Wangcy.-CSDN博客

原创常见的内网穿透代理工具

"内网穿透代理工具"是一种用于实现内网穿透的工具或软件。内网穿透是指通过公共网络（如互联网）将外部网络请求转发到内部私有网络的过程。在某些情况下，由于网络配置或安全策略的限制，外部网络无法直接访问内部网络中的设备或服务。内网穿透代理工具可以帮助解决这个问题，使外部网络能够访问内部网络中的设备或服务。服务器端：在内部网络中运行的服务器端组件，负责接收来自外部网络的请求，并将其转发到内部网络中的目标设备或服务。

2023-09-11 14:57:23 610

原创 TTP(Tactics, techniques, and procedures)战术、技术、程序概念与优势

随着网络攻击的不断演变和复杂化，传统的安全防御方法已经无法满足当前的威胁环境。仅仅依靠防火墙、杀毒软件等自动化安全解决方案已经难以抵御真正的攻击者。因此，2014年，国外提出了使用TTP战术、技术、程序的方法检测威胁。

2023-06-30 10:55:10 1238

原创网络安全基础词汇释义

ASA，英文全称Adaptive Security Architecture，中文称自适应安全架构，是由Gartner在2014年提出的安全体系，以持续监控和分析为核心，将防御、检测、响应、预测四个方面结合起来提供更好的安全服务，实现持续的自我进化，自我调整来适应新型、不断变化的攻击类型。授权，是指赋与某一主体可实施某些动作的权力的过程。PDR，是Protection、Detction、Response的简写，中文为保护、检测、响应，是最早的安全模型之一，早期的PDR是直线型的，还没有动态、循环的理念。

2023-06-29 14:30:44 799

原创 rsyslog发送json格式数据

rsyslog 发送json格式syslog

2023-01-11 10:29:04 634 1

原创 linux audit日志通过syslog转发到远端

流程：开启audit → 配置rsyslog读audit.log文件 → 转发到远端1.开启audit重启auditservice auditd restart确认audit.log产生日志cat /var/log/audit/audit.log2.配置rsyslog读audit.log文件编辑 /etc/rsyslog.conf，添加以下内容#audit log$ModLoad imfile$InputFileName /var/log/audit/audit.log$Inpu

2022-05-10 11:20:08 1860

原创非对称加密：客户端如何验证公钥

场景：客户端与服务器加密通讯，需要使用非对称加密。过程：服务器向CA申请公钥：服务器要付钱。CA颁发给服务器2个文件：服务器秘钥文件、CA对此公钥的数字签名。客户端与服务器进行加密传输。3.1 服务器将公钥进行hash运算，产生公钥hash。3.2 服务器将3个信息发送给客户端：公钥、公钥hash、CA对公钥的数字签名。3.3 客户端取机器内置的CA公钥解密“数字签名”得到公钥hash。3.4 客户端对比服务端发过来的公钥hash和算出来的公钥hash，如果一致则信任公钥。

2021-10-20 14:22:47 764

原创安全告警等级定级方法

风险的构成因素风险由以下要素构成：威胁threat(威胁、威胁事件 threat sources threat events)、脆弱性vulnerability、易感条件predisposing、影响impact、可能性likelihood、聚集Aggregation、不确定性Uncertainty威胁：指通过信息系统，通过未经授权的访问、破坏、披露或修改信息，可能对组织运营造成不利影响的事件。脆弱性：存在漏洞。易感条件：指组织信息系统中存在的条件，威胁事件一旦启动，对组织运营造成不利影响的可能

2021-09-22 09:48:07 856

原创 XDR与SOC的关系

现代SOC的核心组成部分：威胁检测、响应。背景现在，组织相信整合各类告警的价值；但组织缺乏专业知识和工具，导致其不了解攻击、被动应对威胁。很多组织没有SIEM、不懂SIEM、不会用SIEM。本文将说明：检验安全团队的人员、流程和技术的有效性。买家对XDR的看法。买家对XDR的偏好和顾虑。XDR的关键价值。1：组织认为XDR能提高安全效率组织需要威胁检测调查显示，SOC团队需要更好的威胁检测和响应效率。安全团队认为TDR最关注的点是：改进高级威胁检测（34%）、自动化任务（33%

