展开

关键词

安全安全之应用发布安全隐患

3.2 防范指南 面对这种“不安全”的需求,给力的同学在通知安全后,毅然决然的对业务方说No。无论是从应用合规性,还是从安全性来说,都是不太合理的需求。 不过,此类情况可能会被“绕过”,如果业务方将包名稍加变动或同学记不住已经发布过,都将会被当做新应用来进行处理。 对于安全方面而言,所有应用上线都应该经过安全评估(落地版SDL),这个“绕过”风险实则是可控可接受的;但是对于而言,可能会对日常的运营工作带来挑战。 首先,毫无疑问的是扩大了攻击面; 其次,若业务后续在该域名下申请挂更多war包,记不住,将会带来更大的攻击面,更多潜在的安全隐患。 4.2 防范指南 由此可见,安全不仅只对业务有所要求(上线前的安全评估,落地版SDL),对于的操作规范或把关仍要求需注意。

55150

=平台+数据

会比开发更加重要 的发展日新月异,曾几何时,仅仅是被认知为跑机房,装系统,设计网络,给开发擦屁股。 但是现在运变得极度重要,职责也更加细化,譬如稍大点的公司就将划分为基础,网络,DBA, 应用,架构师。 其实我个人认为系统架构师应该都安排在运里,开发团队应该率属于团队才好。 进入云时代后,中等层次的慢慢会被淘汰,底层次的会越来越少,高水平的需求量则日益增长。为什么这么说呢? 这其实是反应对的要求会越来越高,不但要掌控产品的稳定性,做好服务保障的最后一公里,还要具有系统设计的能力。 现有发展方向的问题 也越来越朝着平台化,自动化,自助化方向发展。 前面讲的是基础平台层面的,我们其实更多的是要对应用进行更细致的观察。在Borg之上的应用可以是非常复杂的,应用的关联也是非常复杂的,微服务的兴起导致链路非常长,所以我们有了全链路追踪的需求。

2.2K50
  • 广告
    关闭

    一大波轻量级工具升级重磅来袭

    代码传递思想,技术创造回响!Techo Day热忱欢迎每一位开发者的参与!

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    安全隐患

    由于人员的水平参差不齐,还有就是是人就有犯错的时候,所以经常会出现不必要的失误导致的安全隐患,所以这里就未大家盘点一下经常出现的由于人员是失误造成的安全隐患。 ---- 错误回显 由于服务配置了错误回显,导致代码在执行错误的情况下爆出详细信息,可能泄漏服务器的真实路径,造成安全隐患。 案例 ? 利用方式: 扫描到备份文件直接下载即可 WEB-INF泄露 WEB-INF 是 Java 的 WEB 应用的安全目录。 在使用这种架构的时候,由于对静态资源的目录或文件的映射配置不当,可能会引发一些的安全问题,导致 web.xml 等文件能够被读取。 案例 ? 利用方式 浏览器直接读取即可 ---- 测试文件 人员在部署新的应用或者配置新的服务器时会使用一些测试文件对服务器进行测试,然而在测试后未能及时删除就出现了这种问题。

    48700

    安全安全隐患

    目录浏览 漏洞成因 由于发布网站时,服务器配置问题,导致目录浏览功能打开,在目录下不存在默认首页的情况下可以浏览目录下的文件目录,从而引起信息泄露,造成安全隐患。 案例 ? 错误回显 简介 由于服务配置了错误回显,导致代码在执行错误的情况下爆出详细信息,可能泄漏服务器的真实路径,造成安全隐患。 案例 ? 利用方式 扫描到备份文件直接下载即可 WEB-INF泄露 简介 WEB-INF是Java的WEB应用的安全目录。 漏洞成因 通常一些web应用我们会使用多个web服务器搭配使用,解决其中的一个web服务器的性能缺陷以及做均衡负载的优点和完成一些分层结构的安全策略等。 在使用这种架构的时候,由于对静态资源的目录或文件的映射配置不当,可能会引发一些的安全问题,导致web.xml等文件能够被读取。 案例 ?

    32600

    安全之Tripwire

    Tripwire运行在数据库生成模式时,会根据管理员设置的一个配置文件对指定要监控的文件进行读取,对每个文件生成相应数字签名,并将这些结果保存在自己的数据库中,在缺省状态下,MD5和SNCFRN(Xerox的安全哈希函数 到此为止已经安装完了 后期我会逐步讲解,这些年,我所遇到过的那些安全隐患,及受到的攻击,并一一给予解决之道. 其实安全岗位,最有意思的地方了,整个行业,哪里是你觉得最有意思的地方呢,可以在留言区留言说出你的看法 多留言,才会让我记得你哦,下次赠书活动,也许希望就大了,要不然茫茫人海,我也不晓得你在哪里

