为什么要开放外网访问Elasticsearch:1.一些插件监听使用,方便及时了解线上数据的情况,比如说head插件等2.为了HTTP直接访问,有的同学考虑到通过后台TCP查询,然后返回数据,还不如直接以Elasticsearch作为服务直接http查询提升效率3.还有一些同学是因为Elasticsearch与被访问的工程不在一个局域网内 开放风险:Elasticsearch被删库,有的甚至被加密后敲诈比特币 解决方案: 防火墙限制ip访问端口 采用Nginx http-basic,用域名的方式…

安全篇:弱密码python检测工具 https://github.com/penoxcn/PyWeakPwdAudit…

6-STM32物联网开发WIFI(ESP8266)+GPRS(Air202)系统方案安全篇(Wi-Fi模块SSL连接MQTT) 由于GPRS是直接和GPRS基站进行连接,其实对于GPRS而言,即使不加SSL也挺安全,对于咱一般人而言是监控不到GPRS的数据的 为了保证更安全点,所以咱就加上SSL 这节的测试代码是使用的升级篇里面的这个代码 先看最简单的方式实现SSL 无需添加证书,直接设置已安全模式连接具有安全通信的8883端口 请根据自己的修改 然后把源码下载开发板即可,我也测试不了数据哈..…

5-STM32物联网开发WIFI(ESP8266)+GPRS(Air202)系统方案安全篇(配置MQTT的SSL证书,验证安全通信) 首先确定自己的固件打开了SSL,升级篇里面的固件我打开了SSL,如果自己下载的是这个固件SSL就打开了 如果自己的固件没有打开SSL,可以自己编译 编译参考 6-STM32物联网开发WIFI+GPRS基础篇(编译lua固件NodeMcu 8266) 其实使用起来很方便,毕竟是单向认证,其实严格上来讲需要把证书下载到Wi-Fi模块里面,我没有下载过..... 因为我…

一.问题 在使用Docker运行容器化应用时,宿主机通常先要从Registry服务(如Docker Hub)下载相应的镜像(image).这种镜像机制在开发环境中使用还是很有效的,团队成员之间可以很方便地共享同样的镜像. 然而在实际的生产环境中,当大量主机需要同时从Registry下载镜像运行容器应用时(比如发布新版本,打补丁等情形),Registry 服务往往会成为镜像分发的瓶颈,应用镜像需要较长时间才能传送到所有主机上,使得应用发布的周期大大延长. 对此,许多企业提出了P2P加速镜像下载的解…

一.开篇 首先写在前面,这篇文章源于个人的研究和探索,由于.NET有自己的反射机制,可以清楚的将源码反射出来,这样你的软件就很容易被破解,当然这篇文章不会说怎么样保护你的软件不被破解,相反是借用一个软件来讲述是怎么被攻破的,也会有人说这是一篇破文,我其实这篇文章已经写了很长时间了,不知道以什么形式发出来,因为毕竟是有些破解类的东西.但是我觉得从这篇文章相反的是能够带来一些启发.大家应该都知道Reflector这个反编译软件还有一个插件是专门用来改IL的插件叫Reflexil,这里我们也要用到前面…

知识点: 掌握TCP/IP的体系分层结构 掌握TCP/IP的各一层功能特点 掌握TCP/IP的数据在各层的名称 掌握TCP/IP的体系数据的封装和解封装 1.TCP/IP协议的历史 TCP/IP的起源可以追溯到由美国国防部(DoD)高级研究计划局(DARPA)在二十世纪六十年代后期和七十年代早期进行的研究. 下面摘要列出了TCP/IP发展史上的一些重大事件: 1970年,ARPANET主机开始使用网络控制协议(NCP),这就是后来的传输控制协议(TCP)的雏形. 1972年,Telnet协议推出…

