简介

Acunetix，自动化网络应用安全软件的先驱，已经宣布发布Acunetix第13版。新版本提供了一个改进的用户界面，并引入了创新，如SmartScan引擎，恶意软件检测功能，全面的网络扫描，验证利用，增量扫描等等。
详细信息见：https://www.acunetix.com/blog/news/acunetix-v13-release/

安装

Windows版

1. 运行acunetix_13.0.200205121.exe安装。
2. 复制wvsc.exe到C:\Program Files (x86)\Acunetix\13.0.200205121\下覆盖同名文件（安装到其他路径请自行修改）
3. 复制license_info.json到C:\ProgramData\Acunetix\shared\license下覆盖同名文件

查看license：

测试扫描http://testphp.vulnweb.com
结果如下图：

Linux版

1. 运行acunetix_13.0.200217097_x64.sh安装。
2. 复制wvsc到/home/acunetix/.acunetix/v_200217097/scanner/下覆盖同名文件
3. 复制license_info.json到/home/acunetix/.acunetix/data/license/下覆盖同名文件

阅读全文 »

0X01 问题描述

环境：CentOS Linux release 7.7.1908 (Core)
某日在给新做的模板上日志审计客户端的时候碰到如下报错：

[root@localhost bin]# ./install.sh 
Detected RHEL or Fedora:
Installing the DBAPPSecurity Log agent Lock daemon..
Detected RHEL or Fedora:
Installing the DBAPPSecurity Log agent daemon..
Starting DBAPPSecurity Log agent Lock...
Waiting for DBAPPSecurity Log agent Lock.....................
WARNING: DBAPPSecurity Log agent Lock may have failed to start.

0X02 问题排查

首先进入到 wrapper/bin/目录下面，执行./SocAgentService-LINUX console 命令

[root@localhost ~]# cd socAgent/wrapper/bin/
[root@localhost bin]# ./SocAgentService-LINUX console

出现如下提示：

阅读全文 »

课题A：调试常见的安全问题

访问控制问题
访问控制问题通常被分类为访问不够或访问过多。

加密问题
加密问题可能会严重影响数据的机密性，完整性和真实性。一些需要注意的加密问题包括以下内容。

数据外泄
数据外泄（Data exfiltration）是攻击者获取了存储在私有网络内部的数据并将其移至外部网络的过程。因此受害者不再能够完全控制数据。在很多情况下，攻击者会将数据复制到自己的机器上并原封不动的保留原始数据集合。如果攻击者想要知道或公开组织的秘密，那么他们不会费心去销毁数据或将其扣为抵押。如果攻击者想要勒索组织或损害其业务运营，那么他们可能会考虑采取这些额外的措施。
数据外泄与数据丢失和数据泄露的概念密切相关，因此，你可以利用的一种重要调试策略就是配置并维护一个数据丢失/泄露预防（DLP）解决方案。在某些情况下，这可能还不够，防止数据外泄的其他策略可能还包括：

• 确保所有敏感数据在闲置时都进行了加密。如果数据在网络外部进行传输，对于没有破解密钥的攻击者来说，这些数据通常是无用的。
• 为可能成为销毁或勒索目标的数据创建并维护异地备份。
• 确保存储或传输敏感数据的系统正在实施访问控制。
• 检查访问控制机制是否授予某些账户过多的权限。
• 限制攻击者将数据从网络传输到外部时可利用的网络通道类型。
• 断开存储存档数据系统的网络连接。

阅读全文 »

在使用的主题中的functions.php文件下增加如下代码：

function  art_count ($cid){
    $db=Typecho_Db::get ();
    $rs=$db->fetchRow ($db->select ('table.contents.text')->from ('table.contents')->where ('table.contents.cid=?',$cid)->order ('table.contents.cid',Typecho_Db::SORT_ASC)->limit (1));
    $text = preg_replace("/[^\x{4e00}-\x{9fa5}]/u", "", $rs['text']);
    echo mb_strlen($text,'UTF-8');
}

再在相应的地方增加：

<?php art_count($this->cid); ?>

课题A：评估安全框架和指导方针

安全框架
安全框架（security framework）提供了组织内安全操作的概念性结构。从一般意义上讲，它定义了如何分类和识别可能会威胁组织运营安全的不同要素，框架的侧重点通常是那些在高层上的任务；最终使细化任务可以实现框架设定的目标。
框架类型：

• 监管框架，来自政府法规，规定了任何受法规约束的法律实体的某些行为。
• 非监管框架，通常是经过严格审查的框架，不是强制性的，但仍然是有益的。
• 行业特定的框架，通常由特定行业的参与组织团体共同起草，共同决定需要遵循的框架。
• 国家框架，适用于特定国家的发了，习俗和文化，因此可能不适用于其他国家。
• 国际框架，可以被概况为一种适用于所有国家的准则，无论文化和政治差异如何。

安全框架的例子

安全配置指导
除了一般框架外，许多组织还提供了有关操作安全的指南，最佳实践和基准的文档。组织可以使用这些指导来帮助加强其操作并遵守相关框架中提出的原则。指南通常被分为通用指南或平台/供应商特定指南。通用指南通常涉及一个首要地位的安全主题，如安全编码，并提供不需要专业知识的最佳实践。在安全编码的情况下，通用指南不会提供关于如何以特定语言或在特定平台上进行安全编码的知道，而是提供更高级别的建议，如执行一次全面的应用程序测试过程。
另一方面因为每个平台和供应商都有自己的特殊需求，所以仍然需要更具体的知道方针。
合规
合规（Compliance）是指确保满足法律，法规，行业规范和标准以及组织标准等要求的做法。需要认识一些监管部门以便实现合规原则：

• 政府立法机构。
• 颁布各行业规则，法规和标准的政府监管机构。
• 颁布每个行业的规则，法规和标准的行业协会。

阅读全文 »