- 综合排序
- 最热优先
- 最新优先
- 来自专栏全栈工程师修炼之路
安全之配置不当信息泄露
配置不当的分类: (1)WEBserver本身:之前发生的nginx等解析漏洞webserver的目录遍历等。 (2)网络协议相关:snmp弱community、dns域传送、ssh等。 ---- 0x01 配置不当的防范 (1)业务上线前进行安全基线检查 (统一安全配置基线,即最低安全红线,根据安全配置基线产生公司默认配置模板,所有预上线阶段全部默认使用配置模板,当模板满足不了需求时, 可以根据配置模板进行相应更改,但是上线之前需要通过安全基线工具)。 (3)对攻击行为进行监控,一般这样做之后会杜绝大部分的配置不当问题, 其他信息泄露问题主要是采用自检或者src白帽子提交的漏洞来发现,发现之后走修复流程不会分层做。 、配置泄露(危害服务器安全) ⑤源码泄露(代码被审计,可能被人搞0day)
73310编辑于 2022-09-28 - 来自专栏全栈工程师修炼之路
安全之配置不当信息泄露
配置不当的分类: (1)WEBserver本身:之前发生的nginx等解析漏洞webserver的目录遍历等。 (2)网络协议相关:snmp弱community、dns域传送、ssh等。 0x01 配置不当的防范 (1)业务上线前进行安全基线检查 (统一安全配置基线,即最低安全红线,根据安全配置基线产生公司默认配置模板,所有预上线阶段全部默认使用配置模板,当模板满足不了需求时,可以根据配置模板进行相应更改 (3)对攻击行为进行监控,一般这样做之后会杜绝大部分的配置不当问题, 其他信息泄露问题主要是采用自检或者src白帽子提交的漏洞来发现,发现之后走修复流程不会分层做。 On RewriteCond %{REQUEST_METHOD} ^TRACE RewriteRule .* - [F] .git /.svn 泄露源代码信息 漏洞名称:.git / .svn 配置不当导致源代码泄露 、配置泄露(危害服务器安全) ⑤源码泄露(代码被审计,可能被人搞0day)
1.7K70发布于 2020-10-23 - 来自专栏MongoDB中文社区
MongoDB 安全终极指南——避免不当配置
国家互联网中心于2019年2月通报指出,由于MongoDB用户的不当配置,导致部分MongoDB用户存在信息泄露风险。 这说明:MongoDB 本身并无安全漏洞,问题出在不当配置上。国家互联网中心于2019年2月通报指出,由于MongoDB用户的不当配置,导致部分MongoDB用户存在信息泄露风险。 这说明:MongoDB 本身并无安全漏洞,问题出在不当配置上。 ? 在过去的两年里,MongoDB Atlas为用户提供了安全默认配置,包括默认情况下启用身份验证的最新版本MongoDB Server,以及持续部署的增强安全功能。 从五年前的MongoDB 2.6版本开始,我们在所有最受欢迎的下载安装程序上都启用了默认安全设置。3.6及后续版本则进一步启用了所有生成选项的默认安全配置。
55530发布于 2019-04-22 - 来自专栏linux运维
防火墙配置问题:防火墙配置不当,存在安全漏洞
检查当前防火墙状态首先,我们需要检查当前防火墙的状态和规则,以确定是否存在明显的安全漏洞。 常见的安全漏洞及解决方案3.1 端口开放过多问题:不必要的端口开放可能会被攻击者利用。解决方案:关闭不必要的端口,只开放必要的服务端口。 配置具体的防火墙规则根据您的具体需求,配置相应的防火墙规则。 定期检查和更新防火墙规则定期检查和更新防火墙规则是非常重要的,以确保系统始终处于最佳的安全状态。5.1 定期检查建议:每周或每月检查一次防火墙规则,确保没有不必要的开放端口或允许的流量。 5.2 更新规则建议:根据系统的变化和新的安全威胁,及时更新防火墙规则。6.