    39910

    安全——安全防护-OpenResty

    OpenResty® 是一个基于 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。

    3.7K30

    安全之日志追踪

    前言 日志在分析安全事件上很重要的一个参考依据,同样希望能够看到这篇文章的人员能重视起日志来。 0x01 搭建环境 为了快速还原一个易被攻击以及攻击性的多样化的web环境,这里我使用了DVWA这个测试平台。 ? 0x02 开始测试攻击 A. 扫描 这里我使用了御剑后台扫描工具: ? B. 通过请求的信息,也可以看出攻击者使用了SQL注入,这条信息,也可以在日常安全加固中,可以准确的找到网站的注入点,有利于人员的及时加固。 两款工具的各有所长,对于星图来说,很多攻击内容给出的分析,更会迷惑分析者,建议使用星图宏观上查找问题IP,再利用Apache Logs Viewer此类工具,进行详细分析攻击者的手法,这样对我们的安全上的加固有很大的帮助 总结 我是一个安全小菜鸟,每天游荡在各大安全论坛中,时间久了,心里对安全上的工作变得更加恐慌。我不应期待我维护的网站服务器不会遭受大佬们的调戏,而是如果大佬们调戏完,我该如何变得更加坚强。

    45940

    linux安全之账号基本安全

    账号基本安全 1、 注释不要的账号 ? ? 前面加#可以注释掉 /etc/passwd /etc/group 原则:最小的权限+最少的服务=最大的安全 1、 将非登录用户的shell设为/sbin/nologin ? 加一个! 解锁 4、 账号口令安全设置 vi /etc/login.defs ? Chage –M 30 test #test账号30天后必须修改密码 Chage –d 0 test #test下次登录必须修改密码 4、 命令历史安全 History ? 此时已经限制了su的使用 4、 sudo命令的安全性 ? 配置sudo vi /etc/sudoers ? 增加执行的命令 ? 4、 Root密码忘记 重启按E键 ?

    53870

    Linux之Redis安全

    说说IT维那些事,服务器如果不注意安全的话,就有可能会被入侵,特别是安装了redis的Linux服务器,如果安全防范没做好的话,更有可能会被入侵,被入侵以后会有很多种危害,那么我总结了有以下几种危害, 另外还有一些安全的设置,我们也需要注意保证公钥文件的安全,阻止其他的用户添加新的公钥,将公钥文件的权限设置为对拥有者只读其他用户没有任何权限。 6379端口,比如你设定只有192.168.8.100这台机器才能够连接redis的6379端口,或者你改了端口以后的7379端口,那么其他不在白名单里面的机器,它就不能连接这台机器的redis端口,那么安全性就相应的提高了很多 ,添加完防火墙的策略以后,需要重新加载一下防火墙的配置,然后你可以再查看一下防火墙的策略,安全是一个系统的工程,任何一项出现问题都会导致整个系统的崩溃,所以安全是非常重要的,需要做到方方面面,每一方面都要做好

    7110

    安全,没那么简单

    我们先看一张恩图,现实中的业务、安全的关系是互相关联、彼此依赖的。从这张图中,衍生出三个不同与安全相关的子专业:“+安全”,“安全+”,“业务++安全”。 显然,安全立足于,从企业架构上讲通常属于部门或者基础架构部门,安全工程师的专业序列一般属于工程师。 安全 = 安全 + 安全研究的是安全系统或者设备的:比如防火墙、漏洞扫描器维护,漏洞挖掘与应急响应等。 应用安全 = 业务 + + 安全 应用安全研究的是业务上的安全,主要包括安全风险评估与安全方案规划设计及其落地。 加上DDoS攻击平台大量存在,而且价格低廉,这就让DDoS攻击成为打压竞争对手、报复、勒索等阴谋诡计者首选方式了。

    6210

    DevOps之平台构建

    写在前面的话 如今很多人认为devops将彻底取代传统,我不这么认为,在我看来devops只是很大程度上的代替了传统的手工操作,人员只需写好自动化脚本,利用自动化工具(zabbix,elk 因此Devops能否顺利落地,平台的建设将会很重要。本文主要简单介绍下我司的三大平台职责 ? ? 平台 当前我司平台主要有3个: 持续集成和交付 ①基于Jenkins持续构建 ②支持容器化打包和部署 ③发布平台,支持灰度发布,异常快速回滚 监控告警平台 ①完善的监控体系:覆盖机器、网络、服务和客户设备维度 平台演示 ? 后记 这三大平台用的都是开源系统,总共有12个系统,Sonar、Jenkins、Ranche、Consul、ELK、Admin-Service、Zabbix、Prometheus、Smokeping

    1.5K10

    快速学习-ElasticJob平台

    平台 平台内嵌于 elasticjob-cloud-scheduler 的 jar 包中,无需额外启动 WEB 服务器。 功能列表 应用管理(发布、修改、查看) 作业管理(注册、修改、查看以及删除) 作业状态查看(待运行、运行中、待失效转移) 作业历史查看(运行轨迹、执行状态、历史仪表盘) 设计理念 平台采用纯静态 HTML

