#!/bin/bash # +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ # # Filename: in...
配置不当的分类: (1)WEBserver本身:之前发生的nginx等解析漏洞webserver的目录遍历等。 (2)网络协议相关:snmp弱community、dns域传送、ssh等。...---- 0x01 配置不当的防范 (1)业务上线前进行安全基线检查 (统一安全配置基线,即最低安全红线,根据安全配置基线产生公司默认配置模板,所有预上线阶段全部默认使用配置模板,当模板满足不了需求时,...可以根据配置模板进行相应更改,但是上线之前需要通过安全基线工具)。...(3)对攻击行为进行监控,一般这样做之后会杜绝大部分的配置不当问题, 其他信息泄露问题主要是采用自检或者src白帽子提交的漏洞来发现,发现之后走修复流程不会分层做。...On RewriteCond %{REQUEST_METHOD} ^TRACE RewriteRule .* - [F] .git /.svn 泄露源代码信息 漏洞名称:.git / .svn 配置不当导致源代码泄露
配置不当的分类: (1)WEBserver本身:之前发生的nginx等解析漏洞webserver的目录遍历等。 (2)网络协议相关:snmp弱community、dns域传送、ssh等。...0x01 配置不当的防范 (1)业务上线前进行安全基线检查 (统一安全配置基线,即最低安全红线,根据安全配置基线产生公司默认配置模板,所有预上线阶段全部默认使用配置模板,当模板满足不了需求时,可以根据配置模板进行相应更改...,但是上线之前需要通过安全基线工具)。...(3)对攻击行为进行监控,一般这样做之后会杜绝大部分的配置不当问题, 其他信息泄露问题主要是采用自检或者src白帽子提交的漏洞来发现,发现之后走修复流程不会分层做。...On RewriteCond %{REQUEST_METHOD} ^TRACE RewriteRule .* - [F] .git /.svn 泄露源代码信息 漏洞名称:.git / .svn 配置不当导致源代码泄露
国家互联网中心于2019年2月通报指出,由于MongoDB用户的不当配置,导致部分MongoDB用户存在信息泄露风险。...这说明:MongoDB 本身并无安全漏洞,问题出在不当配置上。国家互联网中心于2019年2月通报指出,由于MongoDB用户的不当配置,导致部分MongoDB用户存在信息泄露风险。...这说明:MongoDB 本身并无安全漏洞,问题出在不当配置上。 ?...在过去的两年里,MongoDB Atlas为用户提供了安全默认配置,包括默认情况下启用身份验证的最新版本MongoDB Server,以及持续部署的增强安全功能。...3.6及后续版本则进一步启用了所有生成选项的默认安全配置。
对于crossdomain.xml配置不当的危害很多文章已经说的很清楚了。可是如何利用这个漏洞,怎样写一个exploit来证明漏洞确一直没有很好的资料。...比如:www.freebuf.com/crossdomain.xml. 2,crossdomain.xml的配置是过度授权的,比如本文开头截图中的配置。...那么配置不当的crossdomain.xml也引起不了严重的危害。但是如果目标站点存在敏感信息或者具备敏感操作。那么不恰当的配置就相当于对任意站点上的恶意SWF敞开了大门。举个例子。...首先配置测试环境。下面是在kali linux 下配置mxmlc的环境。用来编译swf。如果你是windows系统可以直接下载flex sdk。已经有flash开发环境的同学可以略过这部分。...12,收集和分析你窃取到的数据 cat /tmp/thanks_for_sharing.txt 上面两个poc的功能都是窃取数据,在分析crossdomain.xml配置不当危害的时候,我们提到某些场景可以获取到
查了下后端的日志,没有报错日志,响应也不慢,不过CPU还是有点高;然后分析下Nginx配置,发现Upstream配置比较可疑: upstream xxx{ server 192.1686.1.114:...上面的配置的意思是如果300s内只有后端返回错误超过1次,就将其标记为下线,即这300秒内不会将请求转发到这个节点,过300s后再重新发请求试试,如果再有1次以上报错,依然将其标为下线。...PS:为什么准点流量这么大,和客户端了解,客户端有个功能,每1个小时从服务端取下配置,在实现时客户端没有做分流处理,全部准点向服务器发送请求,瞬间崩溃。。。
