- 论坛徽章:
- 20
|
回复 31# 或者是2012
兄弟,你是有认真回答的,麻烦你仔细看看第一页的回复:
发表于 2014-04-18 21:30:01 |只看该作者
1. 那些你曾经忽视过的安全问题,给你带来的苦头?
目前还没有碰到过什么严重的安全问题
2. 你是如何做安全防范的?
安全防范:对于Linux操作系统来说,首先,根据稳定、安全等需要,选择适合于自己业务的OS版本,其次,其实权限最小化原则,开启iptables防火墙,关闭其它的闭口,只保留业务端口的远程访问的ssh端口,同时,把ssh的默认22端口改为其它的端口,如2222等。给数据库用户设置复杂口令,对web应用程序做代码审计,避免存在SQL注入,XSS,CSRF这样的漏洞,加强对web开发人员的安全培训。
3. 除了update系统,对于不可预知的系统漏洞,我们如何做好系统漏洞被发现到漏洞被修复这段空档时间的安全防范?
对于不可预知的系统漏洞,既然是不可预知,那几乎没有什么好的方法,那就试着开启SELinux,通过强制访问控制增加Linux操作系统安全
4. 作为系统软件应用者,我们没有审计代码的时间,甚至没有这种能力,我们该如何应付代码级的安全问题?
通过一些工具来分析
5. 魔高一尺,道高一丈,不会攻击,何谈防范?你是如何测试自己系统的安全性的?
通过SQLMAP, AppSCAN等工具,以及与第三方安全公司合作,由他们来对web应用进行安全评估和测试
6. 你是否关注各种安全漏洞平台,比如:某云、某数字库带、某度漏洞报告中心?你可能不知道有多少小菜盯着他们等着脱你的“裤”……
关注CNVD,关注乌云漏洞平台,关注FreeBuff
7. 必不可少的安全工具?sqlmap、WebCruiser?
nmap nessus AppSCAN等工具 |
|