09 2023 档案
摘要:Redis 安全 买了个阿里云,上面yum install安装了个redis,没有设置密码,过两天就收到了阿里云的安全告警信息, top了下,看到cpu飙升到了290%,进程kill不掉,最后发,/var/spool/cron下有个redis文件,跑定时任务,立马将redis停止 防护 首先,从认证
阅读全文
摘要:Docker服务:Docker所提供的功能以及在宿主机Linux中的Docker进程 Docker镜像:通过Dockerfile构建出来的Docker镜像 Docker容器:实际运行的Docker容器,通常来说,一个Docker镜像会生成多个Docker容器。Docker容器运行与Docker服务至
阅读全文
摘要:内网中的最小权限原则 对内网进行水平划分:划分不同的身份和权限 对内网进行垂直划分:内、外网隔离 有线和无线网络安全 无线网络的防护:使用安全协议(WAP2协议),认证技术(“强制门户”,再次认证),以及对办公网络中的未知热点进行扫描,避免伪造热点 有线网络安全防护:只需要防护劫持。第一种方法是对网
阅读全文
摘要:Linux中的安全模型 内核层防护:确保使用官方的镜像并保持更新 用户层防护:确保正确配置权限 黄金法则应用 Linux中的认证机制 安全问题:认证是linux内核提供的,在用户层只需要关注弱密码导致的身份信息泄露 防护:在/etc/shadow中,制定适当的密码策略;使用已知的弱密码库来检测lin
阅读全文
摘要:在进入一个系统后,黑客会进行一系列的操作来扩大自己的权限和攻击影响,这些操作可以被概括为权限提升和权限持久化。权限提升就是利用各种漏洞进行水平或者垂直的扩展,去获得新的身份和权限。权限持久化则是留下“后门”,并保持“后门”的长期有效性。 为了阻止黑客的进一步攻击行动,我们需要对应用和系统进行相应的防
阅读全文
摘要:了解插件 你所使用的所有插件的版本是什么?(包括前端和后端,直接引用和间接引用) 你所使用的这些插件,是否存在漏洞,是否不被维护了,是否被废弃了? 你所使用的这些插件,会在哪些地方发布更新信息和漏洞信息? 你所使用的这些插件,是否会定期更新? 你是否会对更新插件进行完整的测试? 你所使用的这些插件,
阅读全文
摘要:创建型 工厂方法:隔离创建对象的细节,使得创建对象的行为可扩展 抽象工厂:该模式抽象出一组相关对象的接口 建造者:与工厂不同的是,该模式包含了对象构造的若干过程 原型:用于以某个对象为模子创建一个新对象的场景,例如幻灯片中的母版与普通页、对象的克隆 单例 结构型 适配器:处理遗留系统的不二法宝,也可
阅读全文
摘要:身份认证的核心问题是身份管理,因此我们可以采用单点登录的形式,来解决复杂的身份管理问题。常用的单点登录方式包括CAS流程、JWT、OAuth和OpenID。 通过身份认证,我们只能够确认用户的身份,而对用户的操作和访问行为的把控,就是授权和审计的任务了。 “授权”和“访问控制”其实是同一个概念,都是
阅读全文
摘要:高效安全的对称加密算法,解决密钥分发难题的加密算法(防止对称密钥泄露),以及提供单向加密的三列算法 问题 现在公司有好几个应用,每一个应用都有独立的账号体系,管理起来失分复杂。而且,内部员工的账号系统也没有建设起来,应该怎么解决这些问题? 身份认证 分为两个部分:对外认证和对内认证 对外认证,其实就
阅读全文
摘要:非对称加密和对称加密算法的最大区别就是加密和解密使用的密钥是不同的 对称加密具备较高的安全性和性能 在一对多的场景中(如多人登录服务器),存在密钥分发难题的时候,要使用非对称加密 不需要可逆计算的时候(如存储密码),可以使用散列算法 对称加密用AES-CTR(CTR分组计算模式)、非对称加密ECC散
阅读全文
摘要:机密性、完整性、可用性 简单说,以购买极客时间为例,机密性就是未付费用户无法学习这个专栏,完整性就是这个专栏不会变成别的其他方向的内容,可用性就是作为付费用户,能够随时学习这个专栏。 那么该怎么解决安全问题呢 黄金法则 三部分:认证(Authentication)、授权(Authorization)