但是由于管理员的安全意识不全或者疏忽,导致linux的敏感端口和服务没有正确的配置,可能会被恶意利用,所以需要进行基线加固。...1.基线 即安全基线配置,诸如操作系统、中间件和数据库的一个整体配置,这个版本中各项配置都符合安全方面的标准。比如在系统安装后需要按安全基线标准,将新机器中各项配置调整到一个安全、高效、合理的数值。...2.基线扫描 使用自动化工具、抓取系统和服务的配置项。...将抓取到的实际值和标准值进行对比,将不符合的项显示出来,最终以报告 的形式体现出扫描结果有的工具将配置采集和配置对比分开,通过自动化脚本采集配置后再通过特别的软件转换为适合人类阅读的文档 3.基线加固自动化脚本的编写...on" ]; then echo "没有关闭ip伪装" fi sed -i 's/on/off/g' /etc/host.conf echo " 关闭IP伪装完成" 15.检查/etc/hosts配置
制定基线配置模板 基线配置模板可以包含运维和安全2个部分,运维部分如性能相关配置、稳定性相关配置、个性化配置。...安全的基线配置可以参考2个来源:工信部基线配置要求; ?...分发基线配置 分发基线配置最好和运维一起做,由运维支撑系统进行分发,可以加速效率。如果运维目前阶段还没有统一的分发管理系统,可单个用配置脚本完成,这样效率就很低。...基线配置检查 基线配置检查有独立的商业产品可以支持,也可以使用运维管理系统进行检查。...《XX基线配置》 ? 还有种常见的基线配置文档见下面 ? 检查记录可以在基线配置文档增加个符合选项。
Mysql安全基线 NO.1 增强root帐户密码登陆、删除空密码 原因 一、简单密码容易暴力破解二、mysql默认是空密码 解决 一、增强密码强度- 22位以上- 同时包含大写字母、小写字母、数字、特殊字符
1 什么是基线估计? 以深度学习为代表的现代机器学习方法在预测和分类准确性上取得了巨大的成功。...基线估计是我在蚂蚁的工作项目所抽象出来的算法框架,它原本是针对运维领域内的容量场景所做的基线区间估计,就落地场景而言,它还是比较局限的,但基线估计这个概念本身是不局限的,这个概念在领域内的名称可能多种多样...在相关介绍开始前,结合在百度和蚂蚁的工作经验,我个人认为对某个对象的基线分布的刻画比直接进行异常检测有着更广泛的用途,以蚂蚁的容量工作来看,风险对象的多指标基线区间估计,比指标的异常检测有着更广泛的用途...,基线估计除了可以用来做指标的异常检测,还可以应用于其他诸多场景。...此外基线估计有着诸多可能落地的工业场景,如:IT安全、医学诊断、工业场景的监控与异常检测、图像识别、视频监控、文本挖掘、传感器网络等。
[TOC] 0x00 前言简述 描述: 由于最近工作和学习的需要就将针对于Windows系统的一些安全配置做了如下记录,便于后期的知识结构化,并在后续的工作继续进行添加安全加固的一些技巧,同时希望广大的大佬也能多多扩充安全加固配置项...基础纲要 本章主要纲要: 1) 2) 3) Windows Server 安全基线关键项 4) Windows Server 安全基线检查与设置脚本编写 ### 适用范围: Windows Server...Windows Serve 2019 基于等保三级,大致分为身份鉴别、访问控制、安全审计、资源控制、入侵防范、恶意代码防范、剩余信息保护这7个方面 参考学习 参考标准: 1)《电信网和互联网安全防护基线配置要求及检测要求操作系统...》(YD/T2701-2014) 2) ---- 0x01 0x02 安全基线关键项 1) 主机安全 1.1 系统账户 1.1.1 优化账号 操作目录: a) 减少或者不启用系统无用账号,降低风险...1.1.3 账号口令策略调整 操作目的: a) 按照《网络安全等级保护基本要求》 进行调整增强口令的复杂度及锁定策略等降低被暴力破解的可能性 b) 按照《电信网和互联网安全防护基线配置要求及检测要求操作系统
之前文章写了用zabbix自动发现功能,自动监控服务器上所有域名的SSL证书到期时间,文章分别是简单脚本监控SSL证书到期时间和配置zabbix自动发现实现自动监控服务器所有域名SSL证书到期时间,有兴趣的可以看下...关于ssl握手的话,之前也写过一篇文章Wireshark抓包帮你理清https请求流程,如果有兴趣,可以看看 这里分析客户端的这个client hello的包,查看加密套件 又问小伙伴要了nginx配置的加密套件...可以看到,和客户端的加密套件不匹配,所以这就是为什么握手不成功的原因,可以看到,小伙伴的加密套件设置的太严格了,所以我让他重新配置了加密套件,果然没有问题,可以正常建立连接 这里除了抓包,还可以通过...中禁用了,更多的关于ciphers的信息可以查看openssl官方文档https://www.openssl.org/docs/man1.0.2/man1/ciphers.html 总结,在nginx配置中...,如果是普通服务,尽量不要配置特别严格的加密套件,避免出现加密套件不匹配,不兼容低版本的客户端
Nginx安全基线 NO.1 禁止某些文件类型的访问 原因 某些文件不小心传如web目录后存在很大风险 解决 location *.
