这些经常被一再提起、受到广泛认同的IT安全观点其实……全是胡说八道。从一年前开始，我们就在努力收集安全专家眼中最误人子弟的“安全谣言”，现在是时候揭穿它们的伪装、还大家一个清平世界了。

安全问题威胁着所有 Web 应用程序和网站，其中 XSS（跨站脚本攻击）、SQL 注入最为常见。开发者一旦忽视了这一方面，有可能会造成严重的后果。

在发现数以千万计的联网设备易被攻击之后，安全专家建议禁用路由器、打印机和摄像机的 UPnP（通用即插即用）功能。UPnP 协议设计简化家庭网络和企业局域网中各种设备连接，使内网中任意两个设备能互...

如果攻击者可以碰触到实体 token 并取出 secret key，他就可以准备一颗新的 token (HSM，Hardware security module) 把取出来的 secret ke...

密码设置过弱是个老生常谈的话题。2006 年一项针对 3.4 万个 MySpace 用户账号密码进行的调查显示，最常见的四个密码分别是 “password1″、”abc123″、”myspace...

在互联网时代，数据安全与个人隐私受到了前所未有的挑战，各种新奇的攻击技术层出不穷。信息本来是安全的，自从有了研究安全的人之后，互联网就变得不安全了。

skipfish是Google推出的一款免费、开源、Web应用程序安全检测工具。

从安全方面来说，用户是系统中最薄弱的环节。不过「聪明的」用户总是会找出各种理由把责任推卸给「技术」。甚至研究者有时也会落入这种陷阱。

SAMHAIN是一个开放源代码的基于主机的入侵检测系统,它提供文件完整性检查,日志监视和分析功能,以及ROOTKIT检测,端口监视,检测可执行程序的SUID和隐藏进程等。

NetworkMiner是一款windows平台下开放源代码的网络取证分析工具，同时也是一款比较好的协议分析工具，它通过数据包嗅探或解析PCAP 文件能够检测操作系统，主机名和网络主机开放的端口...

Seccubus是一个自动化调用Nessus实施常规安全扫描的工具，它能够把当前扫描结果 与之前的扫描结果进行比较并且能够以Web接口的形式报告详细信息。该工具的主要目标是使重复扫描更有效率。

Matriux是一款功能齐全的安全工具包（套装）,它包含了一系列强大、开源和免费的工具可以用于多种目的，但也不限于此。例如：渗透测试、ethical hacking、系统与网络管理、网络取证调查...

skipfish是Google推出的一款免费、开源、Web应用程序安全检测工具。skipfish主要特点:扫描速度快、易于使用、尖端的安全逻辑。 目前skipfish更新至2.03b版