73010编辑于 2025-02-06 - 来自专栏深度学习与python
Kubernetes 调查报告:配置不当可能导致安全问题
该报告显示,在参与调查的组织中存在配置问题不断恶化的总体趋势。这包括以下几类工作负载的增加:允许 root 访问的、未设置内存限制的和受镜像漏洞影响的。 去年,该报告发现,总体而言,只有不到 10% 的工作负载受到不良或不当配置的影响。今年他们发现,这种情况已经蔓延到可靠性、安全性和成本治理等更多领域。 随着 Kubernetes 使用范围的扩大,DevOps 管理新团队引入配置风险的难度增加了。 该报告调查了数百家组织的超过 15 万个工作负载。 该报告还发现,只有 10% 的受访者认为他们的团队是处理 Kubernetes 环境安全的专家。 许多人都同意,对于团队来说,理解和管理与开发活动、基础设施和工具相关的所有风险变得越来越困难。 NGINX Kubernetes Gateway,你需要知道的 5 件事(https://xie.infoq.cn/article/c72c3ac5763d523d1f13e87d4) Kubernetes 安全防护终极指南
42240编辑于 2023-03-29 - 来自专栏linux运维
硬件配置问题:硬件配置不当,影响系统性能
常见的硬件配置问题及解决方案2.1 CPU 配置不当问题:CPU 配置不当,导致系统性能不佳。解决方案:调整 CPU 配置,确保 CPU 资源合理分配。 :内存配置不当,导致系统频繁换页,影响性能。 示例:优化内存使用:sudo sysctl vm.swappiness=10 将上述设置写入 /etc/sysctl.conf 文件中:vm.swappiness=10 2.3 硬盘配置不当问题:硬盘配置不当 /dev/md0sudo mount /dev/md0 /mnt2.4 网络配置不当问题:网络配置不当,导致网络延迟高或带宽不足。 :显卡配置不当,导致图形性能不佳。
82510编辑于 2025-02-07 - 来自专栏程序员升级之路
Nginx配置不当险酿S0
查了下后端的日志,没有报错日志,响应也不慢,不过CPU还是有点高;然后分析下Nginx配置,发现Upstream配置比较可疑: upstream xxx{ server 192.1686.1.114: 上面的配置的意思是如果300s内只有后端返回错误超过1次,就将其标记为下线,即这300秒内不会将请求转发到这个节点,过300s后再重新发请求试试,如果再有1次以上报错,依然将其标为下线。 PS:为什么准点流量这么大,和客户端了解,客户端有个功能,每1个小时从服务端取下配置,在实现时客户端没有做分流处理,全部准点向服务器发送请求,瞬间崩溃。。。
65950发布于 2020-09-11 - 来自专栏linux运维
安全策略问题:安全策略设置不当,影响系统安全性
检查当前安全策略首先,我们需要检查当前系统的安全策略配置。 常见的安全策略问题及解决方案2.1 密码策略不严格问题:密码策略不严格,可能导致弱密码被使用。解决方案:启用和配置严格的密码策略。 :SELinux 或 AppArmor 配置不正确,可能导致安全漏洞。 定期检查和更新安全策略定期检查和更新安全策略是非常重要的,以确保系统始终处于最佳的安全状态。3.1 定期检查建议:每周或每月检查一次安全策略,确保没有不必要的宽松策略。 3.2 更新策略建议:根据系统的变化和新的安全威胁,及时更新安全策略。4. 使用管理工具使用图形化或命令行的管理工具,如 fail2ban 或 ossec,可以帮助您更方便地管理和维护安全策略。
56210编辑于 2025-02-06 - 来自专栏FreeBuf
crossdomain.xml文件配置不当利用手法
2011: FORTH-ICS, SAP Research, 和 UC San Diego 都发布了关于crossdomain.xml的研究报告和错误配置可能引起的安全风险。 对于crossdomain.xml配置不当的危害很多文章已经说的很清楚了。可是如何利用这个漏洞,怎样写一个exploit来证明漏洞确一直没有很好的资料。 漏洞分析: 笼统来说,如果一个站点符合下面3个条件,就会存在crossdomain.xml引起的安全风险。 1,一个站点的根节点下存在crossdomain.xml文件。 那么配置不当的crossdomain.xml也引起不了严重的危害。但是如果目标站点存在敏感信息或者具备敏感操作。那么不恰当的配置就相当于对任意站点上的恶意SWF敞开了大门。举个例子。 12,收集和分析你窃取到的数据 cat /tmp/thanks_for_sharing.txt 上面两个poc的功能都是窃取数据,在分析crossdomain.xml配置不当危害的时候,我们提到某些场景可以获取到
10.2K91发布于 2018-02-02 - 来自专栏linux运维
安全审计日志管理问题:安全审计日志管理不当,导致数据丢失
检查当前日志管理状态首先确认日志文件的状态以及管理工具的配置。 日志轮换编辑 logrotate 配置文件:sudo nano /etc/logrotate.d/audit添加以下内容:/var/log/audit/audit.log { daily 集中式日志管理部署集中式日志管理系统(如 ELK Stack、Graylog),避免本地管理不当导致的数据丢失。 ELK Stack安装并配置 ELK Stack:# 安装 Elasticsearch wget https://artifacts.elastic.co/downloads/elasticsearch 防止日志被篡改确保日志文件的安全性,防止被恶意修改或删除。
2K10编辑于 2025-02-09 - 来自专栏腾讯云安全的专栏
如何兼顾效率、成本和安全,不当“背锅侠”?