之前文章写了用zabbix自动发现功能,自动监控服务器上所有域名的SSL证书到期时间,文章分别是简单脚本监控SSL证书到期时间和配置zabbix自动发现实现自动监控服务器所有域名SSL证书到期时间,有兴趣的可以看下...又问小伙伴要了nginx配置的加密套件 ?...另外说一下nginx中加密套件的配置,nginx中的加密套件是通过ssl_ciphers指令指定的,加密套件格式通常就是以‘:’分隔,然后写在一行,一条加密套件包含哪些内容呢?...中禁用了,更多的关于ciphers的信息可以查看openssl官方文档https://www.openssl.org/docs/man1.0.2/man1/ciphers.html 总结,在nginx配置中...,如果是普通服务,尽量不要配置特别严格的加密套件,避免出现加密套件不匹配,不兼容低版本的客户端
1、 确保配置了bootloader配置的权限 chown root:root /boot/grub2/grub.cfg chmod og-rwx /boot/grub2/grub.cfg 2、 确保设置了引导程序密码...文件中设置以下参数: kernel.randomize_va_space = 2 运行以下命令来设置内核参数: sysctl -w kernel.randomize_va_space=2 6、 确保已配置...如下所示: MaxAuthTries 4 8、 确保已禁用SSH空密码登录 编辑/etc/ssh/sshd_config文件以设置参数: PermitEmptyPasswords no 9、 确保配置了密码尝试失败的锁定
通常系统通过配置HTTP响应头来允许发出跨域请求,如下Example1发送一个Origin头,Example2以一个Access Control Allow Origin头响应,然后Example1便可以对...Example2的数据进行操作: 2、漏洞原理 CORS配置不当通常会导致的危害是用户敏感信息泄露,场景大多数是get请求方式返回的json形式的敏感信息(密钥、token,key等)。...CORS配置不当属于响应头中的一种,其他还有X-Frame-Options、Content-Security-Policy等。...semrush的一个api端点,插入Origin头为攻击者服务器: 返回信息主体是用户敏感信息,需注意的是返回的Access-Control-Allow-Origin是攻击者服务器,这意味着系统存在CORS配置错误
最近一朋友做社区重构,社区主要功能有发帖、回帖、查看帖子详情,详情页按不同条件展示回帖(除了预先定义的顺序外,可能每个用户看到的顺序都不一样,组合超...
ThinkPHP配置不当可导致远程代码执行 漏洞分析报告 1....$name) 而DATA_CACHE_KEY在配置文件中默认为空: ? 于是当访问http://127.0.0.1/thinkphp323/home/news/detail?...因此主要还是要依靠用户进行安全的配置,为了避免该漏洞产生,安恒应急响应中心建议: 1....修改HTTP服务配置,将Wen路径修改到ThinkPHP的./public目录。 2.
主机安全的风险级别除了漏洞,另一个重要的参考值是安全基线的风险分值,本次介绍的主要是结合目前公司的业务实际情况制作的一份安全基线脚本,供大家进行参考。...适用环境 适用环境:RedHat系统Linux 注意 在配置系统基线测试之前,虚拟机一定要提前制作快照,配置测试期间尽量不要退出登录状态,以便出现差错的时候能够及时回退。...基线配置内容 /etc/pam.d/system-auth 是用户使用pam认证模块的登录策略配置文件,配置用户密码的复杂度、登录失败暂锁、重复使用密码次数等都是配置此文件。.../etc/login.defs 文件是配置用户密码策略的,基线检查项中包括密码的时效性及默认访问权限两项。...在/etc/rsyslog.conf或/etc/syslog.conf配置文件中添加: ? 在/etc/syslog-ng/syslog-ng.conf配置文件中添加: ?
apt-get install libpam-cracklib 2、编辑/etc/pam.d/common-password,在password requisite pam_cracklib.so开头的这一行配置...特殊字符等4类字符中的3类或4类)设置为3或4,即在行末尾加上参数minclass=3;在password [success=1 default=ignore] pam_unix.so开头的这一行增加配置...降低密码猜测攻击风险 加固建议 编辑/etc/pam.d/common-password,在password [success=1 default=ignore] pam_unix.so开头的这一行增加配置...描述 禁止SSH空密码用户登录 加固建议 编辑文件/etc/ssh/sshd_config,将PermitEmptyPasswords配置为no: PermitEmptyPasswords no...ClientAliveInterval 600 ClientAliveCountMax 2 操作时建议做好记录或备份 设置用户权限配置文件的权限 | 文件权限 描述 设置用户权限配置文件的权限 加固建议
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
