- 博客(12)
- 收藏
- 关注
RSS订阅原创 漏洞修复:检测到目标Content-Security-Policy响应头缺失
对于 IIS,请参阅:https://technet.microsoft.com/pl-pl/library/cc753133%28v=ws.10%29.aspx。对于 nginx,请参阅:http://nginx.org/en/docs/http/ngx_http_headers_module.html。对于 Apache,请参阅:http://httpd.apache.org/docs/2.2/mod/mod_headers.html。名称:Content-Security-Policy。
2024-07-01 21:19:57
289
原创 漏洞修复:启用不安全的TLS1.0协议/TLS1.1协议
修复方法,注册表:[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0][HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]“DisabledByDefault”=dword:00000001“Enabl
2022-02-10 16:49:30
9061
原创 SSLv3 存在严重设计缺陷漏洞,整改方法
发现此问题后,进入WINDOWS注册表,然后修改:注册表进入:[HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols]在SSL 3.0文件夹下新建:Server目录,然后新建:“Enabled”=dword:00000000在SSL 2.0文件夹下新建:Server目录,然后新建:“Enabled”=dword:00000000完事后保存并重启服务器,最后用绿盟和丹靘测试进行
2022-01-18 11:33:37
3664
原创 中危漏洞:SSL/TLS 存在Bar Mitzvah Attack漏洞,整改方法:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]“Enabled”=dword:00000000[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]“Enabled”=dword:00000000[HKEY
2022-01-18 11:28:13
4101
原创 绿盟检测到目标主机可能存在缓慢的HTTP拒绝服务攻击,解决过程
今天做了一个等保网站,客户使用绿盟进行安全测评,由于在测评前,我已使用丹靘测试进行了免费检测,所以信心十足,结果,果然连一条低危风险都没有出,出了一条:检测到目标主机可能存在缓慢的HTTP拒绝服务攻击,中危!!然后解决,按说明:IIS可配置相关网站的Web.config如下:1、WebLimits设置:<system.applicationHost> <webLimits connectionTimeout="00:00:30" headerWaitTimeout=
2021-06-11 13:03:12
4925
1
原创 部分绿盟低风险错误解决办法:
使用绿盟进行安全检测,经常会出现:检测到目标X-Content-Type-Options响应头缺失 检测到目标X-XSS-Protection响应头缺失 检测到目标Content-Security-Policy响应头缺失 检测到目标Strict-Transport-Security响应头缺失 检测到目标Referrer-Policy响应头缺失 检测到目标X-Permitted-Cross-Domain-Policies响应头缺失 检测到目标X-Download-Options响应头
2021-06-11 12:48:10
3354
4
转载 中华人民共和国网络安全法
中华人民共和国网络安全法(2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过)目录第一章 总 则第二章 网络安全支持与促进第三章 网络运行安全第一节 一般规定第二节 关键信息基础设施的运行安全第四章网络信息安全第五章 监测预警与应急处置第六章 法律责任第七章 附 则第一章 总 则第一条 为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,促进经济社会信息化健康发展,制定本法。第二条 在中华人民共和国境内建设、运营、
2021-06-11 11:42:08
388
1
原创 一个文章告诉你怎么做等保(信息安全等级保护)!
一、什么是等保?“等保”,即信息安全等级保护,是我国网络安全领域的基本国策、基本制度。早在2017年8月,公安部评估中心就根据网信办和信安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《信息安全技术 网络安全等级保护基本要求》一个标准。(GB/T 22239—2019代替 GB/T 22239-2008)该标准于2019年5月10日发布,于2019年12月1日开始实施。二、为什么要做等保?1、安全标准:信息安全等级保护(简称等保)是目前检验一个系统安全性的重要标准,是对系统是否满足相应安
2021-06-11 11:36:27
15626
转载 等保2.0(信息安全等级保护)全面解读
等保2.0如期而至,等保2.0涵盖云计算、大数据、物联网、工控网络等新场景下的安全要求,在安全防护思路上相比于传统安全体系有极大的突破,必将成为迎接新时期网络安全建设的新基础。那么什么是等保2.0?和1.0有什么区别?对比一下:No.1 等级保护1.0标准体系2007年,《信息安全等级保护管理办法》(公通字[2007]43号)文件的正式发布,标志着等级保护1.0的正式启动。等级保护1.0规定了等级保护需要完成的“规定动作”,即定级备案、建设整改、等级测评和监督检查,为了指导用户完成等级保护的“规定动作”
2021-06-11 11:16:22
2391
1
转载 程序安全在全套等保中占有什么样的地位?
信息安全等级保护(简称等保)是对整个系统的安全测评,不仅仅是程序安全。但程序安全是整个等保工作中,重点中的重点!在整个等保测试中,不仅“应用安全”需要使用到程序安全,在“安全计算环境”、“安全管理中心”、“安全管理制度”中同样离不开程序上的支持。等保2.0需求与方案:【物理安全】 需求:机房物理访问控制、防火,防雷击,温湿度控制、电力供应,电磁防护。 方案:选择具备相关条件的机房。【应用安全】 需求:应用具备身份鉴别、访问控制、安全审计、剩余信息保护、软件容错、资源控制和代码安全。
2021-06-11 11:14:16
83
转载 什么是等保(信息安全等级保护)?
什么是等保(信息安全等级保护)?一、什么是等保?“等保”,即信息安全等级保护,是我国网络安全领域的基本国策、基本制度。早在2017年8月,公安部评估中心就根据网信办和信安标委的意见将等级保护在编的5个基本要求分册标准进行了合并形成《信息安全技术 网络安全等级保护基本要求》一个标准。(GB/T 22239—2019代替 GB/T 22239-2008)该标准于2019年5月10日发布,于2019年12月1日开始实施。二、为什么要做等保?1、安全标准:信息安全等级保护(简称等保)是目前检验一个系统安全性
2021-06-11 11:12:33
48241
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人