随笔分类 - 13-企业安全
企业安全、安全体系
摘要:1. 适用情况 适用于使用WebSphere进行部署的Web网站。 2. 技能要求 熟悉WebSphere安装部署,熟悉WebSphere常见漏洞利用方式,并能针对站点使用WebSphere进行安全加固。 3. 前置条件 根据站点开放端口,进程ID,确认站点采用WebSphere进行部署; 找到We
阅读全文
摘要:1. 适用情况 适用于使用Jboss进行部署的Web网站。 适用版本:5.x版本的Jboss服务器 2. 技能要求 熟悉Jboss安装配置,能够Jboss进行部署,并能针对站点使用Jboss进行安全加固。 3. 前置条件 根据站点开放端口,进程ID,确认站点采用Nginx进行部署; 找到Jboss安
阅读全文
摘要:1. 适用情况 适用于使用IIS6进行部署的Web网站。 2. 技能要求 熟悉IIS配置操作,能够利用IIS进行建站,并能针对站点使用IIS进行安全加固。 3. 前置条件 1、 根据站点开放端口、进程ID、确认站点采用IIS进行部署; 2、 启用IIS 方法一:按Win键+R打开Windows运行,
阅读全文
摘要:1. 适用情况 适用于使用Weblogic进行部署的Web网站。 2. 技能要求 熟悉Weblogic安装部署,熟悉Weblogic常见漏洞利用方式,并能针对站点使用Weblogic进行安全加固。 3. 前置条件 1、根据站点开放端口,进程ID,确认站点采用Weblogic进行部署;2、找到Webl
阅读全文
摘要:1. 适用情况 适用于使用Nginx进行部署的Web网站。 2. 技能要求 熟悉Nginx配置,能够Nginx进行部署,并能针对站点使用Nginx进行安全加固。 3. 前置条件 1、 根据站点开放端口,进程ID,确认站点采用Nginx进行部署; 2、 找到Nginx安装目录,针对具体站点对配置文件进
阅读全文
摘要:1. 适用情况 适用于使用Tomcat进行部署的Web网站。 2. 技能要求 熟悉Tomcat配置操作,能够利用Tomcat进行建站,并能针对站点使用Tomcat进行安全加固。 3. 前置条件 1、根据站点开放端口,进程ID,进程名称,确认站点采用Tomcat进行部署; 2、找到Tomcat路径:
阅读全文
摘要:1. 适用情况 适用于使用IIS7进行部署的Web网站。 2. 技能要求 熟悉IIS配置操作,能够利用IIS进行建站,并能针对站点使用IIS进行安全加固。 3. 前置条件 1、 根据站点开放端口、进程ID、确认站点采用IIS进行部署; 2、 启用IIS 方法一:按Win键+R打开Windows运行,
阅读全文
摘要:1. 适用情况 适用于使用Apahce进行部署的Web网站。 2. 技能要求 熟悉Apache配置文件,能够利用Apache进行建站,并能针对站点使用Apache进行安全加固。 3. 前置条件 1、 根据站点开放端口,进程ID,确认站点采用Apache进行部署; 2、 找到Apache配置文件 4.
阅读全文
摘要:0x01 S-SDLC简介 OWASP Secure Software Development Lifecycle Project(S-SDLC)是OWASP组织首个由OWASP中国团队独立发布并主导的研究项目,并在全球范围内正式发布。S-SDLC被越来越多的企业所重视,纷纷开始实施。 S-SDLC
阅读全文
摘要:多年以来,Perl已经成为用于系统管理和WebCGI开发的功能最强的编程语言之一(几乎可以使用Perl做任何功能的程序)。但其扩展应用,即作为Internet上CGI的开发工具,使得它经常成为Web服务器上的攻击目标。 另外,大多数CGI脚本有着比一般用户更高的权限,导致它更容易受攻击。下面列举了一
阅读全文
摘要:C本质上是不安全的编程语言。例如如果不谨慎使用的话,其大多数标准的字符串库函数有可能被用来进行缓冲区攻击或者格式字符串攻击。但是,由于其灵活性、快速和相对容易掌握,它是一个广泛使用的编程语言。下面是针对开发安全的C语言程序的一些规范。 1.1.1 缓冲区溢出 避免使用不执行边界检查的字符串函数,因为
阅读全文
摘要:申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-7-IOS%
阅读全文
摘要:申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-6-Andr
阅读全文
摘要:申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-4-pyth
阅读全文
摘要:申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-3-java
阅读全文
摘要:申明:本文非笔者原创,原文转载自:https://github.com/SecurityPaper/SecurityPaper-web/blob/master/_posts/2.SDL%E8%A7%84%E8%8C%83%E6%96%87%E6%A1%A3/2018-08-17-SDL-2-php%
阅读全文
摘要:0x01 SDL介绍 安全开发生命周期(SDL)即Security Development Lifecycle,是一个帮助开发人员构建更安全的软件和解决安全合规要求的同时降低开发成本的软件开发过程。 0x02 SDL流程框架 自2004年起,SDL就成为Microsoft全公司的计划和强制施行政策,
阅读全文
摘要:本文作者:微软SDL(安全开发生命周期)团队资深安全项目经理Bryan Sullivan 原文转载:http://news.mydrivers.com/1/215/215225.htm 安全小测验:存储机密信息最安全的办法是什么? a) 利用 256 位密钥的强对称加密算法(例如 AES)进行加密。
阅读全文
摘要:0x01 平台介绍 洞察是宜信安全部用来对公司内部系统所出现的安全漏洞进行线上全生命周期管理的漏洞管理平台。 主要由3部分组成: 应用系统资产管理 漏洞生命周期管理 安全知识库管理 应用系统资产管理:对公司应用系统资产进行管理,包括系统名称、域名、重要级别、部门、负责人等。 漏洞生命周期管理:对公司
阅读全文
摘要:0x00 前言 初入甲方,刚开始接触的应该就是ISO27001信息安全管理体系,你拿到的应该就是一整套安全管理类的文档。在甲方,稍微有点规模的公司很注重制度和流程,岗位职责分工明细,那么这些安全管理制度,就是你所能掌控的游戏规则,几个人的信息安全部生存之道。 0x01 ISO27001简介 ISO/
阅读全文