一.app与服务端交互确保来源的安全 作为一个移动互联网App,天生是需要和服务器通信的.那么,服务器如何识别客户端的身份?我们如何保证数据传输过程中的安全性?要靠两个东西:使用AppKey做身份识别,使用AppSecret校验数据. 这两个东西的定义可以参考淘宝开放平台上这种比较严肃的说法:AppKey客户端调用API时的唯一标识,服务器通过App Key来鉴别应用的身份.调用API接口时必须传入的参数.App SecretApp Secret是服务端给客户端分配的密钥,用来保证应用来源的可靠…

笔者Q:972581034 交流群:605799367.有任何疑问可与笔者或加群交流 1.限制用户su 限制能su到root的用户. 操作步骤 使用命令 vi /etc/pam.d/su修改配置文件,在配置文件中添加行.例如,只允许test组用户su到root,则添加 auth required pam_wheel.so group=test. 2.添加口令策略 加强口令的复杂度等,降低被猜解的可能性. 操作步骤 使用命令 vi /etc/login.defs 修改配置文件. PASS_MAX_…

1.权限管理 从模块.表单.数据审核.功能按钮全面数据安全验证及管理. 2.ip验证 数据接口访问进行IP校验 3.登录.操作日志.程序安全日志  系统所有用户登录.操作全部日志记录. 程序安全日志操作可查看我之前写过[LogHelper 日志记录帮助类]. 4.SQL注入校验过滤 a.表单控件js前端校验,特殊字符过滤 b.采用Global.asax的Application_BeginRequest事件过滤敏感字符. c.request请求过滤 特殊字符过滤可查看我之前写过[采用Global.…

1.常见的恶意行为:爬虫行为和恶意抓取.资源盗用 解决方案: 基础防盗链功能:不让恶意用户能轻易爬去网站对外数据 secure_link_module模块:对数据安全性提高,加密验证和失效性,适合核心重要数据 access_module模块:对后台.部分用户服务的数据提供IP防控 2.常见的应用层攻击手段 1.后台密码撞库:通过猜测密码字典不断对后台系统登录性尝试,获取后台登录密码 解决方案: 1.加强后台登录密码的复杂度 2.access_module模块:对后台提供IP防控 3.预警机制,如…

在网上找了一篇关于sql注入的解释文章,还有很多技术,走马观花吧 文章来源:http://www.2cto.com/article/201310/250877.html ps:直接copy,格式有点问题~ 大家早上好!今天由我给大家带来<web安全之SQL注入篇>系列晨讲,首先对课程进行简单介绍,SQL注入篇一共分为三讲:       第一讲:“纸上谈兵:我们需要在本地架设注入环境,构造注入语句,了解注入原理.”:       第二讲:“实战演练:我们要在互联网上随机对网站进行友情检测,活学活…

---------------持续更新中------------------- hadoop集群安全架构 如下图所示: --------------------------未完待续-------------------------------------…

织梦各个目录安全详解   做织梦(dedecms)网站安全必看1.a  因为是静态目录,并且在要生成HTML的,所以拒绝脚本执行  允许写入2.data   因为是缓存等,所以充许写入,但是因为这里面的文件引入到其它地方进行使用,所以要拒绝脚本执行3.dede  后台管理目录,并且这个一般情况下不需要修改,所以允许脚本执行,拒绝写入4.images   仅是存系统图片, 所以拒绝脚本执行,拒绝写入5.include  虽然这个目录有系统库,一般情况下也是引入到其它地方使用,但是也有一些文件需要执…

https://www.cnblogs.com/yangfengwu/p/10947423.html 和当时配置MQTT差不多,去下载证书文件   https://www.cnblogs.com/yangfengwu/p/10766051.html server.crt server.key server-ca.crt 另外检查下 随意访问刚才配置的https目录的文件哈…

一.CSRF攻击 CSRF攻击概述: CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一.其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御.然而,对于大多数人来说,CSRF 却依然是一个陌生的概念.即便是大名鼎鼎的 Gmail, 在 2007 年底也存在着 CSRF 漏洞,从而被黑客攻击而使 Gmail 的用户造成巨大的损失.…

