Phoebe201415-CSDN博客

转载部署Janusec Application Gateway，自动隐藏服务器响应头X-Powered-By

很多网站框架、脚本默认会在响应头信息中包含X-Powered-By，例如：X-Powered-By: PHP/5.2.6 X-Powered-By: ThinkPHP 2.0X-Powered-By: ASP.NETX-Powered-By:Express...这将带来安全隐患，泄漏网站所使用的框架或脚本类型及版本，黑客可寻找对应版本的漏洞攻击程序发...

2018-09-18 15:07:00 601

转载 Janusec WAF网关安装体验

近日个人的几个小站总是被攻击，于是准备寻找一款WAF来抵挡一下。首先尝试了modsecurity 和 naxsi ，功能是有了，但因为需要在每一台服务器上安装agent，没有管理界面，策略也不能统一维护，感觉后面维护起来不怎么方便。继续在网上闲逛中，在无意中看到了Janusec Application Gateway （Janusec应用网关），其无agent的网关式架构设计令我...

2018-08-21 22:22:00 781

转载私钥加密，防止网站证书私钥泄露

本文首发于作者的微信公众号：网络安全生命周期原文链接：加密，防止网站证书私钥泄露【风险与背景】如果网站使用的数字证书私钥文件泄露，会造成什么后果呢？黑客就可以构建假冒的钓鱼网站，借助DNS劫持，将用户引导到假网站上面去，可窃取用户的口令等敏感信息；或者黑客执行中间人攻击。微软2015年12月就曾出现*.xboxlive.com证书私钥泄露事件，所幸及时发现...

2018-08-19 09:53:00 1102

转载基于Golang打造一款开源的WAF网关

本文首发于作者的微信公众号：网络安全生命周期原文链接：打造一款开源的WAF网关【背景】在互联网行业，Google将安全做到基础设施里面，素来是各大公司学习的榜样，在Web方面，通过GFE (Google Front-End) 统一对外发布，业务只需要在GFE登记，GFE就会调取正确的证书，保障用户到GFE的TLS连接安全。...

2018-07-20 22:34:00 463

转载保护你的网站数字证书私钥

通常，证书文件以及私钥文件都是以文件的形式存放于某个目录下的。试想，如果黑客入侵服务器之后，拿走私钥，会怎样？黑客就可以搭建钓鱼网站冒充你的网站，还可以通过中间人攻击，解密网站流量，让你的网络通信没有秘密可言。所以，结论就是：证书私钥要加以保护，不能以明文文件的形式放在服务器上。Janusec Application Gateway (Janusec网关WAF)...

2018-07-01 10:22:00 369

转载 Web安全防御从WAF到应用网关

传统WAF的主要问题：1.Agent模式的WAF需要在目标主机上安装agent，维护管理工作量较大；2.纯网络层WAF，以及第三方反向代理WAF，如需支持HTTPS，则需要提供证书给服务商，导致证书私钥扩散，可能会泄漏；3.WAF回源（到真实的业务网站）走公网，如果明文传输，存在数据泄漏风险；如果加密传输，则增加延时；要解决上面的问题，新的解决方案应具备：1...

2018-06-01 12:51:00 427

转载微信公众号【网络安全生命周期】部分文章目录

主要分享甲方（企业）网络安全体系建设、SDL（安全开发生命周期、安全流程）方面的文章。欢迎关注，共同探讨企业网络安全体系建设~网络安全生命周期部分文章目录：[图文]保护用户口令的最高境界？[图文]发现漏洞后怎么办?[图文]2016，再看云安全[图文]甲方安全都有哪些黑科技？[图文]一个SQL Injection漏洞在SDL流程中的闯关历险记[图文...

2016-01-22 14:55:00 470

转载一个SQL Injection漏洞在SDL流程中的闯关历险记

原文出处：微信公众号网络安全生命周期[图文]一个SQL Injection漏洞在SDL流程中的闯关历险记前言众所周知，产生SQL注入漏洞的根本原因是SQL语句的拼接，如果SQL语句中的任何一部分（参数、字段名、搜索关键词、索引等）直接取自用户而未做校验，就可能存在注入漏洞。攻击者通过构建特殊的输入作为参数传入服务器，导致原有业务逻辑中原有的SQL语句的语...

2016-01-14 09:47:00 158

转载 Web安全实战演练1-4

Web安全实战演练（附件）Web安全实战演练(1)-环境搭建Web安全实战演练(2)-密码字典破解测试Web安全实战演练(3)-SQL注入测试Web安全实战演练(4)-XSS测试下载地址：Web安全实战演练http://files.cnblogs.com/files/-U2-/Web%E5%AE%89%E5%85%A8%E5%AE%9E%E6%88%98%E6%BC...

