检查口令最小长度 vim /etc/login.defs 设置 PASS_MIN_LEN 8 检查是否设置口令生存周期 vim /etc/login.defs 设置PASS_MAX_DAYS 90 检查设备密码复杂度策略 vim /etc/pam.d/system-auth 追加到password requisite pam_cracklib.so后面(ucredit=-1 lcredit=-1 dcredit=-1)
function.php function htmlentities_custom($str) { return htmlentities($str, ENT_QUOTES); } config.php return [ 'DEFAULT_FILTER' => 'htmlentities_custom', ];
实验环境 操作系统:Windows Server 2012 系统密码: 安全加固项 1、用户系统 1.1 加固项名称: Administrator账户停用 加固说明: 防止 Administrator 账户被黑客爆破出密码,避免Administrator账户被黑客利用获取计算机系统权限。只有一个管理员账户时无法禁用,需要创建另一个管理员账户
一、docker安全加固 1、利用LXCFS增强docker容器隔离性和资源可见性 (proc容器与宿主机之间是共享的 没有进行隔离) 此rpm包在真机桌面q目录中 需先传到虚拟机/root/下 在进行安装 把宿主机 /var/lib/lxcfs/proc/目录下生成的6个文件挂接到容器内 底层用cgroup来做资源控
docker mysql基础使用命令 #从dockerhub上查找相关版本: docker search mysql #拉取镜像: docker pull mysql:版本号 #启动mysql: docker run -itd --name mysql-test -p 3306:3306 -e MYSQL_ROOT_PASSWORD=123456 mysql #进入mysql容器: docker exec -it NAMES /bin/sh #开启容器
结论先行: 用的是安卓测试机,没加固之前的生产环境的安装包,可以抓到https请求 加固之后的包【也就是要上应用市场的包】,抓不到https请求 电脑上的操作: 1. 安装证书【电脑上安装了charles】: 2. 将证书安装到受信任的根证书颁发机构下,点击确定后提示导入成功 3. 导入成
Liunx安全加固脚本 #!/bin/bash #设置密码复杂度 if [ -z "`cat /etc/pam.d/system-auth | grep -v "^#" | grep "pam_cracklib.so"`" ];then sed -i '/password required pam_deny.so/a\password required pam_cracklib.so try_f
charles 抓https的包 结论先行: 用的是安卓测试机,没加固之前的生产环境的安装包,可以抓到https请求 加固之前后的包【也就是要上应用市场的包】,抓不到https请求 电脑上的操作: 1. 安装证书: 2. 将证书安装到受信任的根证书颁发机构下,点击确定后提示导入成功 3. 导入成功
任务三:tomcat中间件安全与加固 任务环境说明: ü 服务器场景名称:w-win7 ü 服务器场景用户名:administrator;密码:未知(开放链接) ü 渗透机场景:kali ü 渗透机用户名:root,密码:toor 1. 通过渗透机场景kali中的工具对web服务器进行扫描,浏览web服务器网页,在首页中找到tomcat服务版本号
安卓逆向入门 建设自己的逆向环境 环境准备 夜神/逍遥模拟器, 安卓版本选择 用xp root模拟器, 安装fiddler,配置证书, 安装justtrust me抓包 安装 Mdex 脱壳工具, np管理器,为了签名 对于加壳的文件 目的是为了拿dump之后的dux文件, windows配置jdk, java环境, j
这是未加固前的代码 1 <?php 2 /** 3 * Created by runner.han 4 * There is nothing new under the sun 5 */ 6 7 8 $SELF_PAGE = substr($_SERVER['PHP_SELF'],strrpos($_SERVER['PHP_SELF'],'/')+1); 9 10 if ($SELF_PAGE = &q
一、背景 二、整体框架 三、SO保护壳分析 四、DEX保护壳分析 五、Native原理分析 六、总结 一、背景 最近朋友让我帮忙对他们银行APP进行黑盒分析,检测其安全性,探未知程序漏洞与安全性测试,提升业务整体安全能力,我拿到APP后进行安装抓包后发现都是加密传输的,用JEB进行反编译找数
