前言,双向认证到底是利大,还是弊大。 先从一点说,现在很多web安全入侵的开始,多半要分析web请求。单向的https可阻止不了这些人对接口的调试、包括移动终端的双向验证运用就由此而生。 移动端: 使用双向认证后,移动终端的所有请求,如果没有pkcs7 或pkcs12的证书密钥,他们是没办法去抓请求的。但是要破解证书密钥,就得逆向整个app,找到调用证书的密钥,现在的开发隐藏各种密钥的手段,不逆出翔来,也差不多半死,逆出证书还得逆出通讯签名的密钥再破解…. 无疑让一些孤军奋战的黑客一筹莫展,除非筹码够,要不然….没多少人愿意死这样的脑细胞去搞一个说不定接口还没漏洞的目标。 网站: 网站方面如果用了双向认证,必须得导入证书到电脑受信任的根目录,要不然网站都访问不了。这里就不得不说一些具体的实用场景了。例如,你开了个不非法,不那么合法的搞基论坛,你只想给部分人看到。那只 […]
企业/项目 安全建设
手动创建ssl证书用于https网站,使用Cloudflare永久免费使用ssl证书
1.生成一个RSA密钥 [root@localhost ssl]# openssl genrsa -des3 -out nginx.key 1024 #实际使用中看服务器性能,如果足够好也可以使用4096位秘钥 Generating RSA private key, 1024 bit long modulus …….++++++ …++++++ e is 65537 (0x10001) Enter pass phrase for nginx.key: #输入密码,自定义,不少于4个字符 Verifying – Enter pass phrase for nginx.key: #确认密码 2.生成一个证书请求 [root@localhost ssl]# openssl req -new -key nginx.key -out nginx.csr Enter pass phrase for n […]
关于ELK插件Sentinl最新版(Version 2.0)使用模版
{ “actions”: { “Email_alarm_480afd92-0c2a-460c-88d3-4c3027196d2a”: { “name”: “发送邮件的标题”, “throttle_period”: “1”, “email”: { “priority”: “medium”, “stateless”: false, “body”: “邮件实际内容可以如下格式{{payload.hits.total}}\r\n\r\n{{payload.hits.hits.0._source.message}}\r\n{{payload.hits.hits.0._source.host}}\r\n”, “to”: “邮件接受人”, “subject”: “邮件的subject” } } }, “input”: { “search”: { “request”: { “index”: [ “elk日 […]
ELK Sentinl预警插件设置
Input 通用输入模板: [codesyntax lang=”html4strict”] { “search”: { “request”: { “index”: [ “日志-*” ], “body”: { “query”: { “bool”: { “must”: [ { “query_string”: { “query”: “error”, //查询关键字 “use_dis_max”: true } }, { “range”: { “@timestamp”: { “gte”: “now-1m”, //查询1分钟范围内 “lte”: “now”, “format”: “epoch_millis” } } } ], “must_not”: [] } } } } } } [/codesyntax] Condition:设置触发条 […]
关于项目A域名向B域名跳转登录安全知识和防御方案
项目中时常遇到这样的场景,一个公司,好几个项目,项目A是在移动终端,登陆后,需要跳转到B项目的活动页面,而且是不需要再次登录B项目,直接就能在B项目活动里抽奖或者购买东西。如果只是功能上实现,容易实现。那么安全性就会存在以下几点问题。 1.A域跳转到B域的时候,认证的请求被劫持,劫持者拿着认证的请求是不是也能直接跳转到B域? 2.A域跳转到B域后,B域中的Cookie信息是不是与A域一样,最终实现,一个Cookie在两个域中都可使用? 3.B域再跳回A域,是不是又得重新认证? 以上只是AB域,实际中,存在的域名或许更多. 针对以上问题,相较于目前已经成熟的方案,JWT(Json web token)和Ticket一次性凭证。
企业旁路部署安全监控方案
一、前言 先废话一下,可跳过。最近一直研究企业安全监控方案,奈何,垂直部署(就是在原有的项目服务器中加入一台服务器作为监控服务器)可能会影响业务。几十台服务器,跑着解耦的项目,着实不敢乱来,怕影响了线上的商户和客户。这锅,真特么不敢背,要是出问题背下来,大概可以拿着饭碗回家吃饭了。 所有,从旁路部署吧,哪怕安全监控服务器挂了也没关系,不影响业务,最主要是,安全监控服务器随时随地的方便重启,折腾。 二、什么是垂直部署和旁路部署。 垂直部署: 利:能够实时监控数据流、分析数据并拦截恶意请求、完完全全融入到项目中的参与者角色 弊:变更规则需要重启服务、异常情况挂了影响业务、调试不方便 旁路部署: 利:规则变更及时生效、怕个卵业务影响、感觉监控丑就随时动手、完整的旁观者角色 弊:不能对请求做拦截处理,换句话说,它只是一个旁观者。 三、方案 1.未执行方案:部署nginx […]