- 博客(33)
- 资源 (4)
- 收藏
- 关注
RSS订阅转载 从五个方面入手,保障微服务应用安全
原文链接对于应用程序安全,需要在应用架构、代码、运维、管理等多个角度进行安全性评估,在整个应用程序生命周期中,软件工程师们则主要负责身份验证、访问授权、进程间通信安全、代码安全、安全的管理与审计这五方面的方案落地。这五个方面中,前三个侧重于技术实现,代码安全、管理与审计则更需要规范的管理和执行,本文将着重对认证、授权、通信等技术相关内容重点介绍,管理规范相关内容仅做简单说明。文中以采用了微服务架构的应用程序为背景进行描述,但多数的应用程序的安全方案与是否采用微服务架构并没有强关联,如有差异的地方,文中会
2021-11-10 20:23:17
1071
原创 Nginx日志统一化
本系列故事纯属虚构,如有雷同实属巧合为了完成对Nginx服务器的日志分析,小B对Q公司的Nginx日志做了统一化要求。下面是小B在统一化过程中遇到的一些知识点:Nginx日志与字段解析Q公司的Nginx版本信息是:1.17.6,使用编译安装,安装过程如下:yum install zlib-devel.x86_64 zlib.x86_64 openssl.x86_64 openssl-devel.x86_64 pcre-devel.x86_64 -y# 安装lua支持,后续的response_bo
2021-11-04 12:54:05
785
原创 日志分析系列之介绍篇
本系列故事纯属虚构,如有雷同实属巧合小B是Q公司的安全攻城狮,最近Q公司不太平,出现了好几次的安全攻击事件。可在事后小B却找不到被攻击的真正原因,于是领导下命令给小B,必须做到对攻击事件的检测与溯源,不然就可以卷铺盖回家了。听到此话的小B冷汗连连,找到最近几次攻击的记录文档,认真剖析未发现真相的原因,总结如下:系统未记录日志:部分系统无日志信息可用。日志信息无备份:日志被攻击者删除,或因存储空间不够被删除,无备份日志可用。采集维度不详细:日志格式为默认配置,不够详细,不能从中提取太多有效价值信息
2021-11-04 11:34:05
594
1
原创 Nginx透过代理获取真实客户端IP
本系列中的故事纯属虚构,如有雷同实属巧合小B是’柒’公司的安全攻城狮,为了完成任务小B开始做起了调研(欲知背景如何,且听下回分说)。首先小B弄明白了’柒’公司的应用系统架构是:Client --> CDN --> SLB --> Server。发现在应用服务器上Nginx日志中采集的关于定位用户身份信息的IP维度数据不准确。不准确的原因是:因为在应用服务器中Nginx使用XFF与remote_addr字段采集客户IP,XFF字段很好被攻击者伪造,而remote_addr字段一般采集都
2021-11-04 11:23:13
3391
原创 攻防视角下的信息收集
信息收集是指通过各种方式获取所需的信息。信息收集是信息得以利用的第一步,也是关键的一步。—百度百科信息收集是指黑客为了更加有效地实施渗透攻击而在攻击前或攻击过程中对目标的所有探测活动。背景: 不论曾经作为白帽子、安全服务工程师还是现在作为甲方安全工程师,都明白信息收集这项工作的重要性。目前网络上关于信息收集的文章数不胜数,那么为什么还要老生常谈?主要是目前网络上的文章更多是站在白帽子或者攻击者的视角下进行展开讨论,但甲方做信息收集的话题没有被提及,本文抛砖引玉,希望更多大佬提出意见。其实是对自己曾经.
2021-11-04 10:59:06
526
转载 Paloalto云原生容器安全实践
Prisma Cloud容器安全解决方案Reference: https://www.bilibili.com/video/BV1Gf4y1k7AA/?spm_id_from=333.788.recommend_more_video.2date: 2021年04月06日容器没有Kernel,与宿主机共用Kernel.开源工具的问题:一个安全工具只解决一个安全方面的问题,导致如何去整合安全工具的能力。...
