首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

安全之配置不当信息泄露

配置不当的分类: (1)WEBserver本身:之前发生的nginx等解析漏洞webserver的目录遍历等。 (2)网络协议相关:snmp弱community、dns域传送、ssh等。...---- 0x01 配置不当的防范 (1)业务上线前进行安全基线检查 (统一安全配置基线,即最低安全红线,根据安全配置基线产生公司默认配置模板,所有预上线阶段全部默认使用配置模板,当模板满足不了需求时,...可以根据配置模板进行相应更改,但是上线之前需要通过安全基线工具)。...(3)对攻击行为进行监控,一般这样做之后会杜绝大部分的配置不当问题, 其他信息泄露问题主要是采用自检或者src白帽子提交的漏洞来发现,发现之后走修复流程不会分层做。...On RewriteCond %{REQUEST_METHOD} ^TRACE RewriteRule .* - [F] .git /.svn 泄露源代码信息 漏洞名称:.git / .svn 配置不当导致源代码泄露

54210

安全之配置不当信息泄露

配置不当的分类: (1)WEBserver本身:之前发生的nginx等解析漏洞webserver的目录遍历等。 (2)网络协议相关:snmp弱community、dns域传送、ssh等。...0x01 配置不当的防范 (1)业务上线前进行安全基线检查 (统一安全配置基线,即最低安全红线,根据安全配置基线产生公司默认配置模板,所有预上线阶段全部默认使用配置模板,当模板满足不了需求时,可以根据配置模板进行相应更改...,但是上线之前需要通过安全基线工具)。...(3)对攻击行为进行监控,一般这样做之后会杜绝大部分的配置不当问题, 其他信息泄露问题主要是采用自检或者src白帽子提交的漏洞来发现,发现之后走修复流程不会分层做。...On RewriteCond %{REQUEST_METHOD} ^TRACE RewriteRule .* - [F] .git /.svn 泄露源代码信息 漏洞名称:.git / .svn 配置不当导致源代码泄露

1.4K70
  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    Nginx - 安全基线配置与操作指南

    概述 我们这里主要介绍针对Nginx中间件的安全基线配置指南,包括版本选择、用户创建、权限设置、缓冲区配置、日志管理、访问限制、错误页面处理、并发控制、补丁更新等方面。...同时还涵盖了如何配置正向代理模块、防止目录遍历以及服务监控等内容,旨在指导系统管理员确保中间件服务器的安全性 中间件安全基线配置手册 1....概述 1.1 目的 本文档规定了中间件服务器应当遵循的安全性设置标准,旨在指导系统管理人员或安全检查人员进行中间件的安全合规性检查和配置。...1.2 适用范围 本配置标准的使用者包括:服务器系统管理员、应用管理员。 本配置标准适用的范围包括:中间件服务器。 2....Nginx基线配置 2.1 版本说明 使用Nginx官方稳定版本,当前提供下列版本: Nginx 1.22.1 Nginx 1.24.0 2.2 安装目录 /opt/nginx-{version} 2.3

    39700

    linux安全基线配置全解析(付脚本)

    但是由于管理员的安全意识不全或者疏忽,导致linux的敏感端口和服务没有正确的配置,可能会被恶意利用,所以需要进行基线加固。...1.基线 即安全基线配置,诸如操作系统、中间件和数据库的一个整体配置,这个版本中各项配置都符合安全方面的标准。比如在系统安装后需要按安全基线标准,将新机器中各项配置调整到一个安全、高效、合理的数值。...2.基线扫描 使用自动化工具、抓取系统和服务的配置项。...将抓取到的实际值和标准值进行对比,将不符合的项显示出来,最终以报告 的形式体现出扫描结果有的工具将配置采集和配置对比分开,通过自动化脚本采集配置后再通过特别的软件转换为适合人类阅读的文档 3.基线加固自动化脚本的编写...on" ]; then echo "没有关闭ip伪装" fi sed -i 's/on/off/g' /etc/host.conf echo " 关闭IP伪装完成" 15.检查/etc/hosts配置