2021-09-21 12:35:17 2492 1

原创 Wazuh安全能力

Wazuh概述wazuh是开源HIDS或XDR系统，能对服务器、虚拟化、容器、云进行威胁检测和响应。在安全领域有较高知名度，wazuh主要提供了一个检测框架，规则并不十分完善，需要使用者持续维护规则。官网为：https://wazuh.com ，文档地址为：https://documentation.wazuh.com/current/index.html，github地址为：https://github.com/wazuh/wazuh。截止2021年7月，wazuh开箱共3762条规则。覆盖操作系统

2021-09-21 12:18:21 2252 3

原创什么是XDR

XDR研报转至元数据起始1. 概念? 1.1. 起源 1.2. 定义 1.3. 功能2. XDR兴起原因 ?3. XDRs工作内容?4. XDR优势?5. 市场 5.1. 市场采用率 5.2. 采购建议 5.3. 评价指标 5.4. 使用XDR风险 5.5. 代表厂商 5.5.1. cisco SecureX 案例 5.5.2. McAfee MVISION XDR6. 与XDR对比 6.1

2021-06-28 13:37:08 5830 4

原创 linux shadow文件密码hash原理

shadow文件结构user:$6$X2w.CbqR$IH83vciPhgj.85yU33iS3m4fWf3gTGDxwg7EbUkt/XvhwZd/UAz9dxXzFzEx/dbpwG.cYCmm9yw8Lgp0:18731:0:99999:7:::使用冒号分割，第一个字段是用户名，第二个字段是密码hash。密码hash使用$分割为3部分，以此为例：密码hash字段结构$6$X2w.CbqR$IH83vciPhgj.85yU$6 标识使用第6种加密模式，即SHA-512$X2w.CbqR是加

2021-04-14 19:53:58 1548

原创 DREAD风险评估模型

风险评估模型很重要，任何一个风险，需要经过系统的评估才能确定风险的实际危害程度。毕竟安全也是一门科学。本文介绍DREAD风险评估模型。DREAD是原来微软的风险评估威胁系统的一部分。这里有一篇微软的论文 link。由于此模型不稳定，比如可发现性难衡量、可复现性很多场景下不重要等，实际使用过程中有时评分十分不准确，所以微软在2008年可能弃用了此模型，例如，在ASRC中，微软使用Bug Bar来定义威胁风险。DREAD提供了5个维度，进行威胁评级，每个维度0-10分。通过最后的评分确定威胁的严重程度。

2021-04-08 19:42:19 7721

原创 System has not been booted with systemd as init system (PID 1). Can‘t operate. Failed to connect to

问题docker内进行systemctl等命令时，出现错误。System has not been booted with systemd as init system (PID 1). Can't operate.Failed to connect to bus: Host is down解决方法docker启动方式需要变化。启动时添加 --privileged=true 和 /sbin/init即由此方式： docker run -tid --name test centos 变

2021-03-24 16:44:41 3121

原创 EPP/EDR主要检测功能

功能项特征值病毒库、ICO启发式引擎可疑程序自动释放可执行文件驻留系统目录、伪装系统文件、注册win32服务获取系统管理权限、通过命令行删除自身文件，调用系统组件svchost.exe来开启后门服务，隐藏自身进程并尝试通过OpenSCManagerA、OpenServiceA、ControlService等函数来开启系统自身的终端服务等条件即可判断为恶意。威胁情报STIX2.0 包含的：域名、IP、文件、证书、网络连接等反漏洞hips防止提权、窃取凭证、各应用...

