目录 一.简介 二.加固方案 一.简介 Redis 因配置不当存在未授权访问漏洞,可以被攻击者恶意利用. 在特定条件下,如果Redis以root身份运行,黑客可以给root账号写入SSH公钥文件,直接通过 SSH 登录受害服务器,从而获取服务器权限和数据.一旦入侵成功,攻击者可直接添加账号用于 SSH 远程登录控制服务器,给用户的Redis运行环境以及Linux主机带来安全风险,如删除.泄露或加密重要数据,引发勒索事件等. 在 Redis 客户端,测试Redis是否设置密码: [root@lin…

1.漏洞危害 开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,登录的用户可以通过默认端口无需密码对数据库任意操作(增删改高危动作)而且可以远程访问数据库. 2.漏洞成因 在刚安装完毕的时候MongoDB都默认有一个admin数据库,此时admin数据库是空的,没有记录权限相关的信息!当admin.system.users一个用户都没有时,即使mongod启动时添加了-auth参数,如果没有在admin数据库中添加用户,此时不进行任何认证还是可以做任何操作(不管是否是以-auth…

通过修改CentOS 6.5 的系统默认设置,对系统进行安全加固,进行系统的性能优化. 环境: 系统硬件:vmware vsphere (CPU:2*4核,内存2G) 系统版本:Centos-6.5-x86_64(最小化安装) 步骤: 1.关闭SELinux [root@centos ~]# vim /etc/selinux/config 打开文件,修改并保存 SELINUX=disabled    #禁止 如果需要生效,需要设置为Enforcing SELINUX=Enforcing  #生效…

之前写了一篇文章主要是介绍使用gradle进行多渠道分发处理的文章--链接:http://www.cnblogs.com/happen-/p/6029387.html 最近在做app上线的处理,发现某些市场需要app加固才能上线,在对比之后发现腾讯的还不错[至于为什么要加固可以自行谷歌],在加固过程中发现工具非常好用,只需要配置一下信息即可自动加固.多渠道分发.自动签名 地址是:https://pan.baidu.com/s/1c2418oo 下载完成之后直接解压,双击exe打开执行,然后在页面…

为什么要加固APP? 答:因为黑客通过反编译APK得到源码后,会在应用中插入代码,获取利益,比如添加广告,盗取用户账号.密码,后台定制活动等.   反编译的方法? 反编译是指apk文件通过反编译工具(例如ApkTool,BakSmali,dex2jar等)对其进行反编译,   反编译后会失去原版APP的什么属性? 在反编译时会失去原本的程序签名 在反编译后,如果修改代码,会破坏代码的完整性.     一.破解者如何盗取移动支付用户账号密码--防劫持和校验技术 1.界面劫持:在登陆界面上布置一层透…

一.前言 今天总算迎来了破解系列的最后一篇文章了,之前的两篇文章分别为: 第一篇:如何使用Eclipse动态调试smali源码 第二篇:如何使用IDA动态调试SO文件 现在要说的就是最后一篇了,如何应对Android中一些加固apk安全防护,在之前的两篇破解文章中,我们可以看到一个是针对于Java层的破解,一个是针对于native层的破解,还没有涉及到apk的加固,那么今天就要来介绍一下如何应对现在市场中一些加固的apk的破解之道,现在市场中加固apk的方式一般就是两种:一种是对源apk整体做一…

[51CTO专稿]Discuz! 论坛以其功能完善.效率高效.负载能力,深受被大多数的网站喜爱和青睐.无独有隅,笔者所维护的论坛就是用discuz! 来构建的,从接手时候的7.2到现在x2.0,经历了数次的二次开发和发布,感触颇多. 言归正传,本篇主要从nginx 安全加固.discuz 文件目录.mysql 用户权限等方面来阐述discuz论坛安全加固,希望给大家一点灵感. 1.Nginx安全加固 作为web的前端,在上面加强安全防护,效率比php要高多了.针对discuz! X2.0论坛ng…

一. 前言 随着移动互联网的兴起,移动游戏市场近几年突然爆发,收入规模快速增长.根据第三方数据统计,国内移动游戏2015年市场规模已达514.6亿.由于手游市场强势兴起,而且后续增长势头会愈加猛烈.火热的市场后面隐藏的问题也越来越多,其中手游外挂就是一个例子.目前移动游戏市场上,有多方需求在催促外挂的发展,大量屌丝玩家,想花少量的钱得到更大快感:竞品公司或者恶意玩家,想恶意破坏游戏正常活动运营.这类外挂会影响到游戏开发商的收益及众多正常游戏玩家的体验,因此必然需要一种反外挂的手段,来保证游戏开发…

最近我们立方技术工作室在使用阿里云的过程中,发现服务器安全性也不是很高,而服务端的安全软件都很贵.为了为朋友们提供更加有效的解决方案,我们决定身体力行,高筑墙,大幅度提升服务器的安全防护级别! 主机安全 启用防火墙 阿里云windows Server 2008 R2默认居然没有启用防火墙.2012可能也是这样的,不过这个一定要检查! 补丁更新 启用windows更新服务,设置为自动更新状态,以便及时打补丁. 阿里云windows Server 2008 R2默认为自动更新状态,2012可能也是这…

[版权所有,转载请注明出处.出处:http://www.cnblogs.com/joey-hua/p/5138585.html] 因公司项目需要对app加固,经过本人数月的研究,实现了一套完整的仿第三方加固如爱加密等的加固方案(第三方加固价钱不菲,一整套针对金融app方案10~20万/年),从对原项目java源码dex文件加密在新项目中jni层解密之并替换当前进程到jni的反调试和linux对其加壳等一系列完整的方案及代码实现.在这准备做成一套教程供大家参考和互相学习指出不足之处. 因对纯jav…