系统安全

第三方公司做了系统安全测试，提出了这个问题。 详细描述 会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息，造成用户cookie信息泄露，增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展，该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持cookie属性HttpOnly。 如果在Cookie中没有设置HttpOnly属性为true，可能导致Cookie被窃取。窃取的Cookie可以包含标识站点用户的敏感信息，如ASP.NET会话ID或Forms身份验证票证，攻击者可以重播窃取的Cookie，以便伪装成用户或获取敏感信息，进行跨站脚本攻击等。 如果在Cookie中设置HttpOnly属性为true，兼容浏览器接收到HttpOnly cookie，那么客户端通过程序(JS脚本、Applet等)将无法读取到Cookie信息，这将有助于缓解跨站点脚本威胁。 解决办法 向所有会话cookie中添加“HttpOnly”属性。 Java示例： HttpServletResponse response2 = (HttpServletResponse)response; //response2

【转载】防火墙和系统安全防护和优化： 超链接： https://blog.csdn.net/slufei/article/details/103505191 防火墙 防火墙(Firewall)，也称防护墙，是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网(US5606668(A)1993-12-15)。它是一种位于内部网络与外部网络之间的网络安全系统。一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。 定义 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。[2] 在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外

   通过学习《网络空间安全导论》，我从通过第四章系统安全的学习，对计算机操作系统的功能有初步的了解，认识到计算的脆弱性和主要威胁，并掌握常用计算机操作系统以及移动智能终端操作系统的安全机制，初步了解虚拟化安全的知识。同时通过本章的学习，我可以较为全面掌握系统安全的相关知识，为将来从事相关工作打下基础。    我从第七章大数据背景下的先进计算安全问题中第二节云安全了解到云的相关概念和云当前面临的安全挑战。如何应对此类安全问题，以成为技术人员的头等大事。此书也讲述了一些当今云环境下的安全保障。云安全建设是一个动态过程，需要不断更新完善，才能应对新的安全风险。 来源： https://www.cnblogs.com/wty2419/p/12013787.html

二十多年来，跨站脚本（简称 XSS）漏洞一直是主流网站的心头之痛。为什么过了这么久，这些网站还是对此类漏洞束手无策呢？ 对于最近 eBay 网站曝出的跨站脚本漏洞，你有什么想法？为什么会出现这样的漏网之鱼？一个如此大规模的网站，不应该具备可靠的网关安全技术以阻止任何情况下的 XSS 攻击么？ 即便从上世纪 90 年代开始，跨站脚本漏洞就已经为人们所熟知。时至今日，它仍在贻害为数不少的网站。大多数主流网站，包括谷歌，CNN，PayPal 以及 Facebook，都曾受过 XSS 漏洞 的影响。该漏洞也常年出现在 CWE/SANS 前 25 个最危险的编程错误、OWASP 前 10 个最致命的 Web 应用安全风险之类的榜单。 XSS 攻击与大多数应用层攻击（诸如 SQL 注入攻击）不同，因为它攻击的是应用的用户，而非应用本身或应用服务器。这类攻击会往 Web 应用的内容中注入代码，通常是 Java Script 之类的客户端代码。大多数网站都有许许多多的注入位置，包括搜索框、反馈表格，cookie 以及论坛等。借助 XSS 漏洞，黑客可以窃取数据，控制用户的会话，运行恶意代码，或操纵受害用户浏览器中显示的内容。 像 eBay 这样的网站，几乎完全基于用户产生的内容，通常在用户的项目描述部分包含许多活动内容（Active Content），比如 JavaScript 和 Flash

郑昀 创建于2015/4/10 最后更新于2015/4/28 本文档适用人员：广义的技术人员 提纲： 堡垒是从内部攻破的 员工无知者无畏 运维配置暴露细节 后台不设防 常犯常新，屡战屡败 处处留心皆学问 0x00. 背景： 技术团队 第一忙于业务逻辑，第二大量新人涌入，会把过去大家在安全上栽的跟头重新趟一遍，因此该做的培训咱还得做，该说的经验教训还得说，一次不行就两次，两次不行三次，重复再重复。 0x01. 堡垒是从内部攻破的： 一次成功的入侵渗透，并不需要是什么高危漏洞，几个普普通通的中等漏洞，搭配一次社会工程学行动，就可以搞定。 一个公司成千上万人，往少里说也有 80% 的人安全意识淡薄，有耐心的攻击者会盯好几年，穷尽各种招数，没有攻不进去的堡垒。 员工无知者无畏 大多数员工都图省事儿，公司邮箱以及其他内部 IT 系统都用简单密码甚至空密码，好些个知名 IT 系统也不对此做任何限制（甚至是专业企业级软件制造商出品的IT系统）。 弱密码遇到不设防的 IT 系统，对攻击者来说真是福音。 案例一，乌云漏洞报告：重置某东任意内部邮箱用户密码 漏洞提交时间： 2013-10-26 原理： 公司做得越来越大的时候，总会出现那么几个安全意识薄弱的人员（俗称猪一样的队友），他们往往会做出一些让人无法理解的事情，比如：他会毫不犹豫地双击运行邮件内的 EXE 附件，或者使用跟用户名一样的密码