    18330

    蓝鲸 腾讯游戏平台

    游戏的两极化(高星级/长尾级)、差异化、数量多、变化快等特点决定了任何一、两个平台都不可能承担起所有的工作。目前同学已经通过iJobs实现了所有操作的作业一键化,但这还远远不够。 这类复杂场景占用时间是很夸张的,一次开区或一次搬迁前前后后需要数日甚至数周、人员实际消耗精力的时间也有7、8个小时甚至彻夜standby不能休息,往往在执行之外,各种沟通询问和等待时间的占比非常大 【对蓝鲸App开发者而言】 蓝鲸提供了开放的开发平台,它允许业务人员设计自己或客户最需要的app,并借助蓝鲸为app开发者提供的一系列配套设施,多快好省的产出app服务。 • ->规划。 3. 提高团队整体价值。 • 大大提升自动化程度,提升支撑效率。 • 通过尽可能的操作简化和自动化尽可能消灭人为失误给业务带来的损失。 二、【数据类App】 数据查询、修改类的app相比专业的数据类平台,具备速度更快、使用更简单、体验更好的优点,特别适合于对特定信息的、非常频繁获取和变更的场景,甚至可以是不需要任何查询条件的、进入即所得的体验

    3.2K90

    他山之石——平台哪家强?

    近年来,国内也兴起了 SRE 这种高级职业,特别是在云计算行业,SRE 的职业要求非常高,需要精通诸如网络、编程、算法、数据结构、操作系统、安全等知识与技能。 当出现用户请求调用失败或者出错时,平台支持整个调用链路的分析与故障环节定位。 日志数据采集与分析:日志的采集主要是为了辅助应用调用链路分析以及性能监控,人员无需进入后台去大量翻找日志。 目前国内各大云厂商也基本都提供了应用平台,包括腾讯蓝鲸、阿里 ARMS、华为 APM 等。以下是这几个平台能力的简要对比: ? 目前大部分的平台主要通过 Agent 和探针的方式去采集应用的指标信息,汇总处理后反应在可视化界面上。 人员不用担心因 AIOps 失业,工具和平台只是提升效率,不会取代

    68150

    安全中的“福尔摩斯”

    引 言 随着互联网技术的发展,信息的交互越来越频繁,随之而来信息的安全操作的合规性等等问题越来越多,其对于企业内部管理来说要求越来越高。 该客户部署有安恒堡垒机,所有人员操作全部需要经过堡垒机,通过事件查询,搜索关键字,发现了符合事故现场的一条文件更名操作。 ? 通过对该SFTP会话日志反查,确定为该公司员工王某操作,经过对当事人询问,确认为无意操作导致 风险警示 加强权限关系的梳理,完善管理规范制度。 通过会话日志反查操作用户,最终找到该行为的操作人员李某,其也承认是自己一时利益熏心,想利用账号窃取客户信息进行售卖。 网络安全专家建议 细化人员与主机授权关系 开启双因子认证,提高身份可靠性 重要服务器启用二次会话审批 重要命令,高危命令进行审批及限制 重要数据服务器,限制文件的上传下载 - END -

    60270

    平台元数据稽核小结

    数据库中的元数据建设都是重中之重,如果元数据不具有参考的价值,那么后续的操作都会受到影响,但是元数据的建设也应该是分成几个步子来走,首先得能够收集到元数据或者元数据的录入,数据有了后续做规范和标准化才有依据

    29140

    VMware云管平台管理

    摘要 跨 SDDC 和多云环境从应用到基础架构的智能 IT 管理。 其中有三大块内容,一个是自动化部署的vRA,一个是做智能的vR Ops,以及做成本分析的vRB,这三块共同支撑起了云管平台。 这期我们重点来介绍vR Ops。 vRealize Operations——云智能化 在整个平台中,vRealize Operations实现了性能的管理、容量管理、成本管理、配置管理以及合规性管理。 通过性能和容量监控vSAN环境。 SDDC健康概览仪表盘 单一控制台监控整个SDDC的状态。 扩展支持。 使用vRA,利用分析优化工作负载的初始部署位置。 应用案例及常用使用场景 云平台特点 负载动态变迁,运行环境不固定,状态难以跟踪。 配置变化更快,资产生命周期短,统计分析难。

    2.8K50

    平台规划体系全介绍

    识别平台的边界在哪儿,才能更好的构建平台,从而协助的日常工作。 在之前的文章中,谈到过【的本质--可视化】,在可视化的篇幅中,着重介绍自动化的可视化和数据的可视化;在后续的篇章中又介绍了【互联网的价值体系】,里面分解了几个维度:质量、成本、效率、安全等。 缺少平台的支持,的质量、成本、效率都会直接受到影响。 10.面向业务的平台。不同的业务会有不同的调度策略和服务使用策略,需要在更上层完成面向业务的统一调度,这个是全应用的视角,和持续集成是有一些区别的。 11、统一门户。 3、平台建设先后有序,优先级顺序如下: P1(最高):CMDB、基础架构及服务、数据及服务、监控及服务 P2(次高):持续集成、面向业务的平台 P3(低):ITIL相关、统一门户 以上所有供参考和讨论

    2.3K11

    相关产品

    • 堡垒机

      堡垒机

      腾讯云堡垒机(BH) 结合堡垒机与人工智能技术,为企业提供运维人员操作审计,对异常行为进行告警,防止内部数据泄密。

    相关资讯

    热门标签

    活动推荐

      运营活动

      活动名称
      广告关闭

      扫码关注云+社区

      领取腾讯云代金券