sbom +dependencytrack 进行软件组件安全性分析
摘要:随着安全越来越重要,日常中我们对于自己开发的软件进行安全扫描同时作为一个常规化的任务是比较重要的,对于依赖组件基于sbom+ dependencytrack 是一个很不错的选择,而且成本比较低,管理上比较强大,我们需要做的就是基于ci 工具,或者通过cli 生成sbom,然后基于dependency
阅读全文
posted @ 2023-03-14 19:58
随笔分类 - 安全
iframe sandbox 造成附件下载问题解决
摘要:问题场景,iframe 通过src 加载三方website,同时三方website 调用api 生成 web 页面,页面中会包含click 链接(打开新页面)之后会包含文件下载 参考图如下 问题 对于通过api 生成的web page ,click 打开是另外一个web page (那怕是新打开浏览
阅读全文
posted @ 2023-03-02 08:40
haproxy 2.x 请求头安全问题
摘要:就在最近haproxy 官方发布了一个通知关于安全漏洞的,包含了2.0 以及最新版本的,对于使用了2.x 版本的用户最好升级下 临时解决方案 frontend myfrontend http-request deny if { fc_http_major 1 } !{ req.body_size 0
阅读全文
posted @ 2023-03-01 21:01
caddyserver 生产运行一种玩法实践
摘要:实际上就是一个尝试,毕竟如果生产使用了caddyserver 做为一些核心业务只是需要做不少考虑的 参考图 备注:以上图是基于自建acme 服务处理的(比较适合内部服务),因为caddyserver 同时存储tls 配置以及基于api 的配置,所有对于单机部署模式有一些调整,后边介绍 集成说明 ac
阅读全文
posted @ 2023-01-25 14:25
Docker 容器添加自定义root ca
摘要:比如如果我们基于了step-ca 工具做为我们的ca 机制,就会有不可信的问题,业务使用就特别不方便了,以下是一个参考配置 实际上很简单就是使用update-ca-certificates 更新信息 参考镜像 FROM nginx:latest COPY root_ca.crt /usr/local
阅读全文
posted @ 2023-01-24 22:47
step-ca ha 模式说明
摘要:step-ca是一个很不错的开源ca 管理工具,但是如果实际使用就存在ca 的问题 ,实际上官方也说明了ha 的玩法,但是因为step-ca 在架构设计上并不是完全分布式的,所以还是有一些问题的 主要的问题 多实例数据共享(比如ca,acme 信息),就需要一个db了,推荐pg 或者mysql in
阅读全文
posted @ 2023-01-24 22:28
caddyserver step-ca 集成
摘要:最近在学习caddy2 的一些新特性,以前大致看过step-ca 这个强大的证书管理工具,所以集成caddy+step-ca 的acme 进行测试下 因为acme 需要对于dns 进行校验,但是因为自己是本地测试,解决方法有:修改本地hosts 文件,后者配置自己的dns server ,对于 自己
阅读全文
posted @ 2023-01-24 20:52
step-ca 测试试用
摘要:环境准备 docker-compose version: '3' services: ca: image: smallstep/step-ca ports: - 9000:9000 environment: - DOCKER_STEPCA_INIT_NAME=dalongrong - DOCKER_
阅读全文
posted @ 2023-01-15 21:30
smallstep certificates 开源ca 管理工具
摘要:smallstep certificates 开源ca 管理工具 包含的特性 快速初始化内部pki 安全的处理证书 边界的自己重新申请 强大的集成能力,包含了cli 工具,以及api,同时可以很好的集成到ci/cd 中 说明 hashicorp 的vault 是一个类似的pki 管理工具,同时cad
阅读全文
posted @ 2023-01-15 10:12
osv-scanner google 开源漏洞扫描工具
摘要:osv-scanner 是google 基于golang 编写的开源漏洞扫描工具,支持基于osv 数据库的扫描,生态比较好 支持的扫描模式 lockfiles sboms git 项目 说明 osv-scanner 支持的扫描语言还是不少的,而且输出格式也比较友好,比如json 格式,我们可以方便的
