摘要:
友情提示:本文共1200+字,预计阅读3分钟。关键词:隐形资产、资产梳理、摸清家底、资产安全治理 如果要入侵一台服务器,从开放的端口服务下手;那么,如果要入侵一家企业,从互联网暴露面资产进行探测,主要围绕域名、IP进行信息收集。 你了解过你所在的企业有多少资产暴露在外网吗? 通过防火墙发布外网,这里 阅读全文
摘要:
短信API接口在web中得到越来越多的应用,如用户注册,登录,密码重置等业务模块都会使用手机验证码进行身份验证。一般情况下,我们会采用这样的安全策略,将短信发送频率限制在正常的业务流控范围内,比如,一个手机号一天最多下发10条短信,同时限制时效,验证次数。但这样的策略,攻击者通过遍历手机号,还是阻止 阅读全文
摘要:
和朋友聊起一个话题,服务器部署架构升级对安全的影响。从最简单的一台服务器,到应用、数据库、文件服务器分离;从本地机房服务器到云服务器产品矩阵;从虚拟化到容器化部署,一直在往更安全的方向改变。 本文试图构建这样场景,源码放在ECS,数据库放RDS,非结构化数据存储放HDFS。常规的getshell手段 阅读全文