2021-03-19 14:59:48 2040

原创 windows通过cmd后台运行进程方法

Linux后台运行进程时，通常使用如下方法：nohup "运行的内容" &windows响应功能的命令行为：call start /min "n" "运行的内容"

2021-03-02 11:09:30 17975 10

原创信息安全运营

概述安全运营包含5部分：运营管理、事件预防响应、灾难恢复、违规调查、从业道德。安全运营项目表项目细分项描述运营管理知其所需权限最小化职责分离定期轮岗特权管理SLA资源管理(物理、虚拟、云、介质)配置管理基线变更管理影响分析、版本控制、配置文档补丁管理补丁、漏洞事件预防响应响应管理实践定义、响应计划落实检测措施日志检测日志、监测审计效果测评

2021-02-28 01:00:19 3367

原创钓鱼邮件防护手段

威胁情报（域名、IP）发件人检测(匿名、与邮箱不符)收件人检测(是否大量人员)发件时间内容检测(特征、贝叶斯)链接检测附件检测外部邮件提示事后

2021-02-28 00:14:10 567

原创 bluetoothd Protocol not available解决方法

问题使用bluetoothctl连接蓝牙出现问题[bluetooth]# connect 40:F9:46:6C:7F:B4Attempting to connect to 40:F9:46:6C:7F:B4Failed to connect: org.bluez.Error.Failedbluetoothd[3226]: a2dp-source profile connect failed for 40:F9:46:6C:7F:B4: Protocol not available解决方法

2021-02-27 16:12:46 3007 3

原创 HIDS反弹shell检测方法

检测方法特征：shell(sh bash zsh)进程存在异常的stdin/stdout、异常参数、异常网络连接。行为：检测大概率是在ssh登陆下才会使用的二进制文件（如ls/cat/ip/ipconfig/cd/chmod），1.如果发现这些进程的stdin/stdout和tty不一致则告警；2.如果发现这些进程的dip/dport/sip/sport和SSH_CONNECTION不一致则告警反弹手段和检测方法反弹方法检测方法bash -i >& /dev/t

2021-02-24 13:38:03 967

原创 HIDS常见功能要求

功能详情文件完整性文件大小、hash、拥有者、权限异常分析rootkit检测；恶意进程(进程号与系统调用不一致)；隐藏端口 bind()；文件状态检测(root的文件，其他用户可w)；隐藏文件(系统调用fopen read不一致)；隐藏设备(/dev/.xx)；恶意代码漏洞检测本机漏洞检测配置核查本地配置检测：CIS、等级保护、PCIwebshell检测可执行文件修改；可执行文件修改威胁响应威胁发生后的处理动作执行日志监控登录登出；账户变...

2021-02-03 18:43:35 1985

原创增加蜜罐效果方法

位置手段互联网github、csdn等虚假信息内网IP各易被发现的IP端优先诱骗虚假DNS发现异常时虚假dns域名wiki jira oa git等虚假域名数据虚假数据、虚假域名、虚假IP、虚假认证信息设备伪装硬件设备业务镜像业务邮箱虚假邮件诱捕信息埋点、链接图、word木马、获取ID信息、位置、指纹、设备联动获取攻击指纹后，将指纹与全体系设备联动...

2021-02-01 00:42:51 95

转载 GB/T 7156-2003文献保密等级代码与标识

中华人民共和国国家标准GB/T 7156-2003代替GB/T 7156-1987文献保密等级代码与标识Codes and identification of secret level for documents2003-07-25发布2003-12-01实施中华人民共和国国家质量监督检验检疫总局发布GB/T 7156-2003本标准是对 GB/T 7156–1987《文献保密等级代码》的第一次修汀，代替GB/T 7156-1987。本标准与GB/T 7156-1987相比主要变

2021-02-01 00:08:04 2999

原创红蓝对抗思路

阶段手段备注敏感信息收集公司的组织架构　　公司的邮箱格式　　公司的员工姓名格式　　公司的运维IT人员联系方式　　公司的合作伙伴　　公网资产(云资产、IP、域名、子公司域名)　　泄露代码　　用于web\系统打点、社工、钓鱼　资产梳理主域名、ICP备案域名(关联子域名)　　子域名 SubDomainBrute OneForAll ct-exposer Layer子域名爆

