码者人生的技术博客

如果没有做过滤，并且外部也可以随意控制参数的值，例如SQL注入，最终走到了JDBC上执行，那么就可以确定，当前是存在SQL注入漏洞的。这里只是拿SQL注入做个例子，其他类似漏洞也是一样的检测原理，也正是这个原理，让IAST在SQL注入这种类型的检测上面准确率极高。代表污点输入源，和零信任的概念类似，通常我们认为，任何从外部输入的数据都是不受信任的污点数据，都有可能对系统造成危害。代表污点汇聚点，通常是指将会产生安全问题的敏感操作。基于这个漏洞原理，IAST主要的原理就是基于。，但是背后实现的原理不太一样。

SCA 概念出现其实很久了。简单来说，就是针对现有的软件系统生成粒度非常细的 SBOM（Software Bill of Materials 软件物料单）清单，然后通过⻛险数据去匹配有没有存在⻛险组件被引用。目前，市面上比较出色的商业产品包括 Synopsys 的 Blackduck 、Snyk 的 SCA 、HP 的 Fortify SCA 等，开源产品包括国内悬镜的 OpenSCA。

夷山，美团点评技术专家，现任TechClub-Java俱乐部主席，2006年毕业于武汉大学，先后就职于IBM、用友、风行以及阿里。2014年加入美团，长期致力于BI工具、数据安全与数据质量工作等方向。中华，美团点评数据系统研发工程师，2017年加入美团点评数据中心，长期从事于BI工具、数据安全相关工作。

一、背景在漏洞扫描领域，主流的扫描方式分为黑盒扫描和白盒扫描，其中源代码安全检测即白盒扫描是安全开发流程（SDLC）中非常重要的一部分。传统漏洞大多数都能通过工具的方式检出，但对于越权漏洞，工具较难解决，在对黑盒工具赋能后，无恒实验室又尝试探索对白盒工具赋能进行定制化的扫描，下面将为大家分享无恒实验室利用白盒工具进行越权漏洞治理的思路。二、面临的挑战无恒实验室针对历史越权漏洞进行了梳理，发现涉及的业务种类复杂，同时不同的业务有不同的鉴权模型，也有多种鉴权方式（函数代码、中间件、网关插件、上下游RPC等）。所

A3：答案是否定的。第一，正常情况下数据应用是经常性的，并且数据权限是全鉴权机制，若在用户数据同时出现在双日志中此部分数据权限不会被判定为冗余权限也不用影响到数据的应用。数据审计：数据审计主要分为三部分，数据的访问行为审计、数据授权的审计以及聚焦于数据安全产品本身可操作行为的审计。A2：以单人来举例，一个用户在治理前拥有 100 个权限，其中 50 个长期不访问，那么他的权限冗余占比为50%，通过治理回收了长期不访问的 50 个权限中的 40 个，那么治理后的权限冗余占比为 10/60=16.67%。

Token化（Tokenization）是通过不敏感的数据等价替代物Token来替换个人敏感数据，在业务系统中流通来降低数据风险和满足隐私合规的方案。Token化属于去标识化技术的一种。最早出现在支付卡行业（PCI）场景替换银行卡（PANs），目前有趋势替换通用数字化场景中的个人敏感信息（PII）。个人唯一标识信息（PII）：任何可以直接、间接关联到具体的自然人的唯一标识信息如身份证件、手机号、银行卡、电子邮件、微信号或者地址。单独依赖PII信息，结合其他公开信息，就可以找到自然人。

我们曾经设想，在即将来临的万物互联时代，要对联网的万事万物（物联网设备）都分配数字身份。中，但不会提供有关该组成员具备的访问权限的详细信息，也不会提供对特权会话期间收集的详细会话日志或键盘记录的访问能力。从上述攻击链的四个阶段来看，身份攻击的重点在于其中的两个阶段：入侵阶段和利用阶段。随着机器学习(ML)和人工智能(AI)的进步，现在可以发现和处理大量的运营数据，以揭示隐秘的洞察和可操作的指示，远远超越了。通过在身份的整个生命周期中嵌入策略和控制，组织可以实现增强的自动化、持续的合规性、降低的安全风险。

SDP架构需要用户安装客户端，所以SDP对终端的安全控制更强，客户端和网关联动能产生更严密的防护效果。但客户端也限制了SDP的应用场景。一些公开的网站没法用SDP保护。SDP特别适用于合作伙伴、供应商、第三方人员、分支机构等等特定人群访问业务系统的场景。这些系统需要在互联网上开放，以便第三方人员访问。但是又不需要向全世界所有人开放，引来黑客攻击。这种场景下，SDP能保证合法用户正常连接，对未知用户“隐形”。SDP在这类场景下是相当能打的。