在服务器与终端设备进行HTTP通讯时,常常会被网络抓包.反编译(Android APK反编译工具)等技术得到HTTP通讯接口地址和参数.为了确保信息的安全,我们采用AES+RSA组合的方式进行接口参数加密和解密. 1.关于RSA加密机制:公钥用于对数据进行加密,私钥对数据进行解密,两者不可逆.公钥和私钥是同时生成的,一一对应.比如:A拥有公钥,B拥有公钥和私钥.A将数据通过公钥进行加密后,发送密文给B,B可以通过私钥和公钥进行解密. 2.AES加密也叫对称加密:A用密码对数据进行AES加密后,B…

物联网的核心是连接万物,通过交换并分析数据使得生活更舒适与便捷.不过,敏感数据泄露或者设备被非法控制可不是闹着玩的.比如前段时间国内某著名家电企业的智能洗衣机,使用了某著名电商基于XMPP协议的物联网平台,不费吹灰之力便被黑客攻破并远程遥控,给智能家居的发展带来了一些阴影.究其本质,并不是物联网技术本身有缺陷,而是在物联网系统的设计中最基本的安全设计被工程师轻视了,才导致整个系统的崩塌. 在这里我们将介绍为何以及如何运用MQTT提供的安全特性来保证物联网项目的顺利实施. 安全对于几乎所有的项目都…

APP.前后端分离项目都采用API接口形式与服务器进行数据通信,传输的数据被偷窥.被抓包.被伪造时有发生,那么如何设计一套比较安全的API接口方案呢? 一般的解决方案如下: 1.Token授权认证,防止未授权用户获取数据: 2.时间戳超时机制: 3.URL签名,防止请求参数被篡改: 4.防重放,防止接口被第二次请求,防采集: 5.采用HTTPS通信协议,防止数据明文传输: 一.Token授权认证 HTTP协议是无状态的,一次请求结束,连接断开,下次服务器再收到请求,它就不知道这个请求是哪个用户发…

一.FTP简介 FTP基于TCP协议.而且FTP服务器使用了命令通道和数据流通道两个连接.两个连接都会分别进行三次握手.在命令通道中客户端会随机取一个大于1024的端口与FTP服务器的21端口建立连接.连接成功之后,需要数据传输的时候,FTP服务端会主动用20端口与客户端连接.即命令通道===>port21,数据传输通道===>port20. 二.FTP 二.将用户分为三个身份 匿名用户(ftp,anonymous) 本地用户 虚拟用户 1匿名用户 (1).概述 可以理解为该账号是共享的,并不…

1.防火墙设置文件 任何以xinetd管理的服务都可以通过 /etc/hosts.allow /etc/hosts.deny 这两个文件来设置防火墙(针对源IP或域进行允许或操作的设置). 其实/etc/hosts.allow,/etc/hosts.deny两文件也是/usr/sbin/tcpd的配置文件,这个tcpd文件是用来分析进入系统的TCP网络数据包的一个软件.TCP数据包的头文件主要记录了来源和目的的IP和port(端口),所以利用TCP数据包搭配这两个文件的比较可以决定该连接是否能够…

一.概述 因为iptables软件利用的是数据包的过滤的机制.所以它会分析数据包的报头数据.根据报头数据与定义的规则来决定该数据是否可以放行.若数据包内容与规则内容相同则放行,否则继续与下一条规则进行比较.我们可以发现这些规则是有顺序的.如果数据符合第一条规则,则不再理会后续的规则了.因此,规则的排列顺讯是非常重要的. 如果该数据与所有规则都不符合,则会通过默认操作,即数据包策略Policy. 二.iptables的整体框架 从名字我们就可以得知,iptables是一个管理多个表格的软件.而每个…