在过去20年的安全沉淀下,腾讯安全目前围绕安全治理、数据安全、应用安全、计算安全、网络安全五个层面已经搭建了完备的云原生安全防护体系,致力于将云原生的安全产品开放给腾讯云上的客户,让每一位客户都能使用腾讯级的安全产品 、数据等治理在内的全局云上安全防护;运用云原生安全运营中心,将彼此孤立的安全产品连动起来,能够对资产、安全、日志等数据,进行统一治理、审计及分析处理,大幅提升安全运营的精度并降低运维的成本,并同步解决配置适配和自动化问题 应用安全 通过将Web防护功和云基本安全能力的结合,构建了更加主动且更贴合云上应用安全需求的云WAF安全防护体系。 具体表现为以下几大显著优势: 开箱即用 实现了云上安全产品的模块化、敏捷化和便捷化。大幅降低云上租户安全产品配置成本,并实现更好的兼容性和灵活性。 最终成功截获各类攻击超百万次,确保广交会0安全风险,0安全事故。 产业上云,安全先行! 腾讯安全为您筑牢数字化转型的安全底座! ?【阅读原文】,即刻装备云上安全武器
1.3K30发布于 2021-01-19 - 来自专栏MongoDB中文社区
说说MongoDB安全机制 | 人为设置不当,还是数据库不安全?
MongoDB作为NoSQL数据库的领导者,不仅在数据一致性,性能和扩展性方面提供丰富的功能特性,也在安全性方面提供多种灵活的配置以确保用户数据安全。 然而在实际应用中,由于MongoDB用户的不当配置,致使数据泄露的情况时有发生。国家互联网中心于2019年2月也指出,由于MongoDB用户的不当配置,导致部分MongoDB用户存在信息泄露风险。 那么,我们应如何正确的配置MongoDB,以确保企业数据安全呢? ,数据传输中加密,数据静态加密,启用网络防护与数据库审计等方面实施有针对性的正确配置,避免人为设置不当,为企业数据安全保驾护航。 从五年前的MongoDB2.6版本开始,我们在所有最受欢迎的下载安装程序上都启用了默认安全设置。3.6及后续版本则进一步启用了所有生成选项的默认安全配置。
1.6K30发布于 2021-04-22 - 来自专栏运维研习社
Nginx加密套件配置不当,造成SSL无法建立连接
之前文章写了用zabbix自动发现功能,自动监控服务器上所有域名的SSL证书到期时间,文章分别是简单脚本监控SSL证书到期时间和配置zabbix自动发现实现自动监控服务器所有域名SSL证书到期时间,有兴趣的可以看下 又问小伙伴要了nginx配置的加密套件 ? 另外说一下nginx中加密套件的配置,nginx中的加密套件是通过ssl_ciphers指令指定的,加密套件格式通常就是以‘:’分隔,然后写在一行,一条加密套件包含哪些内容呢? 中禁用了,更多的关于ciphers的信息可以查看openssl官方文档https://www.openssl.org/docs/man1.0.2/man1/ciphers.html 总结,在nginx配置中 ,如果是普通服务,尽量不要配置特别严格的加密套件,避免出现加密套件不匹配,不兼容低版本的客户端
3.9K10发布于 2020-06-27 - 来自专栏运维研习社
Nginx配置加密套件不当,导致无法建立连接分析
之前文章写了用zabbix自动发现功能,自动监控服务器上所有域名的SSL证书到期时间,文章分别是简单脚本监控SSL证书到期时间和配置zabbix自动发现实现自动监控服务器所有域名SSL证书到期时间,有兴趣的可以看下 关于ssl握手的话,之前也写过一篇文章Wireshark抓包帮你理清https请求流程,如果有兴趣,可以看看 这里分析客户端的这个client hello的包,查看加密套件 又问小伙伴要了nginx配置的加密套件 可以看到,和客户端的加密套件不匹配,所以这就是为什么握手不成功的原因,可以看到,小伙伴的加密套件设置的太严格了,所以我让他重新配置了加密套件,果然没有问题,可以正常建立连接 这里除了抓包,还可以通过 中禁用了,更多的关于ciphers的信息可以查看openssl官方文档https://www.openssl.org/docs/man1.0.2/man1/ciphers.html 总结,在nginx配置中 ,如果是普通服务,尽量不要配置特别严格的加密套件,避免出现加密套件不匹配,不兼容低版本的客户端
4.8K10发布于 2020-06-18 - 来自专栏linux运维
SSH 密钥管理问题:SSH 密钥管理不当,导致安全风险