2021-01-31 23:58:44 594

原创常见Web安全漏洞与防护手段

客户端漏洞漏洞原因解决方法XSS通过“HTML注入”篡改了网页，插入了恶意的脚本，从而在用户浏览网页时，控制用户浏览器输出编码：如果是输出到事件或者脚本，则要再做一次javascriptEncode；如果是输出到HTML内容或者属性，则要做一次HtmlEncode。CSRF攻击者通过技术手段欺骗用户的浏览器访问浏览器曾认证过的网站并运行特定操作，本质原因是重要操作的所有参数都是可以被攻击者猜测到的。在cookie中添加一个无法预测的token值。点击劫持攻击者使

2021-01-29 12:01:26 530

原创 Gartner DLP定义

Gartner 的DLP组成Gartner 认为DLP方案组成应包括：终端、数据发现、邮件、网络边界、云端。企业数据泄露风险点被控者、缺乏知识的员工、合作者、将离职人员。商业DLP常用手段商业DLP防护方案，组件通常包含：终端+移动终端程序、网关(邮件+应用)、流量分析、CASB、云端应用。防护方案/组件DLP系统通常需要做到：敏感数据定义、数据发现、分类分级工具、风险计算、C+N DLP、网关、CASB。部分组件定义：组件描述手段敏感数据定义不做无差别防护

2021-01-27 16:39:34 764

原创 bash对比两个文件取不同的行

2020-12-16 19:57:37 749

翻译 Google零信任(BeyondCorp)模型原文翻译

作者：BARCLAY OSBORN, JUSTIN MCWILLIAMS, BETSY BEYER, AND MAX SALTONSTALLBarclayOsborn是洛杉矶Google公司网站可靠性工程经理。他曾在圣地亚哥的多个软硬件和安全初创公司工作。他拥有加州大学圣地亚哥分校计算机科学学士学位。邮箱[email protected]。Justin McWilliams 是Google纽约总部的工程经理。自2006年加入谷歌以来，他一直担任IT支持和专注于IT运营的软件工程职位。他拥有密歇根大学

2020-11-11 18:29:14 1531

原创邮件服务器安全SPF、DKIM、DMARC

SPFSPF是指Sender Policy Framework，是为了防范垃圾邮件而提出来的一种DNS记录类型，SPF是一种TXT类型的记录。SPF记录的本质，是向收件人宣告：本域名的邮件从清单上所列IP发出的都是合法邮件。下面例子中，tencent.com宣告：spf.mail.tencent.com 、spf.mail.qq.com 是合法的，其他不合法。DKIMDKIM 技术通过在每封电子邮件上增加加密标志，收件服务通过非对称加密算法解密并比较加密的hash，判断邮件伪造。DKIM 的基

2020-11-10 17:33:54 3102

原创 iframe嵌套网页高度自适应

iframe嵌套网页告诉自适应<iframe src="https://10.122.105.21:3333/" name="iframe" class="iframe" frameborder="0" style="overflow: hidden; height: 100%; width: 100%; position: absolute;"></iframe>

2020-10-24 00:43:33 261

原创 Ubuntu apt错误 E: Unable to locate packag *

E: Unable to locate package” Error on Ubuntu解决方法：在apt源配置文件中插入新的搜索地址。编辑/etc/apt/sources.listvim /etc/apt/sources.list插入deb http://archive.ubuntu.com/ubuntu bionic main universe restricted multiversedeb http://security.ubuntu.com/ubuntu/ bionic-secu

2020-09-14 18:09:01 262

原创 windows taskkill强制关闭进程拒绝访问解决方法

如果taskkill /f /pid 123 出现拒绝访问时，可使用以下方式删除进程：wmic process where name='qq.exe' delete

2020-09-03 13:58:48 33915 11

原创商业版Onedrive没有嵌入(embed)实现文件直接下载

商业版OneDrive没有嵌入按钮，所以，分享的文件无法使用curl、wget等直接下载。解决方法：点击共享，创建任何人可查看link。复制link后，在link最后添加参数?download=1 即可下载。例如，复制的共享链接为：https://1.2.3.4/:u:/g/personal/username/EQ1krzfizLZNoAasS4-Lsz0Bhno7fL8Z3FH2osr-bRXunA添加参数：download=1得到链接：https://1.2.3.4/:u:/g/perso

