一位朋友指出了一个我正在使用的应用程序中的一个sql注入漏洞。 这个search参数: '; exec xp_cmdshell 'dir'; — 回复信息: The EXECUTE permission was denied on the object 'xp_cmdshell', database 'mssqlsystemresource', schema 'sys'. 因为search是从一个仅在less数表和存储过程上具有select权限的帐户运行的。 我想知道,如果一个恶意用户碰巧知道sql服务器的pipe理员帐户的login信息,他们是否有可能通过cmd shell或其他一些顽皮的工作使用凭据获取root权限?
在Linux系统上,默认情况下有很多用户:守护进程,bin,sys,游戏等等。 根据我的/ etc / passwd,这些用户中的大多数都有一个shell(/ bin / sh),这对我来说似乎有点不安全。 我天真的想法会说:只给这些用户一个可以login到服务器的shell。 我的想法错了吗? 如果不是完全错误的话:我可以禁用“daemon”和“www-data”的shell而没有副作用(例如系统不会启动或Apache PHP不能执行系统调用)? 补充:我的发行版是Debian Squeeze。 感谢您的提示!
在我的城市最近发生了一些黑客通过在RDP上使用暴力攻击来login服务器的事件。 我有一个服务器,我想启用一些安全策略locking帐户,如果超过3构成不成功的尝试发生。 我不知道如何实现它? 有人能告诉我正确的方向吗? 谢谢!
我们有一个由几个不同组件组成的分布式应用程序 例如,我们有Python应用程序服务器,PostgreSQL数据库服务器,Redis服务器,Memcached等。其中一些服务在不同的服务器上。 所有这些服务器都运行CentOS Linux,而且我们目前只能在需要连接的基础上启用服务器之间的访问(即不是打开端口6379到每个Redis目标主机中的所有主机,而是按照主机打开) 。 我的问题是:pipe理多个服务器的iptables环境的好习惯是什么? 有没有其他的工具,我应该使用,还是有一个更好的pipe理scheme之间的安全几台服务器? 如果有比普通防火墙更好的东西,请告诉我。 任何build议将不胜感激。 非常感谢你花时间陪伴!
我见过许多build议来对configurationpipe理系统进行版本化。 你如何build议一个处理应用程序安全所需的密码? 版本化它们呢?
目前,由于在使用amazon ec2的安全组允许端口访问时,不能从其他区域指定安全组,所以我们必须将每个IP插入到需要访问的安全组中。 我可以看到这个过程变得难以跟踪(这种已经有了)。 我的想法是做类似于你可以在Amazon VPC之间做的事情(现在我们不能切换到VPC,因为目前的迁移有点多),所以每个地区的一台服务器充当一个网关,来自跨域服务器的所有请求都进来了。这个网关会把请求redirect到正确的端点。 这样安全组只需要一个跨域服务器的IP,而不是每个服务器1个。 这是一个有效的技术? 还有其他的方法可能会更好吗?
我们最近遇到了一个问题,那就是用户从家里带来笔记本电脑,并将其插入networking,试图访问互联网。 我知道在一个端口级别,我可以设置MAC限制,但是我想知道是否有办法阻止一个不兼容的机器在将来访问我们的networking? 我们目前运行所有的Windows 7客户端机器,我只想告诉它“如果不是Windows 7,不能访问”,但不知道如何去做。 我们正在运行一个AD环境,2008年和Windows服务器之上。 我想也许NAP会工作,它似乎有一个WinXP的设置(一个用于Win7的),但它允许我不允许或允许访问,如果它是最新的,如果病毒保护打开等,而不是如果它是Windows XP本身。 有没有办法,我可以禁用任何东西,但我指定从这样的访问networking? 在此先感谢您的帮助!
尽pipe事实上弹性search的安装是极其可利用的,但似乎还是缺乏这方面的信息。 我使用它的主要担心是,作为一个非专家,我不知道可能的漏洞是什么以及如何closures它们。 有人可以向我解释一个locking弹性search的方法,以便我可以在一个安全的环境中执行以下操作: 每个用户有多个索引。 假设我可以预先为他们创build,用户不应该能够对其他用户的索引执行操作,除非在授予权限的情况下可能查询它们。 (可能在每个用户的URL的某种forms的秘密密钥?) 用户可以根据需要从索引中添加和删除对象,但不会删除索引。 对用户的内存大小有一些限制,所以如果出现问题,他们不能重载服务。 我猜这些必须在应用程序级别完成,我不能指望你为我写这个,但是默认的configuration是太开放了,即使我提供了一个自定义的API层,这个人可以很容易绕过它并直接与服务器通信。
在Windows 7 Professional SP1中向Internet Explorer 11添加可信站点列表时,会出现一个名为“此区域中的所有站点需要服务器validation(https :)”的checkbox。 有没有办法修改系统的组策略来检查或取消选中此checkbox? 也许这是我可以通过gpedit.mscfind的东西? 谢谢! PS只是为了确保我们在同一页面上,这是我正在谈论的对话框:
我已经build立了一个只有一个Windows Server 2012 R2的本地域的家庭办公室,我已经允许从路由器的端口3389到我的服务器。 虽然知道这是危险的,但我设置了这种方式,以执行我已经告诉的几个审计testing。 我安装了ZoneAlarm免费版本,因此Windows防火墙被禁用。 在允许3389端口大约一个月后,我注意到事件查看器上的这个事件日志: “事件ID 1158:”远程桌面服务接受来自IP地址xxx.xxx.xxx.xxx的连接“ 由于这些IP来自多个国家,我不知道这个事件日志是否意味着这些IP实际上侵入了我的系统,或者如果这个事件日志只是提醒一个传入的连接,它可以被接受或拒绝,这取决于login成功或相应的失败。 请原谅,如果这个问题可以很容易地回答,但我找不到任何相关的答案,除了一个开放RDP默认端口的风险。