- 博客(38)
- 收藏
- 关注
RSS订阅原创 Atlassian Jira 信息泄露漏洞(CVE-2019-3403) 排查思路
企业广泛使用的项目与事务跟踪工具,被广泛应用于缺陷跟踪、客户服务、需求收集、流程审批、任务跟踪、项目跟踪和敏捷管理等工作领域。如果是正常的访问也会返回敏感数据,返回包中的敏感信息是正常的响应内容,所以他不算是一次攻击成功,算是误报。告警的检测规则是匹配响应中有没有返回数据包里面带有敏感信息的部分(检测URL和响应体)。如果是内部人员正常的操作,可以确定这是一次误报,但是不能确定他存不存在这个漏洞。2.通过受害者IP地址找到对应的人员并确认他们是否进行了可能的不当操作。信息泄露漏洞的告警。
2024-04-28 10:13:49
67
原创 第10章 物理安全要求
根据大多数国家/地区的建筑规范,放置在正压送凤系统空间中的物体都必须具有正压送风系统等级,特别地,如果建筑物是可能聚集气体的密闭空间,这种防火等级要求这些产品产生最低水平的烟雾或有毒气体。会产生RFI的普通电器多种多样,如荧光灯、电缆、电加热器、计算机、电梯、电机以及电磁铁,所以在部署IT系统和其他设施时,一定要注意周围电器的影响。相同访问级别的区域应该是开放的、吸引人的、易于移动的,但那些受到限制或封闭的区域应该更难进入,需要个人具有更弹的意图并付出更多的努力才能进入。
2024-04-15 16:50:17
889
原创 第9章 安全漏洞、威胁和对策(9.17-9.19)
但是你要知道,SIM卡是用于全球移动通信系统(GSM)手机的,而码分多址(CDMA)手机使用的是电子序列号(ESN) ,这个序列号被嵌在手机中,可以识别设备、用户以及控制设备的服务和使用。如果设备完全归你拥有,或者你签订了一两年的设备付费使用合同,或者你签订了设备租用到期后归你所有的合同但在合同履行完毕之前设备不完全归你拥有,那么生根设备的行为对你来说是合法的。有了这些广泛的传感数据,如果一个设备的初始位置是已知或可以近似估算的,那么若把连续的传感器数据记录下来,或许可以判断设备在未来任何时间点的位置。
2024-04-07 09:57:25
388
原创 第9章 安全漏洞、威胁和对策(9.11-9.16)
SDx包括:虚拟化、虚拟化软件、虚拟化网络、容器化、无服务器架构、基础设施即代码、软件定义网络(SDN,第11章)、虚拟存储区域网(VSAN,第11章)、软件定义存储(SDS,第11章)、虚拟桌面基础设施(VDI)、虚拟移动基础设施(VMI)、软件定义可见性(SDV)和软件定义数据中心(SDDC)。采用IaC时,硬件基础设施的管理方式与软件代码的管理方式基本相同,包括:版本控制、部署前测试、定制测试代码、合理性检查、回归测试和分布式环境中的一致性。无人机与授权控制系统的连接是否经过身份认证?