    2.7K22

    crossdomain.xml文件配置不当利用手法

    对于crossdomain.xml配置不当的危害很多文章已经说的很清楚了。可是如何利用这个漏洞,怎样写一个exploit来证明漏洞确一直没有很好的资料。...比如:www.freebuf.com/crossdomain.xml. 2,crossdomain.xml的配置是过度授权的,比如本文开头截图中的配置。...那么配置不当的crossdomain.xml也引起不了严重的危害。但是如果目标站点存在敏感信息或者具备敏感操作。那么不恰当的配置就相当于对任意站点上的恶意SWF敞开了大门。举个例子。...首先配置测试环境。下面是在kali linux 下配置mxmlc的环境。用来编译swf。如果你是windows系统可以直接下载flex sdk。已经有flash开发环境的同学可以略过这部分。...12,收集和分析你窃取到的数据 cat /tmp/thanks_for_sharing.txt 上面两个poc的功能都是窃取数据,在分析crossdomain.xml配置不当危害的时候,我们提到某些场景可以获取到

    8.1K90

    经验分享 | 企业如何做好安全基线配置

    制定基线配置模板 基线配置模板可以包含运维和安全2个部分,运维部分如性能相关配置、稳定性相关配置、个性化配置。...安全的基线配置可以参考2个来源:工信部基线配置要求; ?...分发基线配置 分发基线配置最好和运维一起做,由运维支撑系统进行分发,可以加速效率。如果运维目前阶段还没有统一的分发管理系统,可单个用配置脚本完成,这样效率就很低。...基线配置检查 基线配置检查有独立的商业产品可以支持,也可以使用运维管理系统进行检查。...《XX基线配置》 ? 还有种常见的基线配置文档见下面 ? 检查记录可以在基线配置文档增加个符合选项。

    3K50

    基线估计

    1 什么是基线估计? 以深度学习为代表的现代机器学习方法在预测和分类准确性上取得了巨大的成功。...基线估计是我在蚂蚁的工作项目所抽象出来的算法框架,它原本是针对运维领域内的容量场景所做的基线区间估计,就落地场景而言,它还是比较局限的,但基线估计这个概念本身是不局限的,这个概念在领域内的名称可能多种多样...在相关介绍开始前,结合在百度和蚂蚁的工作经验,我个人认为对某个对象的基线分布的刻画比直接进行异常检测有着更广泛的用途,以蚂蚁的容量工作来看,风险对象的多指标基线区间估计,比指标的异常检测有着更广泛的用途...,基线估计除了可以用来做指标的异常检测,还可以应用于其他诸多场景。...此外基线估计有着诸多可能落地的工业场景,如:IT安全、医学诊断、工业场景的监控与异常检测、图像识别、视频监控、文本挖掘、传感器网络等。

    91120

    Nginx配置加密套件不当,导致无法建立连接分析

    之前文章写了用zabbix自动发现功能,自动监控服务器上所有域名的SSL证书到期时间,文章分别是简单脚本监控SSL证书到期时间和配置zabbix自动发现实现自动监控服务器所有域名SSL证书到期时间,有兴趣的可以看下...关于ssl握手的话,之前也写过一篇文章Wireshark抓包帮你理清https请求流程,如果有兴趣,可以看看 这里分析客户端的这个client hello的包,查看加密套件 又问小伙伴要了nginx配置的加密套件...可以看到,和客户端的加密套件不匹配,所以这就是为什么握手不成功的原因,可以看到,小伙伴的加密套件设置的太严格了,所以我让他重新配置了加密套件,果然没有问题,可以正常建立连接 这里除了抓包,还可以通过...中禁用了,更多的关于ciphers的信息可以查看openssl官方文档https://www.openssl.org/docs/man1.0.2/man1/ciphers.html 总结,在nginx配置中...,如果是普通服务,尽量不要配置特别严格的加密套件,避免出现加密套件不匹配,不兼容低版本的客户端

