数据出现泄露，因而建议其1.45亿注册用户修改密码。

思科®高级恶意软件防护（AMP）的最新更新使其成为第一款能够在网络和终端之间关联入侵指示（IoC）数据的解决方案，同时它还具备集成的威胁防御和共享智能功能，能够帮助客户全面、持续地应对最高级的威胁。AMP同时还能够支持MacOSX，并包含一款用于在现场部署的私有云设备，可持续对威胁进行分析。

国家计算机病毒应急处理中心通过对互联网的监测发现，近期出现一种恶意木马程序变种Trojan_Agent.CDT.该变种伪装成系统动态链接库DLL文件，并在伪装程序的导出表里对系统指定DLL文件的导出表进行克隆跳转，对调用的一些敏感函数进行转发调用。

纵观安全事件，重大的Web攻击层出不穷，网络安全从业者开始跟黑客们在这一焦点领域不断的对抗。由于Web平台的多样性，以及HTTP协议及数据库语言的灵活性，Web攻击形式也五花八门，主要的攻击方法有SQL注入、跨站脚本(XSS)、CC(ChallengeCollapsar)等。

在你着手部署WAF之前，这是一个很重要的问题，尤其是在它用来监护应用或应用快速开发周期时。web应用防火墙可以提供卓越的保护来抵制某些类型的威胁和攻击，但是许多组织在没有完全了解达到预期结果需要多少投资时，就开始着手部署了。

法国运营商Orange公司宣布，上月公司系统出现安全漏洞，造成超过130万客户信息被盗。该公司表示，客户被盗信息包括电话号码、出生日期及电子邮箱地址。

5月8日消息，据国外媒体报道，微软的恶意软件保护中心继续监测黑客可能造成的威胁。近日，该中心宣布今年七月一日以后将实施新标准来认定广告软件。

近日微软证实，在目前IE所有版本上发现了一个新零日漏洞。微软称，该漏洞使得黑客能够远程执行代码，进行一些有限地针对性攻击。在涉及范围上，微软IE6到IE11的浏览器都受到这个漏洞的影响。

卡巴斯基实验室刚刚发布《2014年3月垃圾邮件报告》。该报告表明，受到钓鱼邮件攻击最多的前五种目标类型分别是社交网站（23.5%）、邮件与及时消息服务（16.6%）、搜索引擎（14.4%）、金融与在线支付组织（13.22%）、在线商城（12.8%）。其中，以在线商城的涨幅（8.9%）最甚。

近日微软发布安全公告称，IE浏览器所有版本均存在高危漏洞，可被木马病毒利用潜入IE用户电脑，黑客对此漏洞的攻击被美国安全机构FireEye称为“秘狐行动”，目前微软正在加速修复漏洞。

会话固定。这是一种会话攻击，通过该漏洞攻击者可以劫持一个有效的用户会话。会话固定攻击可以在受害者的浏览器上修改一个已经建立好的会话，因此，在用户登录前可以进行恶意攻击。