2020-09-01 14:58:34 907

原创 Windows统计分析进程流量工具AppNetworkCounter

下载地址：linkAppNetworkCounter是一个用于Windows的简单工具，它统计并显示系统上每个应用程序发送和接收的TCP/UDP字节数和数据包数。对于每个应用程序，将显示以下信息：发送和接收字节数、发送和接收数据包数、发送/接收IPv4字节数、发送/接收IPv6字节数以及发送/接收速度。它还显示应用程序的版本信息-产品名称、产品版本、文件说明和软件公司名称。导出报告：支持字段：应用程序名称：应用程序的.exe文件名。应用程序路径：应用程序的完整路径。Received Bytes

2020-09-01 13:42:09 2970

原创 Windows通过命令行powershell获取单个进程读写IO

Windows通过命令行powershell获取单个进程读写IOPS C:\Users\wangchongyang\Desktop> get-counter "\Process(chrome*)\IO Read Bytes/sec" -Continuous | foreach { [math]::round((($_.countersamples.cookedvalue | measure -sum).sum / 1KB), 2) }

2020-09-01 11:32:04 1075

原创 nginx最简单的端口转发配置

将访问可达的地址端口，映射为本地地址配置vim /etc/nginx/nginx.conf在local关键字中，添加 proxy_pass IP:端口；启动服务或重新加载nginx配置启动服务： systemctl restart nginx重载：nginx -s reload

2020-08-31 11:56:33 639

原创 yum找不到包时请注意epel-release

centos 使用yum安装时，常出现以下情况：yum install w3myum install w3mLoaded plugins: fastestmirrorLoading mirror speeds from cached hostfileNo package w3m available.Error: Nothing to do解决方法：yum install epel-releaseEPEL的全称叫 Extra Packages for Enterprise Linux

2020-08-19 17:37:43 3034

原创 windows查看进程CPU占用(powershell版本)

编写脚本cpu.ps1echo "cpu.ps1 {process name}"write-host "task list:" (get-process -name $args*).name$ids = (get-process -name $args*).id$sleepseconds = 1$numcores = 4$id = 11564while($true) {$cpu1=0$cpu2=0foreach ($id in $ids){ $cpu = (get-process

2020-08-13 17:57:59 4765

原创 E: Package ‘flex‘ has no installation candidate

sudo -imv /etc/apt/sources.list /etc/apt/sources.list_bak1vim /etc/apt/sources.list写入## Uncomment the following two lines to fetch updated software from the networkdeb http://old-releases.ubuntu.com/ubuntu lucid main restricteddeb-src http://old-rel

2020-08-13 10:54:17 1377

原创 4类SSL证书 & 可支持的域名

从支持的域名(解析)数量来说，SSL证书分为：1.单域名：仅支持一个域名使用；例如：a.domain.com2.多域名：支持多个顶级域名完全不同的域名使用；绑定多个任意类型的域名。例如: a.domain.com 、 b.domain.cn 、c.doamin.cn 多个域名；3.泛域名：支持*domain.com通配符子域名，且不限制该级子域名数量。绑定一个顶级域名和顶级域名下的所有二级域名，或一个二级域名和二级域名下的所有三级域名。例如：此形式可支持[a-zA-Z0-9_].domai

2020-08-04 13:43:30 681

原创 Gartner数据安全治理的整体框架

概述Gartner对数据库安全治理形成了一个从上而下的整体框架(实施步骤)，包括从治理前提、具体目标到技术支撑的完整体系。Gartner提醒各位数据安全治理专家，从上到下，从需求调研开始实施数据安全治理。千万不要跨过数据摸底、治理优先级分析、制定治理整体策略，而直接从技术工具开始对数据安全进行治理。数据安全治理实施步骤：平衡业务与风险威胁合规的关系 → 治理优先级 → 制定安全策略 → 实施安全工具 → 测试编排同步实施步骤第一步：业务需求与风险/威胁/合规性之间的平衡这里需要考虑5个维度的

2020-07-31 19:43:53 10303