第一部分:A 模块基础设施设置与安全加固 总体要求:根据任务要求,参赛队通过综合运用登录和密码策略、数据库安 全策略、流量完整性保护策略、事件监控策略、防火墙策略等多种安全策略,确保 系统各服务正常运行。 域服务器基础设施设置与安全加固 1)在域服务器上,检查Kerberos策略,将“服
目录一、加固策略1.1、设置复杂密码1.2、 设置密码策略1.3、 对密码强度进行设置1.4、对用户的登录次数进行限制1.5、禁止root用户远程登录1.6、 更改ssh端口 (可选)1.7、关闭没必要的端口1.8、设置账户保存历史命令条数,超时时间 一、加固策略 1.1、设置复杂密码 服务器设置大写、小
最近公司做服务器安全,开始在市场了解产品,对这一块算是短暂的研究了一段时间,有一点心得给大家分享一下。 主机加固 最近主机加固的概念被炒得火热,主机加固的功能也正在被致力于服务器安全的相关人士所关注。 那么究竟什么是主机加固呢? 主机加固其实是对系统做安全标记、访问控制
工控机痛点在于不连外网,操作系统无法打补丁,病毒库无法更新,普通杀毒软件无用;因为是专用设备,用户的网管不敢在上面安装杀毒软件;系统会不会中病毒,导致产线工作中断,损失巨大。 个人建议是采用主机加固的方式来加固工控机,来做到抵御病毒的效果 主机加固的核心要点: 1、系统加固 将调
工控机痛点在于不连外网,操作系统无法打补丁,病毒库无法更新,普通杀毒软件无用;因为是专用设备,用户的网管不敢在上面安装杀毒软件;系统会不会中病毒,导致产线工作中断,损失巨大。 个人建议是采用主机加固的方式来加固工控机,来做到抵御病毒的效果 主机加固的核心要点: 1、系统加固 将调试
/** 自动下载360加固保,也可以自己下载然后放到根目录 */ def download360jiagu() { // 下载360压缩包 File zipFile = file(packers[“zipPath”]) if (!zipFile.exists()) { if (!zipFile.parentFile.exists()) { zipFile.parentFile.mkdirs() println("packers=create pare
保留方法名 保留类名和方法名 -dontwarn retrofit2.** -keep class retrofit2.** { *; } -keepattributes Signature -keepattributes Exceptions -keep public class **.R$*{ public static final int *; } [ 《Android学习笔记总结+最新移动架构视频+大厂安卓面试真题+
1. 设置密码失效时间,强制定期修改密码设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。 加固建议:使用非密码登陆方式如密钥对,请忽略此项。在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间,如:PASS_MAX_DAYS 90需
1.确保Web根目录的选项受到限制 禁止 Apache 列表显示文件 描述 Web根目录或文档根目录级别的Options指令应限于所需的最少选项。 强烈建议设置为“无”。 但是,在这个水平上如果支持多种语言,则可能出现问题。 如没有此类需要,需启动 检查提示 配置文件路径::/data/app/httpd/conf/ht
1.禁止自动部署 描述 配置自动部署,容易被部署恶意或未经测试的应用程序,应将其禁用 加固建议 修改Tomcat 根目录下的配置文件conf/server.xml,将host节点的autoDeploy属性设置为“false”,如果host的deployOnStartup属性(如没有deployOnStartup配置可以忽略)为“true”,则也将其更改为
多渠道打包的方案,现在基本上分为Flavors的方案还有美团walle的方案。 一开始我个人选择的是的Flavors 的方案,在gradle中配置了flavors,但是很快发现弊端,打包很慢,尤其是执行assemble任务,六个渠道大概编译了十几分钟,这个是万万不能接受的。然后就开始采用美团的walle,这里先贴一
本地安全组策略 账户策略 无用账户删除 避免提权 密码策略 设置密码输入次数不大于10次 错误到一定次数锁定该账户 避免弱口令密码 使用期限不大于90天 防火墙开启情况 出入站规则 无用账户删除 避免提权 系统版本查看 及时修补漏洞 高危端口查看 可以把端口换成不
账号和口令 禁用或删除无用账号 操作步骤 cat /etc/shadow 查看有多少账户 使用命令 userdel <用户名> 删除不必要的账号。 使用命令 passwd -l <用户名> 锁定不必要的账号。 使用命令 passwd -u <用户名> 解锁必要的账号。 检查特殊账号 检查是否存在空口令和root权限的
