发表于   |   分类于 个人笔记 , 网络安全   |   暂无评论   |  字数 141

前言

Spring Boot Actuator未授权访问的漏洞中,有的时候碰到/env接口,spring actuator 会将一些带有敏感关键词 (如 password、secret) 的属性名对应的属性值用号替换,示例如下:

"applicationConfig: [classpath:/application-dev.yml]":{
        "spring.redis.host":"192.168.1.1",
        "spring.redis.port":6379,
        "spring.redis.database":0,
        "spring.redis.password":"******",
        "spring.redis.timeout":0,
        "spring.redis.pool.max-active":10,
        "spring.redis.pool.max-wait":-1,
        "spring.redis.pool.max-idle":8,
        "spring.redis.pool.min-idle":0

在不出网的环境下可以通过尝试访问ip/heapdumpip/actuator/heapdump下载jvm heap内存信息获取明文。

使用MAT查找

使用 Eclipse Memory Analyzer 直接打开下载的 heapdump 文件,点击 OQL 标签,

阅读全文 »

发表于   |   分类于 网络安全 , 日常运维   |   暂无评论   |  字数 290

漏洞说明

Windows server 2008或2012远程桌面服务SSL加密默认是开启的,且有默认的CA证书。由于SSL/ TLS自身存在漏洞缺陷,当开启远程桌面服务,使用漏洞扫描工具扫描,发现存在SSL/TSL漏洞。TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。

  • CVE编号:CVE-2016-2183
  • CNNVD编号:CNNVD-201608-448
  • CNVD编号:CNVD-2016-06765

解决办法

请在下列网页下载最新版本:https://www.openssl.org/source/

以Windows为例

  • 打开服务器,运行gpedit.msc,打开“本地组策略编辑器”,定位到计算机配置-管理模板-网络-SSL配置设置
    CVE-2016-21831.jpg




阅读全文 »

发表于   |   分类于 项目案例   |   暂无评论   |  字数 3645

1. 场景说明

客户网络中存在单独的数据中心区域,用于与其他部门或者单位内部以及互联网用户进行信息交互,满足用户单位组织管理、安全生产、调度指挥等需要建设的专用数据网络,为内外部提供业务访问,需要在数据中心边界购买网络安全设备对信息访问加以管控,并保障日常业务的连续可用性。

AFnei1.jpg

2. 业务梳理

首先,我们需要针对使用AF进行防护的业务情况以及需求进行全面梳理,了解当前业务状况和数据,为后续AF配置防护策略提供依据。

梳理项说明
业务的主要用户群体(例如,访问用户的主要来源地区)判断非法攻击来源,后续可使用地域访问控制功能屏蔽非法来源地区
业务是否为C/S架构如果是C/S架构,进一步明确是否有App客户端、Windows客户端、Linux客户端、代码回调或其他环境的客户端
业务是否为B/S架构如果是B/S架构,进一步明确是否有使用HTTPS访问,是否是单向认证,如是单向认证需要开启解密功能才能进行识别防护
业务是否存在长连接如果存在长连接,需要在AF应用控制策略中配置长连接
业务端口判断业务端口是否在AF支持的端口范围内
业务交互过程了解业务交互过程、业务处理逻辑,便于后续配置针对性防护策略
业务是否需要支持IPv6协议判断是否需要AF开启双栈协议支持IPv6协议
业务是否遭受过大流量攻击及攻击类型判断是否需要开启DDoS攻击防护
业务类型及业务特征便于在后续攻防过程中分析攻击特征,是否存在大文件传输、是否要进行文件过滤等
访问源是否存在代理或者CDN环境判断安全防护策略是否需要选择CDN环境,如果存在WEB业务,在此环境下需要启用X-Forwarded-For才能识别真实源地址并进行攻击防护
单用户、单IP的入方向流量范围和连接情况帮助后续判断是否可针对单个IP制定流量控制限速策略
活跃用户数量便于后续在处理紧急攻击事件时,判断事件严重程度,以采取风险较低的应急处理措施
区域隔离将数据中心区域和其他区域进行隔离,防止横向扩散,只开放允许的业务端口
业务系统漏洞管理判断业务系统是否存在漏洞,开启实时漏洞分析功能,对业务漏洞进行整体分析并给出评估报告
高可用性根据网络环境使用两台AF进行双机部署,保证冗余性
业务系统密码判断是否存在弱密码或者明文密码,通过账号安全功能进行防护和分析
病毒防护判断是否存在病毒感染风险,开启内容安全SAVE杀毒,针对勒索病毒开启勒索病毒专项防护
日志记录按《网络安全法》的要求,日志记录需保留180天或以上,所以需要定期评估内置DC的存储空间是否满足180天的存储要求,如不够,需通过外置DC或者syslog三方存储机制,来满足日志记录的要求
三级等保根据等保测评后的结果,再开启对应功能

阅读全文 »

发表于   |   分类于 项目案例   |   暂无评论   |  字数 8244

1.方案概述

1.1项目背景

XXX有限公司成立于XXX年,总部位于XXX,目前是中国综合实力最强的XXX企业之一。作为我服的主要用户,对我服产品和服务也很是认可。 数据中心在大部分客户网络都存在广泛的机会,但目前针对大客户数据中心防护是一个相对空白但是体量极大的场景;我们在客户和友商的认知中,通常只能在传统通用网络的边缘场景中发力(互联网出口、分支出口等),而核心网一直进入不利。深信服下一代防火墙AF面向应用层设计,能够精确识别用户、应用和内容,具备完整的安全防护能力,能够全面替代传统防火墙,并具有强劲应用层处理能力的全新网络安全设备。客户通过对多个防火墙厂商的分析与测试对比,认为深信服下一代防火墙从运维、防护、易用性上都与其真实需求贴合,针对性强,因此最终采购了深信服下一代防火墙。

1.2.需求分析

项目前期,与贵单位XXX部XXX、XXX部XXX、XXX,就贵单位的业务环境和安全建设需求,进行深入的沟通了解。同时我司现场对贵单位提出的XXX、XXX、XXX等关键业务也做了详细的信息收集。

1.2.1.业务现状

阅读全文 »

发表于   |   分类于 个人笔记 , 日常运维   |   暂无评论   |  字数 426

目的

设置密码策略性,以及配置创建可以有效的保障用户认证安全。降低部分威胁风险。

概念

通过validate_password去检测密码的各项策略,通过编辑参数从而达到修改密码策略配置。
定义NO_AUTO_CREATE_USER,可防止GRANT语句在未提供身份验证信息时自动创建用户

用户认证-密码复杂性

说明:密码​​复杂性包括密码特征,如长度,大小写,长度和字符集。复杂密码有助于缓解字典,暴力破解和其他密码攻击。此建议可防止用户选择容易被猜到的弱密码。
检测:执行以下SQL语句来评估此建议:

SHOW VARIABLES LIKE 'validate_password%';

MySQL默认设置运行结果:



阅读全文 »