2021-11-04 10:49:31
260
翻译 Go代码规范
Go语言安全编码规范-翻译英文地址翻译:blood_zer0、Lingfighting如果翻译的有问题:联系我(zer0zhang)。匆忙翻译肯定会有很多错误,欢迎大家一起讨论Go语言安全能力建设。介绍Go语言-Web应用程序安全编码实践是为了给任何使用Go进行编程与Web开发的人员提供指导。这本书是Checkmarx安全研究团队共同努力的结晶,它遵循OWASP安全编码实践快速参考指南。这本书主要的目的是为了帮助开发人员避免常见错误,同时通过"实践方法"学习编程语言心得。本书提供了关于"如
2021-10-26 19:56:20
1034
转载 2021-10-20为什么集群需要Overlay网络
对计算机网络或者Kubernetes网络稍有了解的工程师都应该听说过延展网络(Overlay Network),Overlay网络其实并不是一门新技术,它是指构建在另一个网络上的计算机网络,这是一种网络虚拟化技术的形式,近年来云计算虚拟化技术的演进促进了网络虚拟化技术的应用。因为Overlay网络是建立在另一个计算机网络之上的虚拟网络,所以它不能独立出现,Overlay底层依赖的网络就是Underlay网络,这两个概念也经常成对出现。Underlay网络是专门用来承载用户IP流量的基础架构层,它与Ov
2021-10-20 16:07:01
123
原创 使用代理实现远程渗透测试
背景描述很多时候执行远程渗透测试时,客户会限制使用白名单访问(VPN除外)。这种时候我们一般会提供公司出口的IP地址,但是如果人不在公司就不能用此方法,这个时候我们只需要一个具有公网地址的服务器即可。有多种方式,常见如:Nginx正向代理、Squid正向代理、tinyproxy正向代理、proxifier代理。本文先把我体验过的Squid和Nginx两种方式讲一讲。使用Nginx正向代理搭建方式在CentOS操作系统中进行# 解决依赖yum install pcre-devel.x86_64 o
2021-06-30 20:47:25
833
原创 Fiddler配置双重代理测试Web应用程序
前提:很多Web应用程序只能使用IE打开(特别是银行的很多应用程序)。在针对上述类型的Web应用程序执行安全测试时,必须要在Windows中使用IE。Windows中抓取Web应用程序流量的工具我偏向使用Fiddler,但是Fiddler在对数据包进行篡改、重放、遍历等攻击时并不好用,所以我们就需要以下的访问模式:那么这个时候我们浏览器的配置如下:Fiddler配置如下:Burp Suite配置如下:这个时候流量即会走Fiddler,也会走到Burp。...
2021-06-15 15:20:49
647
原创 白帽子转型甲方杂绪
1.企业安全建设涵盖的内容安全是一门含义很广的学科,信息安全、网络安全、网络空间安全等都是安全中的一个分支,有交集却也有不同。对于甲方企业安全来说,通常又分为:安全体系(等保、合规、审计)、基础设施安全(主机、网络、终端)、应用安全(Web、移动)、业务安全(账户、交易、内容、活动)、安全运营(应急响应、安全培训)、数据安全(加密、脱敏、存储)等等,不同企业在不同的发展阶段所侧重的安全点也不一致。在上述的每一个类型中有很多子类,每个子类都有一个循序渐进的路线,比如:安全测试工作安全测试一般分为定期的
2021-05-08 15:51:50
287
1
原创 hping3拒绝服务攻击工具
hping3官网地址CentOS7安装hping3# 安装依赖yum install gcc.x86_64 libpcap-devel.x86_64 tcl-devel -y# 下载安装包wget http://www.hping.org/hping3-20051105.tar.gztar -xf hping3-20051105.tar.gz && cd hping3-20051105# 编译安装./configure# 此时报错如下[外链图片转存失败,源站可能有防
2021-05-07 22:29:09
970
3
转载 OWASP固件安全性测试指南
原文地址固件安全评估,英文名称firmware security testing methodology简称FSTM。该指导方法主要是为了安全研究人员、软件开发人员、顾问、爱好者和信息安全专业人员进行固件安全评估。前景我们基于FSTM进行测试流程如下:ID阶段描述1信息收集固件的相关技术文档的详细使用说明2获取固件使用本文中介绍的多种办法获取固件3分析固件固件的功能、特性4提取文件系统从固件中获取文件系统5分析文件系统内容静态分析提
2021-03-08 22:31:59
1499
原创 Python编译成EXE执行
安装Pyinstallerpip install pyinstaller # 如果安装失败也可以使用压缩包进行安装# 解压下载好的文件python setup.py install# 打包py文件,记得在当前环境中安装好py文件所需的依赖。pyinstaller -F *.py# 不带控制台打包pyinstaller -F -w *.py# 添加ico图标pyinstaller -F -i xx.ico *.py在dst文件夹中会生成一个exe文件用来执行。Pyinstal
2021-01-28 16:29:33
828
原创 一次性通过CISSP考试之旅