2015-02-05 16:27:00 200

转载转：WebCruiser Web Vulnerability Scanner 3 测评

WebCruiser是一款Web高危漏洞扫描器，相对于其它大型扫描器，WebCruiser的典型特点是聚焦高危漏洞，且可以只扫指定的漏洞类型，可以只扫指定的URL，可以只扫指定的页面。当然也可以进行全站扫描。其从3.0版本开始，通过WAVSEP（扫描器评估） v1.5进行检测评估，已经100%覆盖SQL注入和跨站的全部用例。WebCruiser安全扫描工具使用手册V3下载...

2015-01-29 08:59:00 219

转载 WAVSEP在Linux系统中部署时常见错误

使用Tomcat部署时常见错误环境：Debian7 , tomcat7, WAVSEP v1.5安装时提示：javax.servlet.ServletException: java.sql.SQLException: Database 'db/WavsepConfigDB' not found原因：tomat用户没有写入根目录的权限。解决办法：以roo...

2015-01-24 22:18:00 160

转载如何验证一张数字证书的合法性

数字证书是依赖根证书的信任传递机制的，所以验证一张数字证书的合法性，需要其上级证书参与进来进行验证。除了根证书，每一张数字证书都包含了其上级证书对其的签名，也就是用上级证书的私钥对证书摘要（简记为H1）进行加密。因此验证数字证书合法性的方法总结为：验证根证书是否为受信任的根证书，及其下面证书链上每一张数字证书解密后的证书摘要（H2）是否与证书内容计算得出的摘要（H1）一致。数...

2014-10-08 11:00:00 2159

转载 Apple & 好莱坞艳照门的安全分析

作为服务提供商，Apple没有提供防撞库措施，以至于黑客可以使用网络上已经泄露的账号和密码进行自动化撞库尝试。防撞库的技术控制措施：1.发现用户有错误尝试的行为立即启用CAPTCHA图片随机码，防止自动化工具继续进行尝试；2.登录频度限制；等。作为用户，唯有：1.不拍艳照；2.不给偷拍者拍摄自己艳照的机会。艳照一旦被拍，就有泄露的可能性。附...

2014-09-03 09:23:00 782

转载单向散列算法运算速度实测

测试环境：CentOS 6.4 X86_64位 VMWare虚拟机 1G RAM (物理主机CPU i7-3770 3.4GHz)测试代码（使用openssl的hash库）：#include <iostream>#include <sstream>#include <string>#include <iomanip&gt...

2014-08-28 11:22:00 181

转载漏洞演示系统DVWA(Damn Vulnerable Web Application) V1.8渗透测试攻略

漏洞演示系统DVWA(Damn Vulnerable Web Application) V1.8攻略测试环境：操作系统：Windows 8.1 、Windows 7运行时：.Net Framework 3.5PHP+MySQL集成测试环境：XAMPP V3.2.1首先，从http://www.dvwa.co.uk/ 下载DVWA，并将文件释放到c:\xampp\...

2014-07-15 19:48:00 854

转载网络安全领域的创新：众测模式

2014年5月，出现了三个安全众测服务平台：乌云众测、Sobug、Freebuf漏洞盒子。服务模式基本一致：厂商发布安全测试项目，挑选白帽子进行测试，按照发现的漏洞其风险等级付费。这种模式解决了2个问题：1.授权问题：白帽子可以在客户的授权下进行测试，没有法律风险，白帽子对测试结果保密；2.白帽子收入问题：让白帽子有尊严的赚钱，不再像之前挖出漏洞寻求厂商奖励或勒索厂商（涉嫌违法）...

2014-05-30 09:54:00 267

转载解决Win8下使用net use命令磁盘映射无效的问题

该问题由UAC机制引起，可尝试如下方案：以管理员身份打开Powershell，运行：New-ItemProperty -Path "registry::HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name "EnableLinkedConnections" -Va...

2014-05-22 10:04:00 506

转载验证码（CAPTCHA）杂谈

验证码（CAPTCHA）是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称。 CAPTCHA的目的是区分计算机和人类，人类很容易通过但计算机却很难通过。最常见的验证码，就是一张图片，需要人工输入图片上面的数字或字符。通常图片上会添加一些干扰因...

2014-03-04 20:23:00 411

转载从Mt.Gox的破产来看业务安全的重要性

Mt.Gox平台的85万个比特币被盗，导致公司破产。经分析，原因大致为：比特币提现环节的签名被黑客篡改并先于正常的请求进入比特币网络，结果伪造的请求可以提现成功，而正常的提现请求在交易平台中出现异常并显示为失败，此时黑客实际上已经拿到提现的比特币了，但是他继续在Mt.Gox平台请求重复提现，Mt.Gox在没有进行事务一致性校验（对账）的情况下，重复支付了等额的比特币，导致交易平台的比特币...

2014-03-01 22:34:00 240

转载 Top 4 Strategies to Mitigate Targeted Cyber Intrusions

DownloadTop4 Strategies to Mitigate Targeted Cyber Intrusions: Mandatory Requirement Explained(2.1Mb PDF), July 2013要点：1. 应用白名单；2. 应用（含应用框架）补丁；3. 系统补丁；4. 管理特权最小化。转载于:https://www...

