运维安全
关注
分享
扫一扫
CN_SHzhaoyujie
吾尝自悯,以为戚戚然。夫世人之志所求,欲满其心之名利。或谓曰“:夫存世之道,得名而追利,欲满而不达,增此往复,虽有名利而心不足也。”吾所念者,世人非所愿也。何也,逍遥无所求也。
展开
-
安全意识
文章目录一、密码安全二、邮件安全三、上网安全 软件安全四、其他安全一、密码安全离开桌面电脑锁屏和把项目文件收起来对文档进行加密 可以使用压缩包机密 密码设置为中文对硬盘进行加密 右键 — 启动BitLocker设置强密码定期修改密码二、邮件安全切勿打开邮件中不明身份的附加(word文件勿打开宏)重要文件通过邮件发送并且加密并且密码通过手机或其它方式告知定期清理邮件...原创 2019-12-04 10:14:39 · 234 阅读 · 0 评论 -
OpenResty && OpenRASP
文章目录OpenResty安装OpenRestyWAF的列表配置waf规则OpenRASP下载漏洞环境安装单机版openraspopenrasp后台管理安装后台系统添加客户端OpenRestyOpenResty是一个基于 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应...原创 2019-12-04 10:10:36 · 2200 阅读 · 1 评论 -
Nginx加固 && Tomcat加固
Nginx加固一、 禁止显示版本nginx禁止显示版本有两种方法配置文件添加语句vim /usr/local/nginx/conf/nginx.confserver_tokens off;源码编译的时候修改/src/core/nginx.h#define NGINX_VERSION "1.9.15"#define NGINX_VER "nginx/" NGINX_V...原创 2019-12-04 10:00:19 · 342 阅读 · 0 评论 -
CentOS7加固 && Apache加固
文章目录CentOS7系统加固SSH密码加固修改SSH配置文件Apache加固隐藏server版本号防止列目录泄露敏感信息指定目录(上传目录)禁止php解析限制管理员后台特定IP访问关闭对.htaccess的支持CentOS7系统加固SSH密码加固服务器上所有账号的密码都要采用毫无关联的强密码,密码为不少于16位的大小写字母数字特殊符号的组合。yum install -y expectm...原创 2019-12-04 09:56:16 · 404 阅读 · 0 评论 -
ElasticSearch漏洞 && Mongodb漏洞 && Mongodb漏洞
ElasticSearch漏洞 && Mongodb漏洞 && Mongodb漏洞ElasticSearch漏洞漏洞环境下载:https://github.com/vulhub/vulhub/tree/master/elasticsearch启动:docker-compose builddocker-compose up -dCVE-2014-312...原创 2019-12-04 09:50:49 · 370 阅读 · 0 评论 -
Rsync漏洞 && Redis漏洞
Rsync漏洞 && Redis漏洞Rsync配置不当Rsync(remote synchronize)是一款实现远程同步功能的软件。它在同步文件时可以保持原来文件的权限,时间,软硬链接等附加信息。rsync默认同步是不加密,可使用ssh隧道方式进行加密同步。端口默认873,和其他软件搭配使用 rsync + crontab rsync + sersync使用ssh隧道方式进...原创 2019-12-04 09:47:42 · 1614 阅读 · 0 评论 -
zabbix漏洞
文章目录Zabbix配置不当安全事件Zabbix弱口令利用建立监控项Zabbix注入Zabbix配置不当安全事件sohu的zabbix,可导致内网渗透http://wy.zone.ci/bug_detail.php?wybug_id=wooyun-2015-0127627京东某站shell直入jae内网物理机内核版本过低http://wy.zone.ci/bug_detail....原创 2019-12-04 09:45:53 · 739 阅读 · 0 评论 -
文件泄露
文章目录Git什么是文件泄露Github从代码内部可以获取到真实典型案例:git 导致文件泄露陌陌某重要应用源码泄露 (安全意识不到位)利用方法修复漏洞SVN 信息泄露错误的导出方式手动敲代码 复现使用 Seay-Svn 工具复现修复代码DS_Store案例修复:小众漏洞修复:.bzrCVS修复:WEB-INF/web.xml案例修复:网站备份Git什么是文件泄露GitHub.git ...原创 2019-12-04 09:44:37 · 1122 阅读 · 0 评论 -
ss_文件上传_命令执行
文章目录xss什么是XSSXSS有什么危害XSS的三种类型反射型存储型XSSDOM Base XSS常见的XSS防护方法文件上传什么是文件上传文件上传的校验流程推荐一个测试上传的web客户端验证 (其实作用不大)MIME验证MIME主类别:MIME验证如何防护命令执行什么是命令执行xss什么是XSSXSS 又叫CSS(Cross site Scripting)跨站脚本工具,常见的WEB...原创 2019-12-04 09:43:47 · 732 阅读 · 0 评论 -
http请求和kali介绍
HTTP消息参考:https://itbilu.com/other/relate/EJ3fKUwUx.htmlBurpSuiteBurpSuite是一款信息安全从业人员必备的集成型的渗透测试工具,它采用自动测试和半自动测试的方式,包含了:Proxy,Spider,Scanner,Intruder,Repeater,Sequencer,Decoder,Comparer通过拦截HTT...原创 2019-05-08 17:43:43 · 1004 阅读 · 0 评论 -
安全基础——安全术语
肉鸡可以利用肉鸡的流量带宽计算能力等,进行诸如DDOS攻击、挖矿等行为。肉鸡一般可分为家庭鸡和网吧鸡抓鸡指通过扫描弱口令、爆破、漏洞自动化种马达到控制机器的目的。抓鸡一般分为:1433(sql:通过sa权限种马)3389(windows远程桌面端口)3306(myql:通过root权限)木马分类计算机木马网页木马大马简称webshell,...原创 2019-05-05 22:52:26 · 5564 阅读 · 4 评论 -
web漏洞-sql注入
文章目录SQL注入原理acccess+asp注入基本流程SQL注入发现注入分类注入提交方式注入方式SQL手工注入手工注入流程:实例操作过程:常见查看数据库信息的函数:sqlmap的使用常用参数针对POST方式的注入防护SQL注入SQL注入原理SQL:结构化查询语言,是一种特殊目的的编程语言,一种数据库查询和程序设计语言,用于存取数据以及查询、更新和管理关系数据库系统。原理:通过构建特殊的输入...原创 2019-12-04 09:41:16 · 641 阅读 · 0 评论