QSecurity月度安全评论（2012年3月）：传说中的0day漏洞

在开始自己回味这个月跟开发安全相关的文章之前，请各位读者先检查一下自己企业和个人Windows操作系统，有没有打上CVE-2012-0002漏洞的补丁。3月13日，微软正式发公布了MS12-020安全公告（http://technet.microsoft.com/zh-cn/security/bulletin/ms12-020），警示所有Windows用户，Windows系统的远程桌面协议（RDP）存在着两个严重的安全漏洞：一个可以造成远程代码执行，另一个则会造成拒绝服务（DoS）。

事实上江湖上关于3389和IIS远程代码执行0day漏洞的传说流传已久，可是只是限于传说而已，谁也没有亲眼见过。见过的人，也绝不会向外界泄露半点关于这种神器的信息。如今被微软官方亲自证实3389 0day漏洞的存在，算是给江湖传说留下一个完美结局。

关于这两个漏洞的利用（exploit）, DoS已经有人完成了PoC。但是远程代码执行至今笔者还没有见到可信的PoC。可以想象有多少Windows Server至今为止还没有打上补丁，这种exploit一旦流出，又不知会造成多少的血雨腥风。看来只能留待日后有机会再一探究竟了。

本月国内互联网安全界的一件大事是2012“互联网用户安全峰会”的召开。来自国内一线互联网厂商的众多安全部门负责人纷纷现身说法，贡献了一些有意义的话题。如果对互联网安全感兴趣，那么这十几场演讲是非常有参考价值的。会议组织方非常贴心的准备了全部演讲的PPT下载和在线视频，地址在这里：

http://sepblog.my.phpcloud.com/?p=92

上月评论中推荐了John Melton的博客。这是位高产的劳模博客作者，本月他又发表了4篇关于Java安全编程的文章，内容涉及Content-Type, XSS, Log Forging和框架安全。值得一读，再度推荐。

http://www.jtmelton.com

本月另外一件引起技术界关注的事件就是GitHub的被“攻击”。虽然事实证明这只是某个GitHub用户为了引起官方重视而做的一个小恶作剧，但是依然引发了关于Rails框架默认安全和程序员实现安全之间的争论。

http://shiflett.org/blog/2012/mar/hacking-rails-and-github

本期的最后，向大家郑重推荐一个非常好用的web安全训练课程：OWASP Webgoat。这是由OWASP开发的免费开源Web安全训练课程。用户可以在指导下由易至难的完成众多安全攻击任务，从而加深对Web安全的理解。可以作为企业开发人员安全培训的主要工具使用。链接地址：

https://www.owasp.org/index.php/Webgoat

相信本期的内容足够各位读者花上一段时间了，咱们下月再见。

给InfoQ中文站投稿或者参与内容翻译工作，请邮件至[email protected]。也欢迎大家通过新浪微博（@InfoQ）或者腾讯微博（@InfoQ）关注我们，并与我们的编辑和其他读者朋友交流。