阅读全文
posted @ 2023-01-01 20:15
gitlab 集成的一些SAST安全扫描工具
摘要:企业内部使用gitlab 作为源代码管理的越来越多了,同时目前gitlab 不少企业特性也开源的社区免费版了,以下是支持的SAST 清单可以参考 参考清单 Language (package managers) / frameworkScan toolIntroduced in GitLab Ver
阅读全文
posted @ 2022-12-28 20:36
ldap 认证密码为空问题
摘要:ldap 协议使用使用simple 协议同时没有包含密码的情况就会存在自动转换为匿名认证,但是如果同时ad 开启了需要null bind 就会造成木有输入密码也可以认证成功的问题,机制上是协议栈的设计,但是对于如果ad 系统开启了此选项的问题就比较突出了,就会有安全隐患了,具体可以参考以下内容 参考
阅读全文
posted @ 2022-11-17 13:15
minio 一些配置策略
摘要:整理一些策略,方便使用 参考配置 获取删除上传下载 { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketLocation", "s3:GetObject", "s3:PutOb
阅读全文
posted @ 2022-11-08 18:38
minio policy 使用
摘要:minio 参考aws s3 实现了用户的iam 访问控制,使用体验是一致的,而且比较方便,比如我们创建了一个用户或者组之后就需要进行权限创建分配 环境准备 docker-compose 文件 version: '3' services: minio: image: minio/minio port
阅读全文
posted @ 2022-11-08 18:36
使用nginx limit_except 保护暴露外网的minio 服务
摘要:minio 做为比较热门的开源s3 服务,受到好多团队的青睐,使用率还是比较高的,如果我们的服务是部署在内网的还好 一般不用太担忧安全问题(但是也得做好内网的安全防护),但是如果直接将s3 服务暴露到公网问题就比较多了,解决 方法很多,比如使用waf,自己配置一些安全策略,以下是基于nginx li
阅读全文
posted @ 2022-10-26 21:42
openmetadata 访问控制的一些调整
摘要:从整体上机制是没有变的,支持官方估计是为了简单,去掉了easy-rules 直接使用了spring expression 进行的执行处理rule 上自己实现了,从功能上还是比较简单的,而且也比较灵活,毕竟openmetadata 策略执行上也用不上太多关于easy-rules 的能力新的设计还是值得
阅读全文
posted @ 2022-10-05 18:01
graylog grn介绍
摘要:grn 是graylog 的资源名称,属于一种urn,从功能上类似aws 的 arn 主要用来进行权限以及资源分配管理 参考格式 grn:<cluster>:<tenant>:<scope>:<type>:<entity> graylog 解析处理 核心是slit,然后拆分处理 static GRN
阅读全文
posted @ 2022-10-01 08:18
parca-agent 安全问题
摘要:parca-agent 运行在root 账户,或者需要cap 能力(CAP_SYS_ADMIN ),同时官方为了安全对于执行文件进行了签名同时对于依赖以及代码使用了安全工具进行处理,对于bpf 的处理基于了libbpf 包,不依赖clang 以及llvm 说明 ebpf 是很不错的,但是ebpf 运
阅读全文
posted @ 2022-09-11 11:12
基于wireshark 分析waf 响应处理慢的问题
摘要:主要是记录下当时对于出现问题的一个解决思路 问题 因为安全需要,一部分业务需要集成到waf 中,原有业务包含了一个nginx 做为流量入口,在加入waf 之后同时修改本地host 发现从waf 的请求是时快时慢而且大部分时间都是很慢的,但是通过nginx 的一直很快(本来就是一直没有问题) 业务参考
阅读全文
posted @ 2022-09-11 10:48
dremio 当前支持的权限
摘要:了解dremio 当前支持的权限,可以让给你我们更好的处理以及学习dremio的安全控制机制 数据集权限 alter 对于system,space,source,folder,pds,vds 的操作,包含了add,delete,modify,同时包含了元数据的处理 alter_reflection
阅读全文
posted @ 2022-07-16 23:18
