开发者 安全
2022-04-25
OSCHINA 上听说墨菲安全, 是一个 Golang 写的 cli 工具, 收集项目的依赖信息提交到服务器端, 查询可能的安全风险。
根据官方文档,目前支持 Java(maven,gradle),Golang(go mod),Node(npm,yarn),Python(pip)语言。
本文档就是简单的试用一下。
总结:我感觉挺好的,一般来说对于依赖我们都不上心,其实是有很大安全风险在里面。我觉得应该对线上业务的依赖都应该有严格的审查。
如果是安全方面的需求没有那么强烈,用这个工具可以为依赖的管理提供一些帮助。
可以考虑和 CI/CD 继承,如果有安全风险就发出告警信息。
安全 计算机网络 iptables
2022-04-14
同事发来消息,说是我的电脑经过安全扫描,判断有风险。提了以下几条改进意见:
-
SMB 共享,风险高,希望限制访问,并强制执行消息签名。
改进:其实现在我很少使用 SMB 共享了,直接关闭了事。
PS: 其实在用 SMB 共享,所以重新开启 smbd 并禁止匿名访问。
-
开启了 IP 转发,风险中,建议关闭。
IP 转发功能对我的工作是非常必要的,不能关闭
之前的文章, 2021/05/09, VPN 与 NAT 有讲过这个问题。
改进:调整 iptables 规则,only ACCEPT 指定链路 FORWARD
- 3Proxy HTTP 代理(端口 10809)只做透明请求远程溢出,风险高,建议升级 3Proxy 版本。
我没有安装什么 3Proxy, 这个端口是其他 HTTP 代理服务的端口(不排除底层使用了 3Proxy)
改进:我直接将其改成监听 127.0.0.1 了事
WebDev 安全 网站 服务器
2021-10-30
非常简单,就是告诉别个,如果网站出现安全问题应该向谁报告,用什么方式报告。
安全 加密 scrypt Django
2021-10-03
在 Python 标准库 hashlib
中见过 scrypt
,说是 3.6 引入。
然后,这两天看到的资讯说是 Django 4 将加入了 scrypt
做密码哈希,据说安全性比之前的 PBKDF2
更好。
PS: 由于需要 OpenSSL 1.1+ 的支持,以及会消耗更多的内存,所以不是默认选项。
安全 加密 sm3 Python
2021-10-03
sm3
是我国设计的一种哈希算法,根据维基百科信息,大致相当于 sha256
。
安全 权限管理 访问控制
2021-08-09
关于访问控制,我们接触最多的是操作系统,我们在设计应用的权限系统时多少可以借鉴借鉴。
WebDev 安全
2019-04-09
某用户委托安全公司对本司(SendCloud)短信发送业务做安全检测,发现咱们的上游通道某一环节的安全漏洞。
跟踪这个过程,真的十分有趣。
这是 XSS 第一次发生在我身边,怎么也不会想到有人会犯这么弱智的错误。最基本的页面输出转义都没做。
页面内容输出转义、SQL 防注入、表单的 CSRF token 校验,应该算是 Web 站点搭建的基础工作吧!
WebDev Cookie 安全 Tornado
2019-01-13
本文讲的是 Tornado 框架中的 “secure cookie” 实现。
计算机网络 安全
2015-09-28
原文:Nabil Ouchn,Top Five Hacker Tools Every CISO Should Understand
翻译:安全牛,首席信息安全官必须知道的五大黑客工具
说明:原文作者是白帽安全工具网站 ToolsWatch.org 的创始人。
文中提到了五个据说是黑客喜欢使用的利器。
不过,
- 我不确定这些真的都是黑客热爱的、常用的工具,我觉得更多的应该是网络管理员常用的工具吧!
- 我很怀疑那些 CXO 需要上一线去做什么具体事务,文中提到的首席信息安全官(CISO)应该也只是是行政职务。
五大利器
- 渗透测试工具:Metasploit/Armitage
Armitage 是一个拥有图形用户界面的 Metasploit 管理工具,据说使后者更好用。
- 密码破解工具 Hashcat
还有一篇文章,安全军火库:渗透测试工具流行性大调查,对安全相关的其他几个工具进行了一个 “用户选择” 在线调查。
有意思的是,这个里面,密码破解一项没有看到 Hashcat 的影子。
- Wi-Fi 网络安全测试工具:Wifite
Python 编写。
可以检测 WiFi 网络配置是否符合安全政策,甚至还能识别任何可能被用于钓鱼和中间人攻击的开放 WiFi 网络。
- 数据包分析(抓包):WireShark
这不用解释了,绝对的神器,正在学习中。
- 社交工程工具箱:SET
Python 编写
https://github.com/trustedsec/social-engineer-toolkit
复习:常用网络命令
nmap
:Network Mapper 网络嗅探
tcptrack
tcpview
tcpdump
traceroute
/traceroute6
/tcptraceroute
/lft
tracepath
/tracepath
:traceroute
的替代。
route
:IP 路由表。
host
:DNS 检查工具,即通过主机名(域名)查 IP 地址。
dig
:DNS 检查工具,似乎得到的数据比 host
更加详细。
ifconfig
:网卡配置工具。
ip
:
netstat
ss
:socket statistics,netstat
的替代品。
netcat
(nc
)
nslookup
rdate
:根据远程服务器设置本地时间
ping
inetd
(xined
):网络服务守护程序
ssh
/rlogin
/telnet
我对网络命令比较感兴趣,因为我还不会。>"<|||
SQL 安全
2013-11-10
好久没写技术博客,最近研究产品关于用户体验方面较多,加上项目突然比较多,设计原型、跟进开发、设计师等工作着实没时间写博客。
接下来技术上主要 php 深入学习和 mysql 优化。这两天看了关于 sql 注入方面的知识,拿出来分享一下 :)