    4K10

    Nginx加密套件配置不当,造成SSL无法建立连接

    之前文章写了用zabbix自动发现功能,自动监控服务器上所有域名的SSL证书到期时间,文章分别是简单脚本监控SSL证书到期时间和配置zabbix自动发现实现自动监控服务器所有域名SSL证书到期时间,有兴趣的可以看下...又问小伙伴要了nginx配置的加密套件 ?...另外说一下nginx中加密套件的配置,nginx中的加密套件是通过ssl_ciphers指令指定的,加密套件格式通常就是以‘:’分隔,然后写在一行,一条加密套件包含哪些内容呢?...中禁用了,更多的关于ciphers的信息可以查看openssl官方文档https://www.openssl.org/docs/man1.0.2/man1/ciphers.html 总结,在nginx配置中...,如果是普通服务,尽量不要配置特别严格的加密套件,避免出现加密套件不匹配,不兼容低版本的客户端

    3.4K10

    Windows 操作系统安全配置实践(安全基线)

    [TOC] 0x00 前言简述 描述: 由于最近工作和学习的需要就将针对于Windows系统的一些安全配置做了如下记录,便于后期的知识结构化,并在后续的工作继续进行添加安全加固的一些技巧,同时希望广大的大佬也能多多扩充安全加固配置项...基础纲要 本章主要纲要: 1) 2) 3) Windows Server 安全基线关键项 4) Windows Server 安全基线检查与设置脚本编写 ### 适用范围: Windows Server...Windows Serve 2019 基于等保三级,大致分为身份鉴别、访问控制、安全审计、资源控制、入侵防范、恶意代码防范、剩余信息保护这7个方面 参考学习 参考标准: 1)《电信网和互联网安全防护基线配置要求及检测要求操作系统...》(YD/T2701-2014) 2) ---- 0x01 0x02 安全基线关键项 1) 主机安全 1.1 系统账户 1.1.1 优化账号 操作目录: a) 减少或者不启用系统无用账号,降低风险...1.1.3 账号口令策略调整 操作目的: a) 按照《网络安全等级保护基本要求》 进行调整增强口令的复杂度及锁定策略等降低被暴力破解的可能性 b) 按照《电信网和互联网安全防护基线配置要求及检测要求操作系统

    4.4K20

    CORS配置不当—挖掘技巧及实战案例全汇总

    通常系统通过配置HTTP响应头来允许发出跨域请求,如下Example1发送一个Origin头,Example2以一个Access Control Allow Origin头响应,然后Example1便可以对...Example2的数据进行操作: 2、漏洞原理 CORS配置不当通常会导致的危害是用户敏感信息泄露,场景大多数是get请求方式返回的json形式的敏感信息(密钥、token,key等)。...CORS配置不当属于响应头中的一种,其他还有X-Frame-Options、Content-Security-Policy等。...semrush的一个api端点,插入Origin头为攻击者服务器: 返回信息主体是用户敏感信息,需注意的是返回的Access-Control-Allow-Origin是攻击者服务器,这意味着系统存在CORS配置错误

    6.7K54

    Linux基线加固

    主机安全的风险级别除了漏洞,另一个重要的参考值是安全基线的风险分值,本次介绍的主要是结合目前公司的业务实际情况制作的一份安全基线脚本,供大家进行参考。...适用环境 适用环境:RedHat系统Linux 注意 在配置系统基线测试之前,虚拟机一定要提前制作快照,配置测试期间尽量不要退出登录状态,以便出现差错的时候能够及时回退。...基线配置内容 /etc/pam.d/system-auth 是用户使用pam认证模块的登录策略配置文件,配置用户密码的复杂度、登录失败暂锁、重复使用密码次数等都是配置此文件。.../etc/login.defs 文件是配置用户密码策略的,基线检查项中包括密码的时效性及默认访问权限两项。...在/etc/rsyslog.conf或/etc/syslog.conf配置文件中添加: ? 在/etc/syslog-ng/syslog-ng.conf配置文件中添加: ?

    3.1K01
    领券