這些經常被一再提起、受到廣泛認同的IT安全觀點其實……全是胡說八道。從一年前開始，我們就在努力收集安全專家眼中最誤人子弟的“安全謠言”，現在是時候揭穿它們的偽裝、還大家一個清平世界了。

安全問題威脅著所有 Web 應用程序和網站，其中 XSS（跨站腳本攻擊）、SQL 注入最為常見。開發者一旦忽視了這一方面，有可能會造成嚴重的后果。

在發現數以千萬計的聯網設備易被攻擊之后，安全專家建議禁用路由器、打印機和攝像機的 UPnP（通用即插即用）功能。UPnP 協議設計簡化家庭網絡和企業局域網中各種設備連接，使內網中任意兩個設備能互...

如果攻擊者可以碰觸到實體 token 并取出 secret key，他就可以準備一顆新的 token (HSM，Hardware security module) 把取出來的 secret ke...

密碼設置過弱是個老生常談的話題。2006 年一項針對 3.4 萬個 MySpace 用戶賬號密碼進行的調查顯示，最常見的四個密碼分別是 “password1″、”abc123″、”myspace...

在互聯網時代，數據安全與個人隱私受到了前所未有的挑戰，各種新奇的攻擊技術層出不窮。信息本來是安全的，自從有了研究安全的人之后，互聯網就變得不安全了。

skipfish是Google推出的一款免費、開源、Web應用程序安全檢測工具。

從安全方面來說，用戶是系統中最薄弱的環節。不過「聰明的」用戶總是會找出各種理由把責任推卸給「技術」。甚至研究者有時也會落入這種陷阱。

SAMHAIN是一個開放源代碼的基于主機的入侵檢測系統,它提供文件完整性檢查,日志監視和分析功能,以及ROOTKIT檢測,端口監視,檢測可執行程序的SUID和隱藏進程等。

NetworkMiner是一款windows平臺下開放源代碼的網絡取證分析工具，同時也是一款比較好的協議分析工具，它通過數據包嗅探或解析PCAP 文件能夠檢測操作系統，主機名和網絡主機開放的端口...

Seccubus是一個自動化調用Nessus實施常規安全掃描的工具，它能夠把當前掃描結果 與之前的掃描結果進行比較并且能夠以Web接口的形式報告詳細信息。該工具的主要目標是使重復掃描更有效率。

Matriux是一款功能齊全的安全工具包（套裝）,它包含了一系列強大、開源和免費的工具可以用于多種目的，但也不限于此。例如：滲透測試、ethical hacking、系統與網絡管理、網絡取證調查...

skipfish是Google推出的一款免費、開源、Web應用程序安全檢測工具。skipfish主要特點:掃描速度快、易于使用、尖端的安全邏輯。 目前skipfish更新至2.03b版