Defcon CTF： 侧重于计算机底层与系统安全核心能力 竞赛环境趋向多CPU指令架构集，多操作系统，多编程语言 逆向分析，漏洞挖掘，漏洞利用，漏洞修补加固，网络流量分析，系统安全运维，面向安全的编程调试 团队合作： 团队分工详解： 题目类型： 未来： 人工智能，机器人对手 CGC：机器人CTF赛 不忘初心，方得始终 CTFTIME 文章来源: CTF

1、账号安全 系统账号清理 1）将非登录用户shell设为/sbin/nologin 2）锁定长期不使用的账号 3）删除无用的账号 4）锁定账号文件passwd、shadow 密码安全： 设置密码有效期：2种方式： 历史命令限制： 1）减少命令历史数量：HISTSIZE=200 终端自动注销：TMOUT=10（秒） 2、su命令安全 Su：切换用户 普通用户切换其他用户需要对方密码 Root用户切换无需密码 限制用户使用su命令：启用pam_whell模块，只允许whell组使用su命令 日志文件：/var/log/secure 3、sudo：提升权限 需要输入本人密码 Sudo配置文件：/etc/sudoers 打开方式：visudo NOPASSWD：命令：无需密码就可执行 列表设置为别名：User_alias 日志文件：/var/log/sudo 4、开关机安全 1）调整Bios设置： 禁止从其他设备引导 设置Bios密码 2）禁用Ctrl+Alt+Del重启 3）grub菜单限制： 在title前设置密码：禁止更改参数 在title后设置密码：禁止进入系统 密码方式：明文：passwd密码 密文：用grub-md5-crypt生成 5、终端安全登录： 1）减少开放的终端数：/etc/init/start-ttys.conf 2) 限制root用户使用的终端：/etc

hdparm -Y /dev/sdx 来源： https://www.cnblogs.com/zl-yang/p/11740853.html

上周去面试,被问了个问题,如果保障你服务器的安全?事情太过杂碎我一时间想不起来很多,被问了个措手不及.痛定思痛后决定来总结一番. 有参考众网友的意见,有总结过去的经验,也有包含书籍中介绍的。安全运维技能是每个运维人士必备的，毕竟自己的地盘哪容得旁人撒野。众多检查选项会写成定时任务，在凌晨2-5点之间分批执行，并记录下检查结果。关于定时任务脚本，另有篇幅会总结出来。 一、检查文件权限 不正确的权限设置直接威胁着系统的安全，因此运维人员应该能及时发现并立刻修正，防患于未然。 find / -type f -perm -2 -o -perm -20 |xargs ls -al //查找任何用户都有写权限的文件或目录 find / -type f -perm -4000 -o -perm -2000 -print | xargs ls –al //防止提权 find / -user root -perm -4000 -print -exec md5sum {} ; //检查系统中所有suid及sgid文件 二、查看 passwd 文件中有哪些特权用户，删除特殊的账户和账户组，最近24小时添加了哪些用户 # awk -F: '$3==0 {print $1}' /etc/passwd 可删除的用户adm,lp,sync,shutdown,halt,news,uucp,operator

今天和大家一起来探讨系统安全应用的演练，精彩的部分现在开始： 一、系统账号加锁、解锁演练 1.首先在linux远程控制xshell上查看 passwd、shadow 文件状态，及为未加锁状态 2.第二，输入加锁命令，再次查看，显示已加锁状态 3.此时我们重新输入命令建立一个用户wangwu，打开passwd中，没有wangwu的账号信息。 TIP:即加锁状态下无法添加、删除用户，也无法更改登陆密码等账号信息。 二、密码安全控制操练 1.在远程终端上修改密码有效期，进入配置文件。 2.将密码最长有效期改为30天。 3.随即，我们新创建用户zhaoliu，打开passwd，即有效期为30。 证明：此方法仅能修改之后新创建的用户有效期 4.我们来更改之前创建老用户的密码有效期，输入命令 5.打开 passwd ，即之前创建的老用户密码有效期被更改为30天 6.现强制要求用户下一次登陆时必须修改密码，输入命令 chage -d 0 wangwu 随即注销用户，进入登录画面 7.在我们进行多种密码更改后方能进入，经本博主亲自尝试，密码更改必须为八位不连续的字母、数字（密码复杂性要求高），更改登陆密码尽量用passwd，方便快捷 第三、命令历史、自动注销操作 1.进入配置文件profile中更改历史命令记录数的属性 2.将历史记录数改为20，即现在最多一次性记录20条命令 3.更改过后