安全检查怎么做?只有最小化原则!

最新推荐文章于 2022-02-28 21:32:00 发布
最新推荐文章于 2022-02-28 21:32:00 发布
阅读量120 收藏
点赞数
分类专栏: 渗透测试 web 文章标签: 运维 ssh
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liguangyao213/article/details/120300724
版权

背景:

什么是安全检查,安全检查就是你的监管部门对你的网络进行安全检查,检查是否符合规定(这里只聊技术性的检查),比如通过攻防演习对你的系统进行检查或者通过渗透测试对你的系统进行检查,而在被检查前作为被检查单位往往要做很多工作,防止在被检查过程中检查处很多问题,而这时有个新的名词叫:迎检,也就是迎接检查的意思,前些年迎检在运营商行业特别的常见,近些年随着国家对网络安全的重视,比如电力、金融、基础设施、大型互联网等越来越多的被自己的监管部门所检查。

面对迎检我们应该做什么?秉持一个原则:最小化原则,什么叫做最小化原则呢?不用的服务器就关掉、不用的业务系统就关掉、不用的端口就关掉(或者是白名单机制)、最后就是有漏洞的系统、网站要打补丁要修复。

秉持了上面的原则,在检查过程中才能被检查出的问题最少。

资产梳理:

什么是资产梳理呢?就是你有多少服务器,服务器ip是多少?里面放的什么业务系统等。

危险端口关闭:

知道了自己的IP资产那我们得知道每个ip上面开放了什么端口,毕竟端口代表着服务,用着得端口就开放,不用得端口就关闭。

必须要开放的端口来渗透是否安全:

以80端口为例,渗透是否安全。存在tomcat管理界面呢还,这怎么能行呢,该关还是要关哦。

总结:

所以从上面看,只要是面对检查之前的工作,首先要知道自己有什么,知道自己在被检查时必须开什么,开着的业务必须要是安全的,以这个原则来迎接检查,我相信被检查的结果应该不会差,如果你日常运维你的网络,那你的网络也会相对安全的。