回顾我的CISSP通过之旅…………从2020年2月份左右开始报班学习,最开始是跟着培训机构的计划,看录播+直播课程+OSG的书;本想在5月底进行考试,但是没有约到合适的时间所以改到7月份;但接下来的3个月中间遇到了一些私事导致时间不足,准备不充分,所以延期到10月中旬;9月份在做考前准备时,由于经常出差以及疫情的原因,决定再次延期到12月底;在差不多11月初的时候下定决心必须要在2020年通过考试,然后开始重新看AIO的书(这里我没有看之前的OSG的书),以及在12月中下旬开始做考前冲刺(主要是做
2021-01-05 16:01:35
2610
2
原创 玩转容器安全三 - Harbor私有镜像仓库
Harbor: https://github.com/goharbor/harbor# Operation System: CentOS 7# Docker Version: 19.03.13# Harbor Version: 1.10.6# Docker-Compose Version: 1.27.4 Harbor的安装与使用Harbor离线与在线安装Harbor官方安装文档:https://goharbor.io/docs/2.0.0/install-config/推荐使用离线的安装模
2020-12-11 23:18:07
2093
原创 云安全(一) - 浅谈基于IaaS公有云的中小型企业基础安全建设
背景互联网数据中心(IDC)属于互联网基础设施范畴的一个细分领域。为企业、金融机构等提供一个存放服务器的空间场所,随着科技技术的发展,IDC也经历了一个又一个的里程碑,如下图是:摘自《美国数据中心建设发展历程分析情况》从图中我们可以看到IDC发展由传统的自建IDC机房、租用或托管服务器的方式向虚拟化云IDC转型。过去的几年里,选择云IDC的中小型企业数不胜数,小B也曾经在几家企业中参与相关的安全建设。提到云IDC那么不得不提的就是现在云计算模式的不同带来的云IDC类型不同:云计算平台本身提供三种类
2020-12-04 18:16:25
2835
转载 混合云架构下的安全风险分析和安全解决方案建议
原文链接:https://mp.weixin.qq.com/s/ulgudZWyuw2Leg3g8ypwHQ01.混合云架构下的安全风险分析1. 混合云架构下的安全风险分析企业混合云环境,一般包括一个或多个公有云厂商以及自建的私有云平台,从信息安全风险管理角度来看,实施混合云涉及到IT基础架构和应用架构的重大变更,因此需要重新进行风险评估。混合云环境下需要考虑到的安全风险包括:公有云厂商及其安全服务的选择私有云安全防护能力建设混合云环境下的服务器、容器、无服务器应用安全混合云环境下的数据安全
2020-12-02 16:23:08
6540
1
原创 玩转容器安全二 - 容器安全概述
容器安全概述根据我自己的理解,将容器安全划分成了6个方向,各个方面还存在二级分支方向,本文就这6个方向及其二级分支展开我对容器安全的理解。话不多说,开篇一幅图,后面全靠编。承载容器或容器集群的宿主机的安全性首先就是容器宿主机的安全,在一个企业内部,如果划分了基础运维团队与容器团队(CaaS, Container as a Service 容器即服务),那么容器宿主机的安全性由基础运维团队负责,通常与传统基础设施安全保持一致。这块就是一些老生常谈的话题,如:主机身份鉴别与访问控制:主要是操作系统的
2020-11-29 16:43:10
12445
6
原创 玩转容器安全一 - 虚拟机搭建简易版K8s集群
在虚拟机折腾K8s# Date 2020/11/19# Operation System: Centos7# Docker Version: 19.03.13# Kubernetes Version: 1.19.0# k8s-master:10.10.10.100# k8s-node1:10.10.10.101# k8s-node2:10.10.10.102虚拟机系统初始化(Master与Node均需执行)配置网络与主机信任vim /etc/hosts10.10.10.100
2020-11-19 23:21:09
1479
原创 完成一次渗透测试项目 New Address
背景:小B接到一个渗透测试任务,由于很久没有从乙方视角执行渗透测试的他决定先梳理一下自己的思路。准备工作第一个是渗透测试用例:对于技术人员来讲这是一个比较好的知识点沉淀的方式,不但有助于你在每一次的渗透测试中不遗漏掉某个点,并且还可以在团队内部进行共享方便提升团队内部成员的技能。第二个是工具箱:工欲善其事必先利其器,有一个好的工具箱决定我们在渗透测试时的效率。一个好的工具箱应该包括,不同操作系统(Win、Linux、macOS);各种环境与基础工具(Java、Py2与Py3、Ruby、NodeJS、G
2020-11-17 21:59:38
1726
原创 谈谈信息安全入门这事 New Address
本周一在发布"计算机与网络安全系列书单推荐"时,hblf的朋友圈给了我一定触动,"信息安全如何入门"这个问题让我想到了一些有趣的东西,所以抽空写一写自己的答案。"信息安全如何入门"这个问题我觉得需要拆成3个部分来回答:信息安全包括什么?什么算入门?你要如何学习?备注:本文中的信息安全没有特意区分cyber security、data security等。1.信息安全包括什么我个人觉得我是回答不完全这个问题的,只能尽我所能来回答。首先我们来看看知乎上,关于"信息安全如何入门"的相关问题都有哪些?