那么究竟什么是SDP呢？客户端在进行数据访问前，首先要通过控制平面和SDP控制器、应用服务器建立认证、授权通道，在认证通过并获得访问授权后，SDP控制器确定一个客户端可以被授权通信的主机列表，然后客户端才能在数据平面建立起与应用服务器之间的数据访问通道，允许正常访问的流量通过，因此这种访问控制模型天然具备抵御资源消耗性攻击（DDos）的特征。以上四点是对SDP工作流程的核心概述，SDP要求端点在对被保护的服务器进行网络访问前首先进行认证和授权，然后，在端点和应用基础设施之间建立起实时的加密连接访问通路。

零信任 SDP 为用户提供独特的固定身份和微隔离访问，仅供访问所需的资源，如此一来，被感染设备对整个网络产生的影响就非常有限了。幸运的是，名为软件定义边界 (SDP) 的远程访问新范式采用零信任方法，以基于身份的细粒度访问代替广泛的网络接入，提供重要 IT 资源访问。从不掉线的软件定义边界在应用层守护网关安全，把守通往云基础设施及其相互之间的交通要道，构筑健壮的安全框架。名为软件定义边界 (SDP) 的远程访问新范式采用零信任方法，以基于身份的细粒度访问代替广泛的网络接入，提供重要 IT 资源访问。

proxy_set_header X-Forwarded-For ：如果后端Web服务器上的程序需要获取用户IP，从该Header头获取。配置以上配置后，/static/ 相关的日志会被单独记录在static-error.log文件中。open_log_file_cache: 定义日志文件缓存。access_log用来定义日志级别，日志位置。access_log: 定义日志的路径及格式。log_format: 定义日志的模板。log_format 定义日志格式。access_log日志配置。........

但实际上，我们经常发现SAST，DAST，IAST等十分近似的名词让许多企业的安全负责人都缺乏清晰的理解。我们可以看到，与SAST和DAST类产品相比，IAST类产品拥有明显的优势。因为IAST不仅拥有安全测试上的能力优势，也更容易与DevOps紧密结合，帮助机构在不降低发布效率的前提下完成安全测试。与SAST相反，DAST（Dynamic Application Security Testing，动态应用程序安全测试）对应用程序进行黑盒分析，这意味着它们不能访问代码或实现细节。即插即用，无需配置或调参；.

CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字，可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据，虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明的一个漏洞，如果有CVE名称，你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息，解决安全问题。全称：remote

近年来，零信任获得了国内外的广泛认可，例如美国国防部、标准化机构NIST都在积极推动零信任的落地与标准化，国内工信部也将“零信任安全”列入需要着力突破的网络安全关键技术，国内多项零信任标准项目也在积极推进中。但是，零信任之路仍然充满挑战。尽管零信任能够带来很多好处，但真正开始实施时，很多企业还是缺乏落地经验。Gartner通过调研分析，总结出成功实施零信任网络访问(ZTNA)项目的五个建议。奇安信身份安全实验室结合自身实践经验，在这里给大家做一些简单解读。尽早规划企业业务需求Gartner建议企业组织在实施

威胁检测-flink双流合并应用在过滤安全日志威胁检测的场景囊括了各种服务器（前端服务、java、go、php、数据库等各种不同种类的服务器），并且日常从服务器中采集的日志种类又达到数十种之多，从这些日志里面我们要做威胁分析存在各种难点，首先第一步就是要从这些日志里面提取出真正有威胁的日志，把那些没有危险的日志过滤掉，那么挑战就来了，如何过滤掉那些我们可信的日志，比如MySQL服务器上的日志里面，我们需要把我们自己log-agent进程对应的日志去掉。先看我们整体的处理流程，该流程重点是在第4步，flink

我们先看下NAT的几种模型，nat包括nat、snat、dnat三种，三者是一种抽象继承关系，如下先看下这些基础；[root@slave-mysql ~]# vim /etc/resolv.conf -->存放dns服务器ip地址的，真正我们进行域名查询的时候，就到这个文件里找dns服务器地址# Generated by NetworkManagernameserver 114.114.114.114NAT解决的问题NAT实现方法的工作过程：NAT 的优点linux里的NA

618大促流量一路狂飙，用java springboot 开发的日志服务作为威胁检测安全日志通路的入口，不能让程序被打挂导致服务不可用，所以我们采取阶梯的限流模型，以确保高峰期间绝大部分流量会被处理，而不至于让程序被打挂导致大量日志丢失。......