mingzhi61
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
oracle的健康检查__dba经常的事情
04-21
- 用户权限审查:定期检查用户权限,确保遵循最小权限原则。 - 审计功能:开启审计,记录敏感操作,便于追踪问题。 - 补丁更新:保持数据库系统及时打补丁,防范安全漏洞。 6. **故障排查**: - 使用`alert.log...
国家信息化培训网络安全考试题
10-05
2. **数据包过滤**:设计为允许必要的服务数据包进入而过滤掉不必要的服务,这遵循了最小特权原则,即系统和网络只给予完成任务所需的最小权限。 3. **安全策略**:物理安全策略、访问控制策略和信息加密策略都是...
安全检查
Stestack的博客
06-16 355
我们在主机安全检查或安全事件处置时,避免不了要去检查系统的安全情况。在进行 Linux 安全检查时,需要使用相关的脚本对系统的安全情况进行全面分析,一方面需要尽可能的收集系统的相关信息,另一方面在数量较多的时候尽可能的提高效率。由于在多次的安全检查中遇到检查时都是几十台服务器要一个全面检查的情况,如果人工手写脚本的话,一方面效率较低另一方面需要安全检查者熟悉所需要检查的项。在这种情况下,本人写...
安全-系统上线安全检查规范
huitest的博客
11-24 1818
  现在各个公司都开始重视安全,不仅仅是因为国家开始重视安全,而是安全漏洞一旦暴露,被有心之人发现进行破坏,损失将无法估量;比如:前端时间拼多多优惠券事件…   安全测试是一项比较重要的测试项,但是在测试之前,安全规范之类也应该有所了解,今天来说说上线安全检查规范: 在业务系统发...
软件测试之安全怎么
06-08 1万+
安全测试1.安全测试在什么?2.安全测试者是怎样定位自己的?3.安全的本质是什么?4.概念定义5.我们应该如何去着手5.1.测试的特性5.1.1.操作系统安全5.1.2.数据库5.1.3.web安全5.1.4.软件的发布与安装安全5.1.5.协议与接口攻防5.1.6.敏感数据保护5.1.7.手机端安全5.1.8.静态代码分析(纯白盒)5.2.WEB安全测试5.2.1.身份验证5.2.2.验证码 (普通验证码、知识验证码、无需思考的滑动验证码)5.2.3.会话管理5.2.4.权限管理5.2.5.敏感信息传输
Linux用户与“最小权限”原则
孤云博客
03-06 2878
随时随地阅读更多技术实战干货,获取项目源码、学习资料,请关注源代码社区公众号(ydmsq666)、博主微信(guyun297890152)、QQ技术交流群(183198395)。 from:https://www.cnblogs.com/vamei/archive/2012/10/07/2713593.html 作者:Vamei 出处:http://www.cnblogs.com/vame...
电脑故障维修的基本原则.docx
11-06
电脑故障维修的基本原则是任何IT技术人员在处理问题时应遵循的准则,旨在提高效率,减少误判,并确保设备安全。这些原则不仅适用于专业技术人员,也适用于日常用户在遇到电脑问题时自我诊断和解决。 首先,维修时应...
国家信息化培训网络安全考试题(带答案)参照.pdf
11-30
2. 数据包过滤系统:这种系统遵循“最小特权”原则,只允许必要的服务数据包进入,阻止不必要的服务以提高安全性。 3. 安全策略涉及的方面:安全策略包括物理安全策略(如设备防护)、访问控制策略(限制谁可以访问...
ssh key 批量分发项目-仅参考详细笔记实战案例
最新发布
07-02
虽然这里使用了root用户进行演示,但在实际环境中,推荐使用普通用户进行这些操作,以遵循最小权限原则。 总结起来,SSH密钥分发是自动化运维中的重要一环,它可以提高效率,减少手动输入密码的需求,同时提供更...
详细安装sqlmap详细教程
热门推荐
liguangyao213的博客
01-23 3万+
python环境安装+sqlmap快捷方式创建教程 因为sqlmap是用python语言编写所以我们在使用sqlmap之前要先安装python环境 python下载地址:Download Python | Python.org 选择适合自己操作系统的版本 下载成功后双击exe文件自动安装 点击安装后会出现安装进度条 待安装完毕,会出现以下界面,代表你安装成功了。 win+r 输入cmd后回车打开命令行界面 在命令行界面输入python -V查看环境变量
文件上传漏洞 — ::$DATA绕过、点和空格绕过
liguangyao213的博客
02-28 1万+
web渗透测试最全实战课程--渗透测试视频教程-信息安全-CSDN程序员研修院 文件上传漏洞的相关讲解基于upload-labs靶场,搭建教程见文件上传漏洞靶机搭建教程 ::$DATA绕过 补充知识 Windows本地文件系统中的文件流(File Streams): 当从 Windows shell 命令行指定创建文件时,流的完整名称为 "filename:stream name:stream type",如示例中所示: "myfile.txt:stream1:$DATA"
Bcrypt密码生成及解密工具
liguangyao213的博客
02-06 8505
