本案例是多年之前遇到的一个真实故障处理过程,之后回想整个过程觉得比较有意思,因此将故障排查记录下来,现在将其分享出来,在其中隐藏了部分敏感信息。由于当时主要是做华为的服务,客户报的故障为S7700交换机的问题,因此本故障排查之初即在于S7700交换机。往往客户报的故障只是一个现象,而该现象又往往具有不确定性,因此我们需要认真的去分析网络环境,以及数据流走向,抓往一个故障点,突破一个故障面的问题。
分类:
其他好文 时间:
2018-04-21 16:09:53
阅读次数:
182
这是经典的sqli-labs 中的less-5 问题首先通过几个常见的进行测试, 发现只要正确的话就会输出you are in.... 并不能绕过,因此不能出现敏感信息,因此要用一种新思路(参考白帽学院的教程)基于报错的注入,如图,在数据库上测试,产生报错 http://localhost/sqli ...
分类:
数据库 时间:
2018-04-16 23:47:21
阅读次数:
262
课后习题: 课外实践作业P467 1 SEED SQL注入实验 代码注入是针对Web应用程序的主流攻击技术之一,通过利用Web应用程序的输入验证不完善漏洞,使得Web应用程序执行由攻击者所注入的恶意指令和代码,造成敏感信息泄露、权限提升或对系统的未授权访问等危害后果,根据目标的不同分为:(1)恶意读 ...
分类:
其他好文 时间:
2018-04-08 18:21:54
阅读次数:
154
jwt ->类比 cookie localstorage这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。JWT适合用于向Web应用传递一些非敏感信息。 一般放在HTTP的headers 参数里面的authorization里面,值的前面加Bearer关键字和空格。 用途:1.单点登录 ...
分类:
其他好文 时间:
2018-04-07 21:00:43
阅读次数:
162
1、浅析k8s配置信息 Secret 以密文的形式存储数据,可以用来保存一些敏感信息,例如:OAuth tokens、私钥、密码、数据库连接、事件总线连接等。 ConfigMap 以明文的形式存储数据,可以用来保存一些非敏感信息,例如:应用的配置信息。 k8s为Secret和ConfigMap提供了 ...
1.1Nginx.conf配置文件基本参数优化 1.1.1 隐藏nginx header内版本号信息 一些特定的系统及服务漏洞一般都和特定的软件及版本号有关,我们应尽量隐藏服务器的敏感信息(软件名称及版本等信息)这样黑客无法猜到有漏洞的服务是否是对应服务的版本,从而确保web服务器最大的安全。 彻底 ...
分类:
其他好文 时间:
2018-03-22 21:22:03
阅读次数:
179
Spring Boot: 加密应用配置文件敏感信息 ...
分类:
编程语言 时间:
2018-03-13 12:11:23
阅读次数:
180
一、Cookie Cookie是保存客户端的一组数据,主要用来保存用户的个人信息,主要存放浏览器请求服务器时的请求信息,这些信息是非敏感信息。主要用于当用户访问您的系统时,应用程序可以检索以前存储的信息。 1、保存时间可以根据需要进行设置: 1)如果没有设置Cookie失效日期,它的生命周期保存到关 ...
分类:
系统相关 时间:
2018-03-12 17:09:04
阅读次数:
198
漏洞描述:memcache是一套常用的key-value缓存系统,由于它本身没有权限控制模块,所以开放在外网的memcache服务很容易被攻击者扫描发现,通过命令交互可直接读取memcache中的敏感信息。修复方案:因memcache无权限控制功能,所以需要用户对访问来源进行限制。方案一:如果memcache没有在外网开放的必要,可在memcached启动的时候指定绑定的ip地址为 127.0.0
分类:
系统相关 时间:
2018-03-10 16:38:32
阅读次数:
323
在某些应用中,我们想要在访问某个对象之前执行一个或多个重要的操作,例如,访问敏感信息——在允许用户访问敏感信息之前,我们希望确保用户具备足够的权限。操作系统中也存在类似的情况,用户必须具有管理员权限才能在系统中安装新程序。上面提到的重要操作不一定与安全问题相关。延迟初始化是另一个案例:我们想要把一个 ...
分类:
其他好文 时间:
2018-03-08 02:50:08
阅读次数:
150
