北京网络与信息安全信息通报中心通报，近日，国家信息安全漏洞共享平台（CNVD）收录了AtlassianConfluenceWidgetConnector目录穿越、远程代码执行漏洞，上述漏洞定级为高危漏洞。攻击者利用该漏洞，可在未授权的情况下实现目录穿越及远程执行代码。 Confluence是一个专业的企业知识管理与协同软件，可用于构建企业wiki，帮助团队成员之间共享信息、文档协作、集体讨论，信息推送。ConfluenceWidgetConnector是Confluence的窗口小部件，使用WidgetConnector能将在线视频、幻灯片、图片等直接嵌入网页页面中。 一、漏洞基本情况 该漏

2018年3月23日公安部第十一局发布了新的《网络安全等级保护测评机构管理办法》，对测评机构的规范管理做出了明确说明，新的管理办法目前已经实施了一年多，对整个测评行业的规范运行起了很大正面作用，但是目前市场上还是有一些不规范的行为存在。今天不得不等就讲一个问题，我们会不时看到个大的项目里会把等保测评作为其中一项需求放入此项目中一起招标，最终中标方通常都是一些集成商或软件商等单位。这种项目运作方式是不正确的，严重影响了等保测评项目的规范管理，各地网安部门应当对此类测评项目严格禁止，引导等保测评市场的正确开

近日，ApacheTomcat曝出了编号为CVE-2019-0232的远程代码执行漏洞。据分析，该漏洞影响较严重，远程攻击者可以利用该漏洞在Windows平台执行任意命令，建议用户尽快进行评估修复。我们已关注了相关事件进展。根据最新的研究分析，我们总结出了一些防护建议，敬请用户知晓。安全报告信息漏洞信息在Windows平台，远程攻击者可以利用ApacheTomcat9.0.0.M1-9.0.17、ApacheTomcat8.5.0-8.5.39以及ApacheTomcat7.0.0-7.0.93等受影响版本，向CGIservlet发送一个精心设计的请求，在具有ApacheTomcat权限的系统上注入和执行任意操作系统命令。漏洞成

等级保护测评二级和三级信息系统多长时间测评一次？ 网络安全等级保护测评，大家都知道信息系统三级每年测评一次，那么二级信息系统多长时间测评一次呢？很多人对这块知识点很模糊，包括现有的部分测评机构，很多测评机构销售在跟客户交流的时候，都会说三级系统每年测评一次，二级系统两年测评一次，客户就更不清楚这一块知识点了，其实很多销售也模模糊糊，其实二级信息系统公安部没有明确必须要做等级保护测评，根据标准公安部只规定二级信息系统已运营（运行）和新建第二级以上信息系统在地设区的市级以上公安机关办理备案手续。《信息

普洱IT网，您身边的IT小顾问！随着等保即将进入2.0时代，网络安全市场即将带来又一波红利，本文为等保2.0的介绍材料，后续将会推出标准的陆续解读。

普洱IT网，您身边的IT小顾问！由于篇幅有限，对部分要求进行了初步解读，仅供参考，如有不当，欢迎批评指正。

4月1日凌晨，火绒安全团队发出警报，部分“2345导航站”首页的弹窗广告携带盗号木马，该病毒会偷取QQ、游戏平台（steam、WeGame）、知名游戏（地下城与勇士、英雄联盟、穿越火线）的账号。这是一次设计精巧、组织周密的大规模盗号行动，利用周末时间突然发起攻击，主要目标是网吧游戏用户。火绒工程师分析，部分“2345导航站”首页右下角会弹出弹窗广告（上图红色箭头所指），该广告页面一经弹出，即可自动下载病毒，无需用户点击。病毒下载链接自动激活后，首先访问跳板网站“yyakeq.cn”（存放跳板脚本以及flash漏洞），然后再从“ce56b

近日，国外安全研究人员在大量攻击数据中发现了一个WordPress plugins Social Warfare远程代码执行漏洞。该漏洞位于social-warfare\lib\utilities\SWP_Database_Migration.php文件中的eval()函数，该函数能够运行攻击者在“swp_url”GET参数中定义的PHP代码。此漏洞允许攻击者getshell接管整个网站，甚至是服务器。安全狗海青实验室已于第一时间响应并发布预警信息，我们随后进行了进一步的研究分析，现将细节公布。1、漏洞分析在social-warfare\lib\utilities\SWP_Utility.php处通过获取swp_debug参数在调用漏洞文件social-warfare\lib\u