一.概念 防火墙分为软件防火墙和硬件防火墙.我们的主要讨论范围为软件防火墙. 软件防火墙又分为网络型和单一型的管理. 1.单一主机型防火墙 (1)数据包过滤型的Netfilter (2)依据服务软件程序作为分析的TCP Wrappers 2.区域型防火墙 (1)数据包过滤的Netfilter (2)利用代理服务器(Proxy Server)进行访问代理 二.Netfilter 分析进入主机的网络数据包,将数据包的头部数据提取出来进行分析.过滤数据可以是MAC,IP,TCP,UDP,ICMP(主要…

官网教程: https://opsx.alibaba.com/mirror 1.下载配置文件到 /etc/yum.repos.d 目录 wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo 注意:具体文件需要根据你的centos版本来确定. 2. yum makecache 3.至于其他源的配置,也是这样操作的,具体的Linux源网站有如下: http://centos.ust…

1.创建挂载目录 mkdir /mnt/cdrom 2.挂载软件源cdrom mount /dev/cdrom /mnt/cdrom/ 3.建立本地yum源资源文件夹 mkdir /usr/local_source 4.为了避免光盘丢失,Yum源不可用的情况,我们这里建立把整个光盘内容复制到上面创建的资源文件夹 注:这里需要注意的是,可以直接使用挂载的cdrom作为本地yum源,但是一旦光盘取消挂载或者光盘源消失,这个yum源就不可以再次使用. cp /mnt/cdrom/* /usr/loca…

SELinux的策略与规则管理set 1.安装SELInux工具 yum install setools-console 2.基本的命令 seinfo [-Atrub] -A ===> 列出SELinux的状态 -t ===> 列出SELinux的所有类型 -r ===> 列出SELinux的所有的角色 -u ===> 列出SELinux的所有的身份标识种类 -b ===> 列出所有规则的种类 sesearch [-a] [-s 主体类型] [-t 目标类型] [-b 布尔值…

SELinux防火墙配套的服务 一.auditd 1.基本功能 将详细信息写入到 /var/log/audit/audit.log文件 2.设置开机自动启动 chkconfig --list auditd 我们需要注意的是,只有3和5处于off状态时才需要设置,若不是,则auditd已经是开机自启动了. 3.信息查询 (1)通过日志文件/var/log/audit/audit.log查询 (2)通过 audit2why 命令查询 audit2why < /var/log/audit/audit.…

一.简单的网页制作 1.启动httpd服务 /etc/init.d/httpd start 2.编写首页网页文件 echo "hello,this is my first webPage" > /var/www/html/index.html 3.查看这个文件的权限与SELinux的安全上下文数据 ll -Z /var/www/html/index.html -Z参数查看文件.文件夹上下文 4.常见错误 (1) echo ""......> /data/…

SELinux 即安全强化的Linux. 一.基本概念 SELinux是通过MAC(强制访问控制,,可以针对特定的进程与特定的文件资源来进行访问权限的控制!也就是说即使你是root,在使用不同的进程时,获得的权限不一定是root)的方式来管理进程,目标是控制该进程对文件资源的读写权限. 1.策略 由于进程和文件数量非常庞大,所以SELinux会依据某些服务来指定基本的访问安全性策略.它通过详细的规则来指定服务开放与否. 策略分为以下两种: 1.targeted:针对网络服务限制较多,针对本机较少…

以前我们浏览网页使用的都是HTTP协议,HTTP使用明文传输,所以传输过程中很容易遭受黑客窃取.篡改数据,很不安全.在WordPress网站上启用HTTPS协议访问后,能大大提升站点的安全性,启用HTTPS协议的网站也更容易被搜索引擎收录,提升网站的访问量. HTTPS是什么? HTTPS(全称:Hyper Text Transfer Protocol over SecureSocket Layer)是安全的超文本传输协议,通过安装SSL证书,用户与服务器之间传输的数据是经过加密的,部署SSL证…