2024-02-05 10:37:10
591
原创 第9章 安全漏洞、威胁和对策(9.3-9.10)
静态环境、嵌入式系统、可联网设备、信息物理融合系统、高性能计算(HPC)系统、边缘计算设备、雾计算设备、移动设备以及其他用途有限或用途单一的计算环境都需要安全管理。,如暖通空调管理、空气质量控制、碎片和烟雾探测、照明控制、自动门禁、人员和资产跟踪,以及消耗品(如咖啡、快餐、打印机墨粉、纸张和其他办公用品)库存管理和自动登记。提供人体增强或辅助功能的假肢、车辆防碰撞系统、空中交通管制协调系统、精确的机器人手术、危险条件下的远程操作,以及车辆、设备、移动设备和建筑物的节能系统等。
2024-02-04 09:55:28
481
原创 第9章 安全漏洞、威胁和对策(9.1-9.2)
我们使用相同的基本技术,遵循相同的通信协议规范,在同一个互联网上漫游,共用操作系统和编程语言的基础,我们的大部分IT/IS都靠解决方案现货(无沦是商用的还是开源的)实现。此外,进程调度程序通常让最高优先级的进程先执行,因此,即使排到队列前面,也不一定能保证立即实现对CPU的访问(因为进程可能会在最后一刻被另一个优先级更高的进程抢了先)。需要特别留意的是,存储设备(如硬盘或闪存盘)的物理部分虽然属于硬件,但是这些设备中的内容(由“0”和“1“集合构成的软件以及存储在其中的数据)不属于硬件。
2024-01-31 14:59:37
690
原创 第8章 安全模型、设计和能力的原则
为某些类型的应用购买信息系统的用户——例如持有极具价值(或落入坏人之手会非常危险)的敏感信息的国家安全机构,或者持有一些价值数十亿美元的数据的中央银行或证券交易商——在达成交易之前往往要先了解信息系统的安全优势和弱点。例如,想要获得一个客体的权限时,不必从已拥有这一权限的用户账户把权限复制出来,而只需要用一个具有创建或分配权限的账户创建——这个账户可以是一个对象的拥有者,也可以是对对象有完全控制权或管理权的主体。因此,这个概念本身也适用于保护保密性。在许多情况下,主体和客体之间存在一个中间程序。
2024-01-19 14:42:04
482
原创 第7章 PKI 和密码应用
该论文面世时,相比于RSA算法,ElGamal 的主要优势之一在于,他的论文是在公共域公开发表的ElGamal博士没有为他对Diffie-Hellman算法的扩展申请专利权,而是。接下来,当用户请求安全的Web连接时,Web服务器会将证书与OCSP的回应装订到一起以发送给用户,然后,用户的浏览器验证证书的真实性以及装订好的OCSP 回应的真实性和最新性。在以下各节,你将学习公钥基础设施的基本成分以及使全球安全通信得以实现的密码学概念,并学习数字证书的构成、发证机构扮演的角色以及生成和销毁证书的流程。
2024-01-12 09:56:40
529
原创 第6章 密码学和对称密钥算法
安全专业人员在挑选加密算法时,必须重视密码生命周期问题,且必须通过适当的管治控制确保无论需要在多长时间内保证受保护信息不泄密,所选中的算法、协议和密钥长度都足以保持密码系统的完整性。此外,若想使自己的数据更有可能抵御密码分析的纠缠并安全无恙地维持到未来的某个时候,你还必须在数据应当保持安全的整个时期内设法使用超过密码分析能力预期发展步伐的密钥。DES-EDE3可用以下表达式表示,其中E(K,P)代表用密钥K给明文P加密,D(K,P)代表用密钥K给密文C解密: E(K1,D(K2,E(K3,P)))。
2024-01-08 09:43:51
1807
原创 第5章 保护资产安全
敏感数据不是公开的数据,也不是未分类的数据,它包括机密的、专有的、受保护的或因其对组织的价值或按照现有的法律和法规而需要组织保护的任何其他类型的数据。(2) 涉及任何个人的如下信息:过去、现在或将来在身体、精神方面的健康状况,向个人提供的健康保健条款,过去、现在或将来为个人提供医疗保健而支付的费用。“禁止将个人数据转让给笫三国或国际组织,除非本条例中有关转让的规定受制于适当的保障措施,包括具有约束力的公司规则,以及对特定情况的免除条款。,在图5.1 中,绝密代表政府的最高分类,机密代表组织的最高分类。
2024-01-05 10:39:47
1410