在一次授权测试中碰到一种密文,当时无法解出明文,当结束后对这种难缠的加密算法进行了学习,因此产生了这篇文章。 密文形式如下图所示: 经查询为Bcryp加密,而且同一明文密码经过加密后生成的密文不是相同的,比如我们尝试加密123456789两次加密的结果如下所示: 本次学习采用Spring Security crypto 项目实现的BCrypt加密,对该项目中生成密文的步骤进行一步一步的分析调试,发现BCrypt加密算法是先随机生成salt,然后使用随机生成的salt与明文密码进行计..
JavaScript中的安全问题
liguangyao213的博客
11-17 4771
更多渗透课程可以点我头像看我的视频哦,也可以点击下面链接 web渗透测试最全实战课程--渗透测试视频教程-信息安全-CSDN程序员研修院 JavaScript介绍 JavaScript(简称“JS”) 是一种具有函数优先的轻量级,解释型或即时编译型的编程语言。也就是脚本语言。 JavaScript和Java的关系区别呢?JavaScript和Java没什么关系,两种不同的语言。 JavaScript作用 JavaScript被广泛用于Web应用开发,常用来为网页添加各式各样的动态功能,为
小程序抓包&反编译测试从0到1
liguangyao213的博客
02-15 3339
APP、小程序抓包,测试教学视频请观看: Android安全逆向技术入门课程--移动安全视频教程-信息安全-CSDN程序员研修院熟悉了解Android程序APK的基本结构、文件格式 掌握APK反编译常用工具 能够学会绕过常见VIP限制-https://edu.csdn.net/course/detail/36176 0x00. 小程序抓包测试 1.1 抓包前言 先说说问题微信小程序无法抓包主要的原因 在 Android7.0 及以上的系统中,每个应用可以定义自己的可信 CA 证书。 默...
存储型XSS原理讲解及实战实验
liguangyao213的博客
12-23 3262
原理:使用者提交的XSS代码被存储到服务器上的数据库里或页面或某个上传文件里,导致用户访问页面展示的内容时直接触发xss代码。 输入内容后直接在下方回显,回显的地方就是我们插入的内容的地方。 根据显示代码进行闭合弹框尝试,payload: 黑客一般都会使用存储型xss进行钓鱼。 在pikachu平台自带有钓鱼功能,鱼饵:http://81.68.155.178:82/pkxss/xfish/fish.php 将上面的鱼饵写入到我们的存储型xss中,然后引诱鱼儿上钩: payload:&
sql-lib靶场搭建-windows操作系统
liguangyao213的博客
01-26 3161
下载phpstudy,下载地址:Windows版phpstudy下载 - 小皮面板(phpstudy) 下载完成,解压后文件目录如下:: 双击exe文件进行快速安装即可进行安装: 安装完成后双击图标,面板显示为下图: 到此phpstudy安装完成,下一步进行sql-lib靶场下载,下载地址:https://github.com/Audi-1/sqli-labs 下载完成后将解压文复制到phpstudy的WWW目录下,默认安装情况下phpstudy的目录路径为C:\php..
Goby+AWVS看黑客如何躺着挖洞,看似普通人都能操作
liguangyao213的博客
09-26 2016
Goby: Goby是针对目标企业梳理最全面的工具,同构goby可以清晰的扫描出ip地址开放的端口,以及端口对应的服务,于此同事会根据开放的端口及应用进行实战化的测试,并不在乎他的中低危害漏洞,而更在乎的是它能直接getshell的漏洞。 AWVS: AWVS这款工具大家应该都比较熟悉了,他是针对web的轻量级的漏洞扫描工具。也就是根据我们提供的被扫描地址,快速的扫描出其所有的漏洞,包含高中低及信息泄露等漏洞。 Goby+AWVS: 结合我们前面的介绍,大家想想,Goby探测出ip地址开放
AWVS批量扫描支持联动 log4j漏洞利用专项
liguangyao213的博客
02-12 1837
https://edu.csdn.net/course/detail/35976http://渗透测试中三种扫描器联合使用,躺着也能收漏洞 0x01 工具介绍 本工具针对AWVS14开发扫描扫描脚本,支持常见的CVE\Bug Bounty\常见高危\SQL插件\log4j等漏洞漏洞的,并且支持扫描联合xray、Burp、w13scan等多种部署扫描版本,自定义扫描脚本。 0x02 工具详情 config.ini 请使用编辑器更改,记事本会改会原有格式。 1 【批量添加url到AWVS扫描器扫
CentOS8最小化安装与配置指南
"本文档是关于如何使用HuaLinux1.2在CentOS8上进行最小化安装的教程,适合从零开始自学Linux...这篇教程详尽地涵盖了从安装CentOS8最小化系统到初步配置和安全优化的全过程,对于初学者来说是一份非常实用的学习资料。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mingzhi61

你的打赏,是我创造最大的动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值