这几天在公安部备案网站上看到的 公安部第一研究所 http://www.weishi110.cn/static/index.html 网防 G01-网站卫士版
公安部第三研究所 https://waf.islab.cn/ 的”中小网站安全防护“
1
iAcn 2018-12-19 11:39:35 +08:00 via Android
去年初的时候上边下来文件,强制让装这个东西。装在 Web 服务器上配好端口,一年一升级。然后就没动静了,日常都感觉不到这个东西的存在。
|
2
legiorange 2018-12-19 16:09:20 +08:00
没用过前谈谈我自己很不负责的看法
首先抛开 shell 和 sql 不谈 未知的上传、任意文件、命令执行都可以通过 java 的 spring security 和 shiro 解决,还顺便能解决如 XSS/CSRF/点击劫持等。 struts 漏洞防护,我不懂,就是升级一个 jar 包的事情,2.3 无缝升级。2.5 改代码。 反序列化:打补丁,升级版本 PS:HTTPD2.4 企业安全的 tls1.2 可以找我的博客进行设置,关闭 CBC (也就是对称密码)后 lucky13 攻击可能失效,不知道有没有大佬完善一下。 |
3
laolinn 2018-12-22 15:41:48 +08:00
我记得之前我们公司给封了两台服务器。
然后服务商要求我们装这两个软件。 装完之后发现,运行内存吃了我们 2G。。。 |
4
zxq2233 2019-02-16 17:32:09 +08:00
laji
|
5
illl 2019-08-20 02:25:54 +08:00
感觉就是云锁换了个 logo
|