摘要:
http://www.wenjiang.gov.cn/wjzzw/wjxw/2022-07/08/content_5278fe0bc2a340cd8a1407d09e434707.shtml 阅读全文
摘要:
防火墙分类 包过滤防火墙 原理:工作在网络层和传输层。通过检测并拦截所有流经防火墙的TCP和UDP数据包对系统提供保护 特点:一般不需要采购额外的设备部署,只需要直接对网络边界的路由器进行设置即可 缺点:防护能力比较弱,只能提供最基础的安全防护 应用网关防火墙 原理:接受客户端发出的请求,然后以客户 阅读全文
摘要:
作为安全人员,该如何推动公司整体的安全体系建设 安全标准和框架有哪些? 国内的安全和标准框架,就是等保。 在国外,比较知名的安全标准和框架包括:ISO27000 系列、NIST、COBIT 和 ITIL。 ISO27000 系列是国际上比较认可的安全标准之一。它提供了兼容性极高的安全体系和信息安全管 阅读全文
摘要:
Redis 安全 买了个阿里云,上面yum install安装了个redis,没有设置密码,过两天就收到了阿里云的安全告警信息, top了下,看到cpu飙升到了290%,进程kill不掉,最后发,/var/spool/cron下有个redis文件,跑定时任务,立马将redis停止 防护 首先,从认证 阅读全文
摘要:
Docker服务:Docker所提供的功能以及在宿主机Linux中的Docker进程 Docker镜像:通过Dockerfile构建出来的Docker镜像 Docker容器:实际运行的Docker容器,通常来说,一个Docker镜像会生成多个Docker容器。Docker容器运行与Docker服务至 阅读全文
摘要:
内网中的最小权限原则 对内网进行水平划分:划分不同的身份和权限 对内网进行垂直划分:内、外网隔离 有线和无线网络安全 无线网络的防护:使用安全协议(WAP2协议),认证技术(“强制门户”,再次认证),以及对办公网络中的未知热点进行扫描,避免伪造热点 有线网络安全防护:只需要防护劫持。第一种方法是对网 阅读全文
摘要:
Linux中的安全模型 内核层防护:确保使用官方的镜像并保持更新 用户层防护:确保正确配置权限 黄金法则应用 Linux中的认证机制 安全问题:认证是linux内核提供的,在用户层只需要关注弱密码导致的身份信息泄露 防护:在/etc/shadow中,制定适当的密码策略;使用已知的弱密码库来检测lin 阅读全文
摘要:
在进入一个系统后,黑客会进行一系列的操作来扩大自己的权限和攻击影响,这些操作可以被概括为权限提升和权限持久化。权限提升就是利用各种漏洞进行水平或者垂直的扩展,去获得新的身份和权限。权限持久化则是留下“后门”,并保持“后门”的长期有效性。 为了阻止黑客的进一步攻击行动,我们需要对应用和系统进行相应的防 阅读全文
摘要:
了解插件 你所使用的所有插件的版本是什么?(包括前端和后端,直接引用和间接引用) 你所使用的这些插件,是否存在漏洞,是否不被维护了,是否被废弃了? 你所使用的这些插件,会在哪些地方发布更新信息和漏洞信息? 你所使用的这些插件,是否会定期更新? 你是否会对更新插件进行完整的测试? 你所使用的这些插件, 阅读全文
摘要:
创建型 工厂方法:隔离创建对象的细节,使得创建对象的行为可扩展 抽象工厂:该模式抽象出一组相关对象的接口 建造者:与工厂不同的是,该模式包含了对象构造的若干过程 原型:用于以某个对象为模子创建一个新对象的场景,例如幻灯片中的母版与普通页、对象的克隆 单例 结构型 适配器:处理遗留系统的不二法宝,也可 阅读全文