近期需要用到规则引擎来做数据处理和威胁检测引擎，所以对市面上常见的集中常见的规则引擎常用的几种技术方案做了调研，我采用同样的规则，分别采用下面规则引擎执行100万次、1000万次、5000万次，每个场景执行3次取平均值得出如下表格的结果，从性能测试结果来看，groovy胜出，性能最佳

提升安全响应效率不能仅仅从单点去考虑，还需要从全网整体安全运维的角度去考虑，要将分散的检测与响应机制整合起来。而这正是 SOAR 要解决的问题。

调试openresty时候发现lua下经常获取不到http请求的body，现在经过验证有了解决方法

Openresty下通过lua脚本结合nginx配置提供http接口

一、梳理允许访问的IP地址1、ES客户端IP地址192.168.32.120192.168.32.1212、集群中节点的IP地址192.168.32.122192.168.32.123192.168.32.124二、登录ES主机(ubantu为例)，执行以下命令# 创建iptables策略保存路径mkdir -p /etc/iptables# 允许集群内主机IP访问本机9200端口iptables -A INPUT -s 192.168.32.123 -p tc

nginx有11个处理阶段，如下图所示：每一个处理阶段描述指令 所处处理阶段 使用范围 解释 init_by_lua init_by_lua_file loading-config http nginx Master进程加载配置时执行；通常用于初始化全局配置/预加载Lua模块 init_worker_by_lua init_worker_by_lua_file starting-worker http 每个..

X-Forwarded-For(XFF) 在客户端访问服务器的过程中如果需要经过HTTP代理或者负载均衡服务器，可以被用来获取最初发起请求的客户端的IP地址，这个消息首部成为事实上的标准。在消息流从客户端流向服务器的过程中被拦截的情况下，服务器端的访问日志只能记录代理服务器或者负载均衡服务器的IP地址。如果想要获得最初发起请求的客户端的IP地址的话，那么 X-Forwarded-For 就派上了用场。

信息安全-史诗级漏洞Log4j的漏洞机理和防范措施及对安全能力建设的思考

前端防止XSS攻击窃取cookie内容

Nginx通过反向代理做负载均衡时，如果被代理的其中一个服务发生错误或者超时的时候，通常希望Nginx自动重试其他的服务，从而实现服务的高可用性。实际上Nginx本身默认会有错误重试机制，并且可以通过proxy_next_upstream来自定义配置。

max_fails=1 fail_timeout=30s; 转发给后端服务时，若发现后端服务故障，则将请求转发给其他节点进行处理，并将服务器标记为故障、在30s时间内不再转发给故障服务器。30s后重试转发给故障服务器，若仍旧不成功则重复刚才的操作；

MAC电脑上通过jdk8自带keytool生成秘钥和原始证书，操作如下图生成服务器秘钥：keytool -genkey -alias my-server -keypass 'mypassword' -keyalg RSA -keystore server20210427.keystore -validity 365生成服务器原始证书：keytool -export -alias my-server -storepass 'mypassword' -file server20210427.c.

上操作流程步骤步骤描述如下：1.生成根证书需要用到的秘钥文件；2.从根证书秘钥生成根证书；3.生成服务器证书要用到的秘钥文件；4.用服务器秘钥文件生成证书请求CSR文件；5.采用 第一步生成的根证书秘钥 和 第二步生成的根证书 对CSR文件进行签发证书；6.得到服务器证书，这里服务器证书和服务器的秘钥是一一对应；操作步骤的命令和配置1. openssl genrsa -out caKey.pem 20482. openssl req -new -x509 -key ..

引用的jar包 <dependency> <groupId>org.bouncycastle</groupId> <artifactId>bcprov-jdk16</artifactId> <version>1.46</version> </dependency>创建证书X509CertInfo ...

3次握手，针对的是客户端和服务端建立链接的过程。4次握手，针对的是客户端和服务端断开链接的过程。

windows机器查询登录用户query user ^|findstr “part_name”# 这里part_name指登录账号中包含的关键字登出用户logoff session_id#session_id = query user 查询出来的第三列禁用账号net user 'account_name' /active:no#account_name = 当前登录的账号上面三个命令一起来个组合操作：查询当前包含关键字的登录账号列表，并将其踢出登录状态，同时禁用

代码-读取一个utf8编码的文件public static List<String> readFileContentLine(String fileName) throws IOException { List<String> lines = new ArrayList(); File file = new File(fileName); BufferedReader reader = null; try {

在安全分析之前先搞清楚流量的全路径、经过了哪些节点，这些节点能采集到对应的流量数据，采集的时效性，采集工具的性能指标，以及设计对流量处理模型我们先看下一个用户请求从客户端到服务器的路径服务器返回给客户端经过上面两个来回，流量就从外到内，然后从内到外全路径走完敲黑板，那么重点什么重点是我们需要把从客户端->服务器->客户端的全流程的流量进行统一，然后进行分析。so，第一步就先拿到以下模型的流量数据这样我们只需要根据客户端IP、服务器域名/IP，就能知道用户.

在告警确诊为威胁后，我们还需要上服务器处理对应的威胁，可能是杀进程，清理进程文件等一系列的操作，当然也可能是去服务器上提取进程树，查看iptables策略等事项。我们考虑将这些事情的处理统一由任务系统来完成。具体任务内容 则封装到不同的工具中，由不同的工具来完成不同的事情，比如提取进程树就是一个独立的工具；具体的任务业务流如下图...