摘要:
快速安装: 附上msf更新命令: 阅读全文
摘要:
物理机装Ubuntu,锐龙5核显未找到显卡驱动,被默认800X600的分辨率恶心了半天。最后发现修改grub的方式可以修改分辨率!打开:/etc/default/grub搜索:#GRUB_GFXMODE=640x480编辑:640x480改成你想要的分辨率,并取消前面的#例如:GRUB_GFXMOD 阅读全文
摘要:
1. 账号管理 1.1. 共享账号管理 配置名称 账号分配检查,避免共享账号存在 配置要求 1、系统需按照实际用户分配账号; 2、根据系统的使用需求,设定不同的账户和账户组,包括管理员用户,数据库用户,审计用户,来宾用户等; 3、避免出现共享账号情况; 操作指南 参考配置操作 (适用2000、200 阅读全文
摘要:
1. 账号管理 1.1. 共享账户检查 配置名称 账号分配检查,避免共享账号存在 配置要求 1、系统需按照实际用户分配账号; 2、避免不同用户间共享账号,避免用户账号和服务器间通信使用的账号共享。 操作指南 参考配置操作:cat /etc/passwd查看当前所有用户的情况; 检查方法 命令cat 阅读全文
摘要:
A6:2017 安全错误配置 漏洞描述: 安全配置错误是最常见的安全问题,这通常是由于不安全的默认配置、不完整的临时配置、开源云存储、错误的HTTP 标头配置以及包含敏感信息的详细错误信息所造成的 漏洞影响: 攻击者能够通过未修复的漏洞、访问默认账户、不再使用的页面、未受保护的文件和目录等来取得对系 阅读全文
摘要:
A7:2017 跨站脚本(XSS) 漏洞描述: 当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时,或者使用可以创建HTML或JavaScript 的浏览器API 更新现有的网页时,就会出现XSS 缺陷。 漏洞影响: 常见危害为窃取凭证为主。该漏洞的危害性由JavaScript代码决定, 阅读全文
摘要:
A5:2017 失效的访问控制 漏洞描述: 未对通过身份验证的用户实施恰当的访问控制,攻击者可以利用这些缺陷访问未经授权的功能或数据。 漏洞影响: 技术影响是攻击者可以冒充用户、管理员或拥有特权的用户,或者创建、访问、更新或删除任何记录。业务影响取决于应用程序和数据的保护需求。 检测场景: 越权: 阅读全文
摘要:
A4:2017-XML 外部实体(XXE) 漏洞描述: 如果攻击者可以上传XML文档或者在XML文档中添加恶意内容,通过易受攻击的代码、依赖项或集成,他们就能够攻击含有缺陷的XML处理器。 漏洞影响: 攻击者可以利用XML外部实体窃取使用URI文件处理器的内部文件和共享文件、监听内部扫描端口、执行远 阅读全文
摘要:
A3:2017-敏感信息泄露 漏洞描述: 许多Web应用程序和API都无法正确保护敏感数据,例如:财务数据、医疗数据和PII数据。攻击者可以通过窃取或修改未加密的数据来实施信用卡诈骗、身份盗窃或其他犯罪行为。未加密的敏感数据容易受到破坏,因此,我们需要对敏感数据加密,这些数据包括:传输过程中的数据、 阅读全文
摘要:
A2:2017 - 失效的身份验证 漏洞描述: 通过错误使用应用程序的身份认证和会话管理功能,攻击者能够破译密码、密钥或会话令牌,或者利用其它开发缺陷来暂时性或永久性冒充其他用户的身份。 漏洞影响: 攻击者只需要访问几个帐户,或者只需要一个管理员帐户就可以破坏我们的系统。根据应用程序领域的不同,可能 阅读全文