信息安全
文章平均质量分 75
安全相关问题
lefooter
这个作者很懒,什么都没留下…
展开
-
APP个人信息检查监管部门要求
在申请打开可收集个人信息的权限,或申请收集用户身份证号、银行账号、行踪轨迹等个人敏感信息时,未同步告知用户其目的,或者目的不明确、难以理解。隐私政策中未违反其所声明的收集使用规则,收集使用个人信息。有关收集使用规则的内容晦涩难懂、冗长繁琐,用户难以理解,如使用大量专业术语等。:除了提示要收集的权限,还必须写明在APP中使用的目的(可参照下方隐私政策)在使用功能的时候弹窗提醒用户开始收集隐私政策和告知用户收集权限。在App中没有隐私政策,或者隐私政策中没有收集使用个人信息规则。...原创 2022-08-16 08:13:43 · 378 阅读 · 1 评论 -
某DDOS攻击防御报告
1 攻防过程简述谨慎参考上图显示本次攻击的最大攻击流量接近25Gbps,关键事件时间表如下:2 攻击影响分析3 实际业务影响分析本次攻击直接受害的CDN机房有短暂的拥塞,通过对实际业务的影响分析,可以了解攻击影响的具体程度和范围。3.1 被攻击站点访问次数走势图由上图可见,在机房遭遇攻击压力的时候,出现了请求次数陡降的情况,这是由于这个时间点上受到大流量攻击时,机房入口带...原创 2020-04-09 14:20:50 · 540 阅读 · 0 评论 -
CC防御方案
1DNS高防方案1DNS高防需求DNS作为网络服务的入口,面临攻击的风险越来越大,传统的DNS服务基本不具备DDOS之类的防御能力,同时互联网上持续发生的DDOS攻击事件在不断的刷新着最大流量攻击纪录。所以提供可靠有效的DNS高防服务,其市场前景非常好。整体上,DNS高防必需满足几个硬需求:对于同一个用户提供联通、电信两条线路的高防节点;支持大流量攻击下的防御,目标防御5...原创 2020-04-07 18:01:45 · 1240 阅读 · 0 评论 -
DNS高防方案
1 DNS高防需求很多年前的需求,仅供参考DNS作为网络服务的入口,面临攻击的风险越来越大,传统的DNS服务基本不具备DDOS之类的防御能力,同时互联网上持续发生的DDOS攻击事件在不断的刷新着最大流量攻击纪录。所以提供可靠有效的DNS高防服务,其市场前景非常好。整体上,DNS高防必需满足几个硬需求:对于同一个用户提供联通、电信两条线路的高防节点;支持大流量攻击下的防御,目标防御50G...原创 2020-04-07 20:23:45 · 1476 阅读 · 0 评论 -
ADS网站可用(ddos)性监控方案
1 监控对象监控的对象是ADS防御范围内的站点,切入ADS防御系统的网站具备如下特点:临时性切入,可能是被攻击后切入的,这时源站服务本身可能不正常,这时ADS支持人员和用户一般都能保持线上沟通;临时性切入的,各地方的DNS解析同步时间不一致;ADS防御机房是电信线路,较单一。根据上述特点分析,ADS网站的可用性监控包括四个方面:DNS解析监控,针对ADS网站切入后,...原创 2020-04-07 19:50:13 · 744 阅读 · 0 评论 -
常见漏洞知识库(原理/场景/修复)
SQL 注入0x01 漏洞描述SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验(类型、长度、业务参数合法性等),同时没有对用户输入数据进行有效地特殊字符过滤,使得用户的输入直接带入数据库执行,超出了SQL语句原来设计的预期结果,导致了SQL注入漏洞。0x02 常见应用场景SQL注入漏洞可能出现在一切与数据库交互的地方,比如常见的查询用户信息、查询订单信...原创 2020-04-30 12:08:38 · 6078 阅读 · 0 评论 -
DDOS防御抗D平台方案
