对于谷歌公司的员工来说，无论在公司办公楼、咖啡厅还是在家，访问公司应用都是一样的：从外网访问需要的 VPN 被废弃，所有员工到企业应用的连接都要进行加密。目前谷歌所有面向员工的企业应用都拥有公共 IP 地址，不再拥有受防火墙保护的企业级应用，不再像有内网外网之分的公司那样，将应用置于虚拟专用网中。

之前在Sec-News中推荐了一个开源程序 https://github.com/yandex/gixy ，作用是来检测Nginx配置文件中存在的问题。正好Pwnhub上周的比赛也出现了一道题，包含由Nginx配置错误导致的漏洞。

Hiawatha7.8 支持 CGI 程序输出内容的缓存，程序可控制缓存的有效时间，提升了静态文件缓存的性能，完善了文档。 Hiawatha 是一个Linux/UNIX下安全的Web服务器，其设计的最主要的目的就是安全，当然它也是快速的而且易于配置。

德国研究员 Juraj Somorovsky、Mario Heiderich、Meiko Jensen、Jörg Schwenk、Nils Gruschka 和 Luigi Lo Iacono 在合著的一篇名为《你的云真的由你掌控吗——云管理界面的安全分析》的文章中讨论了 Amazon AWS 和 Eucalyptus 存在的安全漏洞，攻击者可以利用这些漏洞来完全控制受害者账户以及与之相关的存储数据。文章重点讨论了一种通过 SOAP 接口进行的 XML 签名攻击，并且揭露了额外两种跨站脚本（XSS）技术，攻击者可以利用这些技术从 web 管理界面侵入用户账户。Amazon 和 Eucalyptus 在这些漏洞被利用前对其进行了修复。

Windows 8 官方博客介绍了微软下一代操作系统的图片密码功能，允许平板用户以正确次序点击图片上的点登录进系统。

Google 设立的 Chromium 浏览器安全奖励计划想必大家都还记忆犹新，找出漏洞并成功修复的人将有重赏，总计将有 100 万美金用于奖励支出。想看看 Chromium 的开发团队对于安全性问题的看法吗？

Google 最新发布的 Android 4.2 操作系统。Photo Sphere 功能、，多用户帐户支持 、重新设计的 UI，这些新特性大家可能一眼就能注意到。但是，大家一下子还注意不到的是新版 Android 还有一个神秘的背后灵——运行在云端的全新安全系统。

PHP Secure Communications Library 是一组 PHP 语言实现的用于进行 DES, 3DES, RC4, Rijndael, AES, SSH-1和 SSH-2 等标准的实现。

传输安全：JS 脚本可以调用任意 OC 方法，权限非常大，若被中间人攻击替换代码，会造成较大的危害。 执行安全：下发的 JS 脚本灵活度大，相当于一次小型更新，若未进行充分测试，可能会出现 crash 等情况对 APP 稳定性造成影响。

Mozilla 博客透露，他们的缺陷跟踪系统 Bugzilla 被攻击者窃取了“敏感的安全信息”，此事与 Firefox 一个未公开的漏洞——8月5日发现的 PDFViewer exploit 有关。

开放式Web应用程序安全项目（OWASP，Open Web Application Security Project）是一个组织，它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。.

系统安全设计：1、系统安装LINUX环境:数据中心及会员系统采用Redhat5.3ad版本，安装过程中软件包仅仅选择GCC及软件开发环境等必须软件环境，禁止安装图形环境。Windows环境:暂以windows2003ent版本为例。2、远程管理远程管理采用IDC及生产系统和公司内网分离原则，通过公司内部VPN运维线路进行远程管理，在网络层上进行隔离。对外服务网卡禁止开放管理登陆端口。

在Internet大众化、Web技术飞速演变、黑客工具日益普及的今天，针对Web的攻击和破坏不断增多，在线安全面临日益严峻的挑战，安全风险达到了前所未有的高度。 为了规避Web安全风险、规范Web安全开发，公司已经制定并发布了《Web 应用安全开发规范》；但如何系统的进行Web安全性测试，目前缺少相应的理论和方法支撑。为此，我们制定《Web 安全测试规范》，本规范可让测试人员针对Web常见安全漏洞或攻击方式，系统的对被测Web系统进行快速安全性测试。

Linux操作系统合理配置应用帐号或用户自建帐号权限；删除系统中多余的自建帐号；修改帐号口令，确保系统帐号口令长度和复杂度满足安全要求；禁用或删除非root的超级用户；禁止系统伪帐户登录；限制能够su为root的用户在不影响业务系统正常运行情况下，停止或禁用与承载业务无关的服务；屏蔽与承载业务无关的网络端口配置系统重要文件的访问控制策略，严格限制访问权限（如读、写、执行），避免被普通修改和删除；设置合理的初始文件权限

随着网络的普及，基于网络的应用也越来 越多。网络数据库就 是其中之一。通过一台或几台服务器可 以为很多客户提供服务，这种方式给人们带来了很多方便，但也给不法分子造成了可乘之机。由于数据都是通过网络传输的，这就可以在传输的过程中被截获，或者 通过非常手段进入数据库。由于以上原因，数据库安全就显得十分重要。因此，本文就以上问题讨论了MySQL数 据库在网络安全方面的一些功能。

Snorby是一个Ruby on Rails的Web应用程序，网络安全监控与目前流行的入侵检测系统（Snort的项目Suricata和Sagan）的接口。该项目的目标是创建一个免费的，开源和竞争力的网络监控应用，为私人和企业使用。

LibreSSL 是一个免费版本的 SSL/TLS 协议，来自于 OpenSSL

本文讲述了PHP网站的相关攻击手段，其中包括SQL注入、会话劫持、XSS等攻击手段。 本文除了解释各种攻击手段，还提供了各种攻击手段的相关在线资源，供大家参考学习。

Apache Rampart 是 Axis2 的安全模块，用来为 Axis2 Web服务提供认证、集成、保密等功能，实现了 WS-Security 协议堆栈。

很多人或许对上半年发生的安全问题“心脏流血”（Heartbleed Bug）事件记忆颇深，这两天，又出现了另外一个“毁灭级”的漏洞——Bash软件安全漏洞。这个漏洞由法国GNU/Linux爱好者Stéphane Chazelas所发现。随后，美国电脑紧急应变中心（US-CERT）、红帽以及多家从事安全的公司于周三（北京时间9月24日）发出警告。 关于这个安全漏洞的细节可参看美国政府计算安全的这两个漏洞披露：CVE-2014-6271 和 CVE-2014-7169。