阅读全文
摘要:安全的本质 数据被窃取后,你能意识到问题来源吗 安全是什么 当我们遇到某一个特定的攻击或者安全问题时,往往看到的都是表象的影响,而能否找到根本原因并进行修复,才是安全投入的关键。 任何应用最本质的东西其实都是数据。用户使用产品的过程,就是在和企业进行数据交换的过程。 从另一层面来说,安全的本质就是保
阅读全文
摘要:安全基础: 系统地讲解安全基础概念、知识框架以及解决安全问题的思路,带你从宏观层次认知安全,能够系统地看待安全问题、评估安全需求,同时也为你的安全学习指明方向。 Web 安全: 结合实际场景讲解 Web 安全中一些经典安全问题的成因,结合当下 App 端各类接口中存在的 Web 漏洞,让你了解常见的
阅读全文
摘要:反序列化漏洞是如何产生的? 反序列化漏洞是一种安全漏洞,它利用了应用程序在处理反序列化数据时的弱点。当应用程序接收并反序列化来自不可信源的数据时,攻击者可以通过构造恶意序列化数据来执行未经授权的操作或者触发不安全的行为。 原理是当应用程序对反序列化数据进行处理时,它会根据序列化数据中的类名来加载相应
阅读全文
摘要:CSRF攻击时如何产生的? 当用户在网站上进行登录认证后,网站会为其生成一个会话(session),并为该会话分配一个唯一的标识符(session ID)。这个标识符通常存储在用户的浏览器的cookie中。 当用户点击一个链接或提交一个表单时,浏览器会自动包含当前网站的cookie信息,包括会话标识
阅读全文
摘要:预声明的原理是将SQL查询语句和参数分离,通过绑定参数的方式确保参数的值不会被解释为SQL代码的一部分,从而有效地防止注入攻击。
阅读全文
摘要:背景 2011 年微博真实出现的一次安全事件。整个事件的核心问题,其实出在这个可以点击的链接上。在这个事件中,黑客并不需要入侵到微博服务器中,只要用户点击了这个链接,就会“被发送”这样的博文。 Xss攻击是如何产生的? 本质:通过给定异常的输入,黑客可以在你的浏览器中,插入一段恶意的 JavaScr
阅读全文
摘要:给定三个字符串 s1、s2、s3,请你帮忙验证 s3 是否是由 s1 和 s2 交错 组成的。 两个字符串 s 和 t 交错 的定义与过程如下,其中每个字符串都会被分割成若干 非空 子字符串: s = s1 + s2 + ... + sn t = t1 + t2 + ... + tm |n - m|
阅读全文
摘要:给你一个非负整数数组 nums ,你最初位于数组的 第一个下标 。数组中的每个元素代表你在该位置可以跳跃的最大长度。 判断你是否能够到达最后一个下标,如果可以,返回 true ;否则,返回 false 。 示例 1: 输入:nums = [2,3,1,1,4]输出:true解释:可以先跳 1 步,从
阅读全文
摘要:给定一个长度为 n 的 0 索引整数数组 nums。初始位置为 nums[0]。 每个元素 nums[i] 表示从索引 i 向前跳转的最大长度。换句话说,如果你在 nums[i] 处,你可以跳转到任意 nums[i + j] 处: 0 <= j <= nums[i] i + j < n 返回到达 n
阅读全文
摘要:你是一个专业的小偷,计划偷窃沿街的房屋。每间房内都藏有一定的现金,影响你偷窃的唯一制约因素就是相邻的房屋装有相互连通的防盗系统,如果两间相邻的房屋在同一晚上被小偷闯入,系统会自动报警。 给定一个代表每个房屋存放金额的非负整数数组,计算你 不触动警报装置的情况下 ,一夜之内能够偷窃到的最高金额。 示例
阅读全文
摘要:给定由 n 个字符串组成的数组 strs,其中每个字符串长度相等。 选取一个删除索引序列,对于 strs 中的每个字符串,删除对应每个索引处的字符。 比如,有 strs = ["abcdef", "uvwxyz"],删除索引序列 {0, 2, 3},删除后 strs 为["bef", "vyz"]。
阅读全文
