获奖名单已公布:http://bbs.chinaunix.net/thread-4189724-1-1.html
话题背景
不可能每个管理员都有很好的知识水平,都能把每个配置掌握的很好,因为运维人员或管理人员配置服务只是照着书或者照着网上的文章配置,也就是说一步一步按照别人所说的做。其实就是按部就班,做苦力活吧。这次的话题与以往有所不同的是,我将把我自己所理解的东西分享出来,希望能与大家共同探讨。 上案例:
1.Memcached
“Memcached服务器端都是直接通过客户端连接后直接操作,没有任何的验证过程,且Mecached默认以root权限运行。
这里可能运维攻城湿会问:加个密码不就行了,改个端口就行了。(你以为人人都和你一样呀!)
实例:
互联网查找 11211端口
随便找了个都可以爆菊花。
看下一个案例:
2.Mongodb
“MongoDB安装时不添加任何参数,默认是不开启权限验证的,登录的用户可以对数据库任意操作而且可以远程访问数据库。”
随便找个菊花:
3.Redis
“redis直接启动默认没有任何限制的,可以直接连接,查看,更改redis中的数据”
懂的人自然懂,点到为止,不再列举其它的服务了。至于为什么你们心里清楚。
这里可能又会说了:“我不相信那些大公司的人还会犯这样的错”!
可能你这样问有点无知,我只能说:各种大型的公司存在这样的问题非常多,非常多,非常多,别问我为什么说三遍。
以上测试完全可以通过Python来批量测试公司业务所存在的问题。现在到了回答问题时间:
讨论话题
1.某些服务配置的过程中,你或者不知道,或者是猪队友配置的,导致了整个公司数据被脱了,这种现象该如何防和如何进行人员培训?
2.像某些服务刚出来,手册资料都还不全,但很可能某个配置会产生安全问题,作为一名运维或管理人员该如何在接触新服务的时候,要注意那些问题?
3.运维或安全人员会经常编写一些脚本来测试吗?写过哪些类型的测试代码?
讨论时间
2015-08-24至2015-09-24
活动奖励
活动结束后将选取4名讨论精彩的童鞋,每人赠送一本《Python 黑帽子:黑客与渗透测试编程之道》图书+互动出版网购书券一张,面值20元以作为奖励。
购书券使用说明:购书券为互动出版网的直减通用券,使用无限制,在支付的时候选择代金券支付即可。有效期为一年。
购书券使用链接:http://www.china-pub.com/
奖品简介
作者: (美)Justin Seitz(贾斯汀·塞茨)
译者: 孙松柏 李聪 润秋
出版社:电子工业出版社
出版日期:2015 年8月
开本:16开
页码:184
版次:1-1
内容简介:
Python 黑帽子:黑客与渗透测试编程之道》是畅销书《Python 灰帽子-黑客与逆向工程师的Python 编程之道》的姊妹篇,那本书一面市便占据计算机安全类书籍的头把交椅。《Python 黑帽子:黑客与渗透测试编程之道》由Immunity 公司的高级安全研究员Justin Seitz 精心撰写。作者根据自己在安全界,特别是渗透测试领域的几十年经验,向读者介绍了Python 如何被用在黑客和渗透测试的各个领域,从基本的网络扫描到数据包捕获,从Web 爬虫到编写Burp 扩展工具,从编写木马到权限提升等。作者在《Python 黑帽子:黑客与渗透测试编程之道》中的很多实例都非常具有创新和启发意义,如HTTP 数据中的图片检测、基于GitHub命令进行控制的模块化木马、浏览器的中间人攻击技术、利用COM 组件自动化技术窃取数据、通过进程监视和代码插入实现权限提升、通过向虚拟机内存快照中插入shellcode 实现木马驻留和权限提升等。通过对这些技术的学习,读者不仅能掌握各种Python 库的应用和编程技术,还能拓宽视野,培养和锻炼自己的黑客思维。读者在阅读《Python 黑帽子:黑客与渗透测试编程之道》时也完全感觉不到其他一些技术书籍常见的枯燥和乏味。 |