取消
显示结果 
搜索替代 
您的意思是: 
cancel
3426
查看次数
0
有帮助
4
评论
julianchen
Spotlight
Spotlight

大家开学好。的确又是很久没和大家聊人生,聊理想,聊读书了。你们知道的,哥的生活里不是闯入了一个武汉来的表弟吗?从此生活多了不少的纷纷扰扰。那天他对我说:“昨天我带女票逛街。。。”“纳尼!?”我打断他“你女朋友不是还在武汉读书吗?上周电话里还如胶似漆呢,怎么又换了?你们现在进展到什么程度了?”“额,哥,谁没有黑历史啊。我们现在进展到第八集了。这不是重点,我想说的是,我发现魔都街上早餐店的品种少之有少,记得,我们武汉的过早连吃一个月都不带重样的。我们一起盘一个店下来,快递武汉过早,你看如何?”“兄弟,你能不能在交友方面不要怎么反人类,反你哥好不好。你有理想有抱负是好事,毕竟我们不可能一直在上海折叠下去。可是典型的‘三平方公里’屏障很难突破的。作为一个职场老腊肉,我想告诉你的是,你应该先定个能达到的小目标,比方说和我一起管理思科服务支持社区论坛。这里别说三平方公里了,连‘邓巴数字’都能突破的!”“哥,你把大脑里的杏仁核束缚的太紧了。歌德说过:‘独立性是天才的基本特征。’我不再当池中之物了!”然后就没有然后了。剩下懵逼的我,继续抖擞精神看专业书,写如下的心得笔记。

十三.被动响应动作
被动三宝:

1. 陷阱与追踪审计日志

2. 发送E-mail告警

3. 使用请求头部标记来共享数据

类似于反垃圾邮件的SMTP程序,它在email中添加MIME头部来提供垃圾邮件检测结果的数据,WAF识别除了一些网络协议栈中较低层次的安全问题,但是却无法对其进行阻断,只能使用请求头部标记的方法将安全事件信息转发给后端服务器处理。

十四.主动响应动作
一些简单的恶意请求可以通过302重定向到首页,更复杂的攻击应该被透明代理转发到蜜罐系统里。

14.1 跳转到错误页面

14.2 断开连接
如果有个HTTP DoS工具对网站进行攻击时,使用ModSecurity的规则触发drop动作,后续从该客户端发起的连接请求会被马上关闭。

14.3阻断客户端的源地址
此法弊端在于准确性和持久性。因为IP地址不一定是某个用户单独使用,武断阻止可能影响其他使用该IP为代理的用户。在Modsecurity_crs_10_setup.conf文件中,使用initcol动作初始化IPUser-Agent串的值组合的持久化存储。另外,ModeSecurity通过运用@exec动作,执行一个包装的脚本来发送添加黑名单的命令,从而修改本地(如iptables)或者是用snortsam工具操作网络中是防火墙的规则策略。

14.4通过变更防护条件(DefCon)级别GeoIP来限制来自某个地址位置的访问。

14.5 强制请求延迟
使用的是Modsecurity里的pause:%{time_sec},单位是毫秒 来让请求等待一段预设的时间。这是针对自动化。

14.6 假装被成功攻破
针对盲注攻击,用ModSecurity伪装出一个被SQL注入的漏洞点,让攻击者忙于对此攻击。同时ModSecurityproxy将请求重定向到含有SQL错误信息的页面,使之相信其攻破成功。

14.7 把流量重定向到蜜罐

14.8 强制退出网站
当用户已登录网站,但是会话被劫持,此时需要让其Session ID失效以及Set-Cookie的响应头,以退出网站。这可以用到ModSecurityexec动作,让Web服务器执行curl命令,模拟出登出网站的请求。

14.9 临时限制帐户访问

好了,这本书算是看完了。收获的确不少。当然,我们在针对关键业务网站系统进行防护,找系统存在的安全漏洞,特别是做渗透测试,提出一些可行的漏洞修补方案时。还是要结合整体的预算、具体的安全防护需求,有所取舍和侧重才是正道。现在哥已满腹经纶,就等着运用到平时的工作实际中去了。

又想起表弟了,话说兄弟如手足,何况还是姑表亲的?表弟一言不合就摔碎了自己的玻璃心,我混长他几岁,考虑得比他全面点。现在我已默默的打开一个众筹网站,开始针对上面的要求,draft《众筹计划书》了,也算是尽我的袍泽之谊吧。

评论
one-time
Level 13
Level 13
是啊,觉得好久没有和julian再读读书了。感谢分享!:handshake
13nash
Level 8
Level 8
呵呵,有点意思
sxsure001
Spotlight
Spotlight
热干面。。。。三鲜豆皮。。。
one-time
Level 13
Level 13
我被馋到了……
入门指南

使用上面的搜索栏输入关键字、短语或问题,搜索问题的答案。

我们希望您在这里的旅程尽可能顺利,因此这里有一些链接可以帮助您快速熟悉思科社区:









快捷链接