版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
关于运维安全的攻与防第1页,讲稿共26页,2023年5月2日,星期三KNOWIT第2页,讲稿共26页,2023年5月2日,星期三开源带来的风险-php官方代码被改了开源代码被篡改(php/chef/ssh/vsftpd….)某些开发人员的安全编码规范不行架构设计范围太广,安全可控性差,成本高第3页,讲稿共26页,2023年5月2日,星期三信息的泄漏-58火了一个dns区域传送泄漏所有子域名一个mongodbagent端口对外,非授权访问情况下,直接getshell一个svn信息泄漏,导致源代码被拖,挖洞,入侵官方,进行内网渗透。甚至导致svn服务器被黑,篡改代码,所有相关同步服务器沦为肉鸡。一个管理网后台泄漏,导致58被脱裤。。。一个zabbix后台泄漏,导致所有服务器沦为肉鸡一个备份文件泄漏,导致源代码Rsync信息泄漏Hadoop集群地址,将会导致。。。第4页,讲稿共26页,2023年5月2日,星期三权限问题应用服务用户权限过高存储敏感信息任意用户可读执行脚本代码可注入第5页,讲稿共26页,2023年5月2日,星期三密码问题-优酷/奇艺挂了默认密码弱口令第三方导致的密码泄漏一个密码走天下案例:从一个默认口令到youku和tudou内网http:///bugs/wooyun-2010-019917第6页,讲稿共26页,2023年5月2日,星期三自动化带来的问题-这个很暴力通常我们搭建一个服务器通过http来下载一些安装包.恩,很方便如果包被篡改怎么办?缺乏监控,校验和审计流程,风险大,可控性差开发人员安全编码不够规范例如:opscode的chef一个普通的客户端用户可以通过api访问到其他的用户了客户端信息,以及一些帐号密码,包括曾经存在的其他越权漏洞,可以导致从一个客户端之间入侵到其他客户端甚至服务器端,最终导致所有网络瘫痪。第7页,讲稿共26页,2023年5月2日,星期三默认/错误配置的风险-TreasureData被黑Jboss直接通过jmx-console部分上传webshellMongodb任意ip访问,默认无授权,存在远程溢出漏洞Memcache任意ip访问读取数据,无任何验证Nginx网上错误的nginxphp解析配置Hive的tranform函数导致任意代码/命令执行Apache错误的目录不解析php配置第8页,讲稿共26页,2023年5月2日,星期三流量攻击-低成本,高损失Ddos攻击Cc攻击其他各种网络攻击第9页,讲稿共26页,2023年5月2日,星期三0day-0day在手,长枪我有GOOGLE等三十多个高科技公司的极光攻击美国能源部的夜龙攻击针对RSA窃取SECURID令牌种子的攻击针对伊朗核电站的震网攻击据统计2011年NASA被成功入侵13次一个贴近我们的实例,nginx解析漏洞。。。第10页,讲稿共26页,2023年5月2日,星期三误操作带来的纠纷某天我们某服务器的防火墙发现被人关了然后大家都是说:我没动,是不是你们那边谁弄得啊。。。闹鬼?什么时候?哪里来的?谁干的?还干了什么?第11页,讲稿共26页,2023年5月2日,星期三HACKIT第12页,讲稿共26页,2023年5月2日,星期三访问控制
内部/办公网和平台网络的隔离平台网站后台/zabbix后台限制ssh/memcache等端口访问控制开发运维人员测试机网络要和线上运营服务器隔离统一采用密钥验证进一步的审计和规范还没做。。第13页,讲稿共26页,2023年5月2日,星期三运维操作审计系统
实时地、完整地记录基于SSH协议访问的用户操作,并提供方便灵活的操作回放或查询检索的手段和操作进行过程的抓取,从而可以录像方式对所有运维人员的所有操作进行记录,并具备强大的搜索功能,可对特定时段、特定事件、特定用户等逻辑要素进行搜索与提取——从而达到真正意义上的审计与风险控制。第14页,讲稿共26页,2023年5月2日,星期三Ngx_lua_wafWaf的功能过滤常见的web攻击过滤常见的敏感文件泄漏屏蔽常见的扫描黑客工具屏蔽异常的网络请求屏蔽图片附件类目录php执行权限防护cc攻击帮助发现,记录分析黑客攻击行为了解平台被攻击情况一起来看下我们的waf代码新waf的代码和畅想第15页,讲稿共26页,2023年5月2日,星期三Webshell监控
Webshell监控:自研发对网站文件操作进行实时监控,并对恶意文件进行本地记录。然后报警(邮箱,RTX),并且入库检测报警上报到运维安全中心。第16页,讲稿共26页,2023年5月2日,星期三漏洞检测系统SQLInjectionXSSCSRFJSONHijackingOSInjectionEtc..high-riskportlowversionremoteoverflowunsecuconfigweakpwdEtc..第17页,讲稿共26页,2023年5月2日,星期三主机安全agent第18页,讲稿共26页,2023年5月2日,星期三端口扫描/弱口令检查基于nmap+medusa定期对平台的危险端口和弱口令自动进行检测,以邮件方式发送给相关负责人第19页,讲稿共26页,2023年5月2日,星期三日志分析基于大数据对日志进行分析,得出常规分析,安全分析,漏洞扫描,webshell检查第20页,讲稿共26页,2023年5月2日,星期三安全运营中心第21页,讲稿共26页,2023年5月2日,星期三渗透性测试在保障业务不受影响的情况下,从攻击者的角度出发对公司平台进行安全测试,渗透性测试的基本方法包括:黑白盒。第22页,讲稿共26页,2023年5月2日,星期三应急响应第23页,讲稿共26页,2023年5月2日,星期三云安全-Securityasaser
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026校级干部面试题及答案
- 2026岩茶公司面试题及答案
- 2026英文模特面试题及答案
- 2026战略部总监面试题及答案
- 礼仪教育:学会做文明小学生主题班会课件
- 售后服务维修零件更换通知函5篇范本
- 2026公关专业面试题目及答案
- 劳动光荣美德小学主题班会课件
- 弘扬爱国主义精神厚植爱国情怀的小学主题班会课件
- 乐观向上坚韧不拔小学主题班会课件
- 2026年广西壮族自治区桂林市中考物理试题(附答案)
- 河北三支一扶历年真题及答案
- 河南省许昌平顶山2026届高一数学第二学期期末质量检测试题含解析
- 无菌观念课件
- 2025-2030中国活化磁珠市场现状动态与未来发展趋势研究研究报告
- 2025四川省盐业集团有限责任公司招聘9人笔试重点试题及答案解析
- 2026-2031中国变压器市场深度调查与未来发展趋势报告
- 气瓶维修回收合同范本
- 协会资产管理制度模板
- 人事行政部半年度工作总结
- 海洋测绘员作业指导书
评论
0/150
提交评论