- 博客(5)
- 收藏
- 关注
RSS订阅原创 平安科技 业务安全运维整改实践 密码泄露 注入漏洞等等
在公司年度安全内审中,我们发现多个业务系统存在不同类型的安全问题,包括:管理后台无认证即可访问;接口无权限校验,用户可越权访问他人数据;业务日志中暴露用户身份token;前端代码中硬编码调用内网API地址;业务使用的加密算法可逆,密钥硬编码;由于历史遗留问题较多、系统分散、缺乏统一安全标准,安全团队决定推进一轮全面的业务安全整改,并以此为契机,提升整个开发与运维体系的安全能力。接口签名:对重要接口采用签名校验机制,防止重放攻击;统一鉴权中间件:简化业务开发者接入认证逻辑,提高一致性;租户隔离。
2025-06-23 09:17:52
701
原创 安全运维-危险目录扫描-弱密码整改-平安科技安全运维技术学习篇
dirsearch是一个基于Python的命令行工具,用于对网站目录和文件进行暴力破解扫描。它通过尝试大量可能的路径和文件名来发现隐藏资源,是渗透测试中常用的信息收集工具。
2025-06-21 16:17:43
440
原创 运维安全管理
运维安全管理实质上也是一种访问控制常见为堡垒机,目前已经和零信任结合难点:数据中心场景下,双中心大型集团场景下,层级管理对运维操作进行记录、分析,从中找出恶意的行为或攻击线索。例如是否有恶意登录(破解)、恶意操作(提权)、引入恶意程序(WebShell)、窃取或外传数据等。数据中心运维管理,简单来说就是合规的人,使用合规的账号,下达合规的指令,合规地访问资产。刚开始,数据中心运维管理不复杂的时候,人、账号、指令、资产四个变量就可以满足需求,这也是很多用户引入堡垒机使用最多的功能。比IAM在账号、权限的基础上
2025-06-19 15:32:09
1085
原创 Ansible-----进阶
ps:ignore_errors使用当我们发现 某个task 偶尔会执行失败,但该task并不影响后续的tasks正常运行,那么此时可以 添加一个ignore_errors忽略经常出错的这个task。ps: 不同playbook可以共同包含一个playbook。②使用changed_when检查tasks任务返回的结果。经典案例:使用shell输出随机数到变量。可打相同标签,执行多个tasks。① 控制task报告的状态。
2025-06-19 15:27:52
939
1
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人