2020-11-17 21:58:10
1768
原创 计算机与网络安全系列书籍推荐 New Address
每个人都有自己喜欢阅读的书籍,我也不例外。偶然翻看3年前的微博,答应与朋友(@t0data)一起整理计算机与网络安全的优秀书籍。在之前也做了一个简单的书单共享:https://bloodzer0.github.io/ossa/study_notes/books/,但是由于GitHub Pages的局限性不能提供评论来让大家推荐自己认为的优秀书籍,所以迁移到微信公众号上,后期也会逐步将文章迁移过来。一千个读者心中有一千个哈姆勒特。我们认为优秀的书籍也许你不这么认为,没有列在此目录的也依然是优秀的书籍。一本书
2020-11-17 21:56:31
2075
原创 SonarQube系列(一)安装
Time: 2020年10月Operation System: CentOS7RAM: 4GJava Version: 11.0.8SonarQube Version: 8.0之前在公众号也写过一篇关于SonarQube的文章,本文将针对这篇文章进行一个完善,包括SonarQube安装、使用、集成三个部分,后期有时间会写一篇关于规则优化的文章。原微信公众号文章地址:SonarQube实现自动化代码扫描 https://mp.weixin.qq.com/s/L5WeEFvu6etVTAigx6jj
2020-10-29 20:38:30
1796
1
原创 APP隐私合规_个人信息保护合规评估工具
Reference: https://zcpt.cesidsat.com/cms/indexAPP收集使用个人信息合规自查隐私条款评估
2020-10-22 13:48:59
8450
13
原创 折腾MobSF
MobSF: https://github.com/MobSF/Mobile-Security-Framework-MobSFTime: 2020年10月14日Operation System: Centos7 Minimal InstallPython Version: 3.8MobSF Version: 直接git clone的master分支MobSF是提供了Docker版本的,本不必折腾Centos上的安装,但由于当前Docker版本不支持动态分析,所以还是选择自己倒腾一下。如果你希望一
2020-10-15 20:42:14
2908
原创 Python SQLite版本过低
如果你需要在Centos7操作系统上配置Python的开发环境,这里有配置方法: 点击查看,但是值得注意的是在Centos7操作系统上,Python使用SQLite模块时,会出现版本过低的错误,如:django.core.exceptions.ImproperlyConfigured: SQLite 3.8.3 or later is required (found 3.7.17).此时我们的解决方案如下:# 下载新版本的SQLitewget https://www.sqlite.org/2020
2020-10-13 23:11:51
1017
原创 Windows Server 2019安装.Net
Time: 2020年10月Operation System: Windows Server 2019.Net Version: 3.5在Windows Server 2019的操作系统中不能像其他操作系统那样直接下载.Net安装包进行安装,报错如下:无法通过Windows功能控制面板自动安装或卸载Windows Server角色和功能。解决方案如下,使用服务器管理器进行安装:如果直接进行安装,可能会出现安装失败的情况,推荐在上一步指定备用源路径。我们需要提前准备好一个Windo
2020-10-13 18:12:30
5824
原创 Centos7配置Python3开发环境
# 解决依赖yum install vim wget.x86_64 gcc.x86_64 gcc-c++.x86_64 zlib-devel.x86_64 bzip2.x86_64 bzip2-devel.x86_64 openssl-devel.x86_64 sqlite-devel.x86_64 libffi-devel.x86_64 ncurses-devel.x86_64 readline-devel.x86_64 tk-devel.x86_64 make.x86_64 -y# 下载Pytho
2020-10-10 14:33:04
139
原创 PHP代码审计工具RIPS
在Centos7操作系统中安装rips并使用rips进行代码审计工作# 安装依赖yum install httpd.x86_64 php-devel.x86_64 php.x86_64 php-mysql.x86_64 php-soap.x86_64 php-xml.x86_64 php-xmlrpc.x86_64 php-ldap.x86_64 php-cli.x86_64 -y# 下载rips并解压至Web目录unzip rips-0.55.zip -d /var/www/html/mv r
2020-10-10 14:12:44
1132
原创 CentOS配置Apache Maven环境
# 下载Apache Maven二进制包wget http://apache.mirror.cdnetworks.com/maven/maven-3/3.6.3/binaries/apache-maven-3.6.3-bin.tar.gz -O /opt/tar -xf apache-maven-3.6.3-bin.tar.gz# 配置环境变量vim ~/.bash_profileMAVEN_HOME=/opt/apache-maven-3.6.3PATH=$PATH:$HOME/bin:$
2020-10-09 21:44:06
153
frida-12.11.18-py3.8-linux-x86_64.egg
2020-10-15
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人