1 抗D平台需求分析1.1 网站服务拓扑示意图如上示意图,存在三个方面可能被攻击的点:递归DNS服务器这个点在运营商环境里,且全网分布众多,攻击成功存在一定的难度。但目前已经有类似的攻击成功案例,即攻击者针对一个个递归服务器进行攻击,攻击的目标是同一个域名,导致各个递归服务器运行很艰难,服务器的维护者会采取的措施是简单粗暴的过滤这一域名的所有请求,从而达到全网不响应该域名请求的结果。...原创 2020-04-10 17:40:47 · 2977 阅读 · 0 评论 -
DDOS防御IP漂移方案
IP漂移修改需求目前IP漂移的方案直接建立在业务网卡上,每个系统可以在启动时加入相应的多播组,通过多播数据后,每个系统独立计算分析出谁该是这一个组中的master,分析的原则就是组内存活的最小IP所在的主机,在组内有系统down机时,master负责接管down的系统,down多少,接多少。上述方案在系统压力不大时,基本不存在问题,即心跳数据正常,接管了down机后的系统仍能轻松运行。...原创 2020-04-10 17:24:12 · 232 阅读 · 0 评论 -
手游服务防DDOS攻击方案
1 手游服务器通用架构这里分析的通用架构是以游戏服务提供的角度,即面向用户的服务是如何部署的。1.1 单机架构一台主机包含了登录服务和游戏服务。1.2 分区架构登录与游戏独立开来,而且游戏服务器还有多台。通过登录后选择指定的游戏区,游戏数据则与固定的区关联。1.3 跨区架构登录与游戏独立开来,但有集中的管理服务器管理各个区的服务器,支持集中保存游戏数据,玩家可以在多个区之间漫游,系统...原创 2020-04-09 14:28:05 · 516 阅读 · 0 评论 -
DDOS攻击类型分析
1 网络层攻击这一大类的攻击主要针对堵带宽的目标,从目标源上有两种形势,一种是攻击者伪造源IP进行流量攻击,基本上都是大数据包;另一种是反射放大攻击,攻击者伪装受害者访问第三方,通过第三方的大量数据包响应来堵塞受害者的网络。1.1 伪造大包攻击伪造大包攻击通常需要攻击者控制的网络可以发送出相应攻击流量的数据包,攻击的同时也消耗自身的巨大资源,这样的攻击一般发生成攻击者自有IDC机房或拥有大量...原创 2020-04-09 14:33:10 · 855 阅读 · 0 评论 -
中间件Apache/JBoss 隐藏服务器版本信息
在一般情况下,我们可以在http header里看到服务器构建的信息,如:Server : Apache/2.0.61 (Unix)X-Powered-By : Servlet 2.4; JBoss-4.0.4.GA (build: CVSTag=JBoss_4_0_4_GA date=200605151000)/Tomcat-5.5这可能存在一些麻烦,如果让人知道软件版本,特别是在软件有b...原创 2020-03-03 17:37:23 · 1878 阅读 · 0 评论 -
CSV XLS 表格命令注入执行
0x01 概述现在很多应用提供了导出电子表格的功能(不限于 Web 应用),早在 2014 年 8月 29 日国外 James Kettle 便发表了《Comma Separated Vulnerabilities》文章来讲述导出表格的功能可能会导致注入命令的风险,因为导出的表格数据有很多是来自于用户控制的,如:投票应用、邮箱导出。攻击方式类似于 XSS :所有的输入都是不可信的。0x02 公...原创 2020-03-03 17:33:41 · 2749 阅读 · 0 评论 -
网站间隙性502故障(绿盟waf)Error:no live upstreams while
现象:11月27日早上8点18分安全巡检发现部分页面间歇性出现502(页面报错,服务器不响应),8:30左右陆陆续续恢复过程:知道监管会在晚上外网扫描(常规扫描)02.09分发起扫描02.10分接收到邮件和短信告警(量不大)02.18分中心电话通知xxx(未接到)02.26分中心二次通知,接听并在群回复监管扫描07.28分中心在QQ通知一直在告警,处理下08.11分到公司在...原创 2020-03-03 17:26:49 · 1323 阅读 · 0 评论