配置公钥认证将公钥添加到目标主机的 ~/.ssh/authorized_keys 文件中,启用公钥认证。 禁用密码认证为了提高安全性,建议禁用密码认证,仅使用公钥认证。 编辑 SSH 配置文件:编辑 /etc/ssh/sshd_config 文件,禁用密码认证:PasswordAuthentication no ChallengeResponseAuthentication 定期轮换 SSH 密钥定期轮换 SSH 密钥可以减少长期使用同一密钥带来的安全风险。生成新的密钥对:按照上述步骤生成新的 SSH 密钥对。
2.9K10编辑于 2025-02-06 - 来自专栏linux运维
安全审计工具选择问题:安全审计工具选择不当,无法满足需求
明确安全审计需求在选择工具之前,需要明确以下需求:目标:例如漏洞扫描、配置审计、日志分析、合规性检查。范围:涉及的系统(如服务器、网络设备、应用程序)。 推荐常用安全审计工具根据不同的需求,选择合适的工具:(1)漏洞扫描工具OpenVAS开源漏洞扫描工具,支持全面的漏洞检测和风险评估。 下载地址:Tenable Nessus(2)配置审计工具Lynis开源工具,专注于系统配置审计和加固建议。 使用 Lynis 审计系统配置。使用 ELK Stack 分析日志。5. 测试工具效果在生产环境部署前,先在测试环境中验证工具的效果。 定期更新工具与规则安全审计工具需要定期更新以应对新的威胁。
47310编辑于 2025-02-09 - 来自专栏卓文见识
CORS配置不当—挖掘技巧及实战案例全汇总
通常系统通过配置HTTP响应头来允许发出跨域请求,如下Example1发送一个Origin头,Example2以一个Access Control Allow Origin头响应,然后Example1便可以对 Example2的数据进行操作: 2、漏洞原理 CORS配置不当通常会导致的危害是用户敏感信息泄露,场景大多数是get请求方式返回的json形式的敏感信息(密钥、token,key等)。 CORS配置不当属于响应头中的一种,其他还有X-Frame-Options、Content-Security-Policy等。 semrush的一个api端点,插入Origin头为攻击者服务器: 返回信息主体是用户敏感信息,需注意的是返回的Access-Control-Allow-Origin是攻击者服务器,这意味着系统存在CORS配置错误
7.6K55发布于 2019-09-29 - 来自专栏linux运维
安全审计权限问题:安全审计日志文件权限设置不当,导致无法读取
检查 SELinux/AppArmor 配置如果系统启用了 SELinux 或 AppArmor,可能需要调整策略。 log/audit/audit.log 如果上下文不正确,可以修改:sudo chcon -t auditd_log_t /var/log/audit/audit.log AppArmor检查是否有相关配置限制访问 定期审查权限定期检查日志文件的权限,确保其符合安全要求。# 定期检查脚本#!
83810编辑于 2025-02-09 - 来自专栏linux运维
用户认证问题:用户认证机制设置不当,导致安全风险
检查当前用户认证配置首先,我们需要检查当前系统的用户认证配置。命令:sudo cat /etc/pam.d/common-authsudo cat /etc/shadow2. 解决方案:启用和配置密码复杂度策略。 解决方案:启用并配置账户锁定策略。 定期检查和更新认证策略定期检查和更新用户认证策略是非常重要的,以确保系统始终处于最佳的安全状态。3.1 定期检查建议:每周或每月检查一次用户认证配置,确保没有不必要的宽松策略。 3.2 更新策略建议:根据系统的变化和新的安全威胁,及时更新用户认证策略。4.
50510编辑于 2025-02-06 - 来自专栏安恒信息
漏洞报告 | ThinkPHP配置不当可导致远程代码执行
ThinkPHP配置不当可导致远程代码执行 漏洞分析报告 1. 在这时,如果采用数据缓存的方式,就会产生安全隐患。 ? 这里的逻辑是如果能查到缓存,则直接读取缓存数据,否则从数据库里查出数据,并调用S函数进行缓存。S函数的实现: ? $name) 而DATA_CACHE_KEY在配置文件中默认为空: ? 于是当访问http://127.0.0.1/thinkphp323/home/news/detail? 因此主要还是要依靠用户进行安全的配置,为了避免该漏洞产生,安恒应急响应中心建议: 1. 修改HTTP服务配置,将Wen路径修改到ThinkPHP的./public目录。 2.
3.2K120发布于 2018-04-10
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号