原创 第4章 法律、法规和合规
•开展安全意识培训,告知员工(包括合同商和其他支持组织运营的信息系统用户)与他们的工作相关的信息安全风险,并使其知道他们有责任遵守组织为降低这些风险而设计的策略和程序。因此,在冷战期间,美国政府制定了一套复杂的法规制度以管制向其他国家出口敏感的硬件和软件产品的行为,包括管理跨国界流动的新技术、知识产权和个人身份信息。新法规强制要求的一个变化涉及法律对待商业伙伴的方式,商业伙伴指处理受保护的健康信息(PHI) 的组织,代表HIPAA约束的实体。该标准适用千联邦计算系统也常被用作行业网络安全基准。
2024-01-03 15:43:21
769
原创 第3章 业务连续性计划
如果BCP团队未能修正存在错误的分析结果,整个BCP流程将受到负面影响,导致制订的业务连续性计划无法完全满足整个组织的应急响应需求。高层领导在计划中的签名,也使计划在其他高级管理人员眼中具有更高的重要性和可信度,否则他们可能将其视为一项必要但微不足道的IT计划。你应该意识到,管理资源的领导者会严格审核你提交的BCP方案,你需要用有条理的、逻辑严密的BCP业务案例观点来证明该计划的必要性。BCP团队应该共同开发实施计划,该计划使用分配的资源,根据给定的修改范围和组织环境,尽快实现所描述的过程和预备目标。
2024-01-02 10:47:35
930
原创 第2章 人员安全和风险管理的概念
具体而言,可以指攻击者最开始进行的信息收集或诱骗行为,包括以盗窃或者以其他方式获取用户名、电子邮件、密码、秘密问题的答案、信用卡号、社会保险号、医疗保健服务号以及其他相关的和有关联的事件信息。•使用多种演示方法,如现场介绍、预先录制的视频、计算机软件/模拟软件、虚拟现实(VR)体验、非现场培训、互动式网站,或指定阅读准备好的课件或现成的书籍。实际成本、安全预算、与现有系统的兼容性、IT人员的技能/知识库、产品的可用性、政治问题、合作伙伴关系、市场趋势、热点、市场营销、合同和倾向。
2023-12-29 15:06:09
1041
原创 第1章 实现安全治理的原则和策略
安全专业人员、信息安全官(InfoSec)或计算机事件响应小组(computer incident response team, CIRT) 的角色被分配给受过培训和经验丰富的网络、系统和安全工程师们,他们负责落实高级管理者下达的指示。托管员执行所有必要的活动,为实现数据的CIA三元组(保密性、完整性和可用性)提供充分的数据支持,并履行上级管理部门委派的要求和职责。除了所有兼并与收购中的典型业务和财务方面,为了降低在转型期间发生损失的可能性,良好的安全监督和加强的审查通常也是极其重要的。
2023-12-12 17:03:39
923
原创 第1章 实现安全治理的原则和策略
策略是广泛的安全声明。3. 变更控制管理的好处包括:防止由于不受控制的变更而导致不必要地降低安全性,记录和跟踪环境、标准化、使所有更改符合安全策略,以及在不需要或意外结果发生时回滚更改的能力。18. B. 在列出的选项中,机密是军事数据分类中最低的。请记住,标为“机密”“秘密”和“绝密”的项目统称为“密级“,而“机密”在列表中的“秘密”以下。7. C. 数据、对象和资源的可访问性是可用性的目标。15. B. 数据分类方案的主要目标是基于指定的重要性与敏感性标签,对数据进行正式化和分层化的安全防护过程。
2023-06-06 10:48:29
201
原创 常见的网络安全攻击和防护方法
token可以在用户登陆后产生并放于session或cookie中,然后在每次请求时服务器把token从session或cookie中拿出,与本次请求中的token 进行比对。但在处理多个页面共存问题时,当某个页面消耗掉token后,其他页面的表单保存的还是被消耗掉的那个token,其他页面的表单提交时会出现token错误。服务器读取浏览器当前域cookie中这个token值,会进行校验该请求当中的token和cookie当中的token值是否都存在且相等,才认为这是合法的请求。
2023-06-01 14:58:05
704
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人