- 论坛徽章:
- 39
|
1. 那些你曾经忽视过的安全问题,给你带来的苦头?
想当初,在自己本机上搭建了个wamp(windows+apache+mysql+php)环境,用wordpress搭建了blog,在路由上做了端口映射,以为是内外也就没注意安全问题,后来有一天居然发现,有人通过mysql漏洞进入我的机器.
2. 你是如何做安全防范的?
windows不使用administratoe帐号,最好做一个假的administrator帐号,guest帐号也弄个假的,linux不使用root帐号,sudo帐号也只保留一个就好.不同应用,最好用不同帐号.端口,权限这些常用的就没啥好说的了.要多了解最近发生的漏洞哦,然后看自己有没有用这些应用,有的话,赶紧修复.比如最进的openssl.常见的还有java,ftp的
3. 除了update系统,对于不可预知的系统漏洞,我们如何做好系统漏洞被发现到漏洞被修复这段空档时间的安全防范?
定时看日志罗.多观察数据,一旦有异常即使处理.对如web程序,最好观察修改时间,也要经常看看有没有被人放了webshell,这个危害也是极大的.
多服务器的,内外网隔离,不同应用不同服务器.
4. 作为系统软件应用者,我们没有审计代码的时间,甚至没有这种能力,我们该如何应付代码级的安全问题?
找测试人员测试,没有的话,可以激励使用者来帮忙测试,相应的给于一点奖励也是很不错的.经常去了解一些开源库,多用开源库.开源库大多是经过考验的,特别是使用的人非常多的开源库.可以使用一些代码分析工具,如firebug.用idea写代码,并使用版本库的话,提交代码时,idea会检查代码,最好看看,能调整的时候尽量调整,往往会发现一些意想不到的bug.
5. 魔高一尺,道高一丈,不会攻击,何谈防范?你是如何测试自己系统的安全性的?
做不到自己发现漏洞,可以保证自己第一时间修复.多逛一些安全论坛,查看最近报出来的漏洞和利用工具.做不到hack的能力,但是做到一个脚本小子的能力还是很简单的.
6. 你是否关注各种安全漏洞平台,比如:某云、某数字库带、某度漏洞报告中心?你可能不知道有多少小菜盯着他们等着脱你的“裤”……
闲下来的时候还是会关注的,忙的话就不会太在意了.也会去下一些比较有影响力的裤子.
7. 必不可少的安全工具?sqlmap、WebCruiser?
windows平台下一个工具包,各种各样的工具都有,当然商业级别就没了.
W3AF,Canvas,IDA,等等...
关键是要多了解,找到时候自己的组合就好. |
|