onice

onice

🏢  涉网犯罪攻防/渗透测试/信息安全
V2EX 第 147683 号会员,加入于 2015-11-18 23:13:06 +08:00
今日活跃度排名 4429
根据 onice 的设置,主题列表被隐藏
二手交易 相关的信息,包括已关闭的交易,不会被隐藏
onice 最近回复了
一个网站的风险有这几个风险点:

一个是来自 web 应用程序本身的漏洞,比如你说的注入,还有跨站脚本这些。

第二是 web 服务器环境的漏洞,比如 Java 项目使用的 tomcat ,weblogic ,还有.net 网站使用的 iis ,还有 php 使用的 apache ,nginx 等。

第三个是主机漏洞,来自操作系统的漏洞。比如比较经典的永恒之蓝。

参考上述三点。即使是你保证了你的 web 程序没漏洞,但也不能防止 web 中间件的漏洞和主机操作系统的漏洞。

对于巨石应用,所有环境都部署在一台服务器上的,安全比较好做。三个层面做好就行了。

但是对于一个大型企业,不可能只有一个网站应用。当网站系统和服务器主机数量成规模了,就比较考研运维人员的能力了。

对于攻击者,我们只会挑薄弱的地方下手。找到存在漏洞的站点作为立足点,逐步进入企业内网,并横向移动直到获取域控权限。

没有永远安全的系统。随着时间推移,上面提到的三个方向,一定会出现漏洞,而随着网站数据增加,重要的系统迁移到新系统成本反而很大,大部分企业不会重视,不会为了安全原因投钱开发一个新系统。现在很多企业,甚至还用着 centos6 ,用着 windows7 。

当所有技术手段都失效了,我们还可以用社会工程学。

鱼叉攻击,水坑攻击这些。

参考最近西北工业大学的入侵事件。

总之,安全是整体,具有木桶效用。并不是说前后端分离了,就安全了。
5 天前
回复了 leirenbb 创建的主题 问与答 关于客户端小白误入后端森林这件事
《淘宝技术这十年》
5 天前
回复了 Dispnt 创建的主题 职场话题 应届入了教师编,感觉每天都很累
楼主要学会拒绝。遇到其他老师的事,直接说不会。遇到修东西,直接叫承包商。老师的主业是上课,只要你把课上好,其他人不能拿你怎么样,顶多你未来与升职无缘。但是不用担心,当教师挣不了几个钱,你大可放心搞自己的副业,教师编的工作保底。
6 天前
回复了 jchnxu 创建的主题 程序员 jdbc 是个啥原理啊
jdbc ,开头的 j 是指的 java 。要想通用点,就用 odbc 吧。
7 天前
回复了 Wataru 创建的主题 Windows Windows11 22H2 更新了,都没人讨论一下吗
今早收到推送,已经更新了。感觉良好。
7 天前
回复了 systemcall 创建的主题 问与答 如何完整地卸载 Windows 下的软件?
7 天前
回复了 mr0joker 创建的主题 Linux 各位来分享下目前使用的 Linux 发行版吧
万年 ubuntu
在中国,对于技术岗位,我不敢想这个事。

我国整体产业水平不高,大多数技术岗位,有的人是人干,还有比你更年轻更拼的。

我想到了两个解:要么进体制,要么润。
12 天前
回复了 goforwardv2 创建的主题 程序员 社恐的人
我也是你这样。但我从不为这个事担忧。你要做的是坦然的接受自己。

我几乎不主动社交,但我要求自己做到一点:不被他人讨厌。

想通了这点,不社交,一个人也活得挺舒服的。
关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1398 人在线   最高记录 5497   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 21ms · UTC 23:16 · PVG 07:16 · LAX 16:16 · JFK 19:16
Developed with CodeLauncher
♥ Do have faith in what you're doing.