2014-02-28 22:57:00 91

转载 CSIS Top 20 Critical Security Controls for Effective Cyber Defense

Over the years, many security standards and requirements frameworks have been developed in attempts to address risks to enterprise systems and the critical data in them. However, most of these ef...

2014-02-28 22:48:00 196

转载企业网络信息安全建设的方法论

企业网络信息安全的建设，是一个不断改进完善的过程（PDCA过程）。下面基于作者（_U2_）的工作实践，探讨一下信息安全建设方面的依据、方法论和交付成果。一、依据企业网络信息安全建设的主要依据有：（1）企业的信息安全策略和安全态势，且安全策略随着安全态势与产业环境的变化而变化；（2）来自管理层、业务部门的需求和期望；（3）安全技术标准、规范；（4）风险评估的结果...

2014-02-12 21:43:00 479

转载企业为什么要建设网络信息安全

企业为什么要建设网络信息安全，这就要看看建设网络信息安全到底有什么收益。网络信息安全的收益到底是什么呢？有人说不就是保护信息资产，减少损失嘛。但实际上，网络信息安全建设的收益远不止如此。首先，信息安全是企业文化的重要组成部分，它代表的是尊重知识产权的宣言，倡导的是劳动创造价值的正能量。对内部员工以及管理员而言，在这种文化氛围的影响和熏陶下，减少了主动或被动泄密的可能，为窃取企业知识产...

2014-02-07 21:02:00 492

转载启用Mac OS X Mountain Lion 10.8.X的root密码

默认情况下，Mac OS X Mountain Lion 10.8.X 只有一个自定义名称的用户，这个账号通过sudo命令并输入自己的密码，可以以管理员身份执行操作。如果需要切换到root身份，且之前没有使用过root账号，需要重设root密码：$sudo su输入当前账户的密码，就可以切换到root身份了，这时继续：#passwd root会提示重设...

2014-01-12 09:10:00 113

转载 BYOD应用的安全性

与普通应用相比，BYOD由于存在客户端软件，以及“记住密码”功能通常会启用，因此对于口令或认证凭据的保护成为区别于传统应用的重中之重。一般常见的问题是将用户的口令明文存在手机应用的配置文件中，或虽然使用加密存储但加密密钥也是存在于手机中的。鉴于此，手机客户端不建议保存用户口令（即使加密后存储也不建议），如果需要保存认证凭据，可考虑的做法：（1）记住硬件ID，作为对设备或使用...

2013-12-31 11:47:00 193

转载分布式系统的CAP原则

CAP stands forConsistency,Availability, andPartition tolerance. The theorem simply states that any shared-data systemcan only achieve two of these three. Consistency(all nodes see ...

2013-12-22 19:18:00 152

转载跨站请求伪造Cross-Site Request Forgery(CSRF)

跨站请求伪造漏洞由恶意用户利用其在第三方网站留下的可以自动提交的HTTP请求，并借用目标网站合法用户的会话（假冒合法用户身份），自动提交请求。例如用户登录网站A之后认证方式由对人的认证（账号/口令）转换成了对浏览器的认证（session），后面的HTTP Request，只要还是通过当前的浏览器触发的，不管是出自用户的手工提交，还是第三方网站B的恶意请求（假设为嵌入第三方网站B...

2013-12-17 21:20:00 157

转载 SQL Injection的防范总结

SQL注入的原理，网上文章较多，就不展开了。简言之，将用户提交过来的参数和SQL关键字一起拼接出来的SQL语句是不安全的，如果采用拼接且服务器侧没有对提交过来的参数进行合法性验证或过滤，导致原有SQL语句的语义被改变，或改变查询条件，或追加语句执行恶意操作等等。下面说说SQL注入的防御措施：最佳实践，不要拼接SQL语句，采取预编译（变量绑定）措施，使用占位符问号?代替实际参...

2013-12-15 11:17:00 182

转载什么是云安全

云安全的含义有以下几种：第一种是最常见的各种云计算系统（IaaS、PaaS、SaaS）的安全性，由于虚拟化技术的应用和部署位置的变化，安全风险有了新的分布，主要面临的风险有：虚拟化产品（IaaS领域的HyperVisor、PaaS领域的Hadoop等）的0Day漏洞；虚拟化网络边界的延伸与访问控制，如绕过访问网关、多租户之间的互访隔离；传统的安全风险如SQL注入、跨站脚本等Web漏洞...

2013-12-11 15:22:00 445

转载 VMWare vForum 2013看点

关键字：软件定义的数据中心SDDC、网络虚拟化NSX1 简介VMWare虚拟化及云计算年度盛会vForum 于2013年10月30-31日，在北京国际饭店会议中心召开。本次大会主题为"颠覆传统"。VMware的技术领袖同与会嘉宾探讨其在计算、存储、网络虚拟化等方面的最新技术和客户实践。现场安排VMware产品展示区和动手实验室。在今日大会中第四次发布了VMware年度云成熟度指数。根据F...

2013-12-11 11:21:00 143

Phoebe201415的博客