折戟

龅牙晴的爸爸

一次挖矿病毒攻击分析

一次挖矿病毒攻击分析 这两天期末了,最近老板这里突然来了个任务,客户服务器被攻击了,某台机器的cpu一直都跑满了,持续高负荷状态,客户公司的运营实在没有办法找到了我们。先说一说之前这台服务器也出现过问题,被两波人搞过,一波写了webshell,另个一种了挖矿病毒,都被清除了,当然这些我都没有参与..


校园提供给第三方的接口信息泄露

校园提供给第三方的接口信息泄露 之前学校和第三方合作,让我们用到的某款app,好奇测试,发现其有严重的身份验证缺失,可以随意访问个人信息,用python写了个可以爬取所有信息的脚本。(很早之前的了,做个记录)#!/usr/bin/env python# -*- coding: utf-8 -*-..


PCI-DSS(V3.2)学习笔记(八)

PCI-DSS(V3.2)学习笔记(八) 四、实施强效的访问控制要求8:识别并验证对系统组件的访问实施强效的访问控制,我们在要求7中已经针对用户对持卡人的访问进行限制了,对于一个强效的访问控制,我们不但要有明确的访问权限控制,同时我们也要确保每一个访问时授权的,是通过我们的验证的,防止有绕过我们..


PCI-DSS(V3.2)学习笔记(七)

PCI-DSS(V3.2)学习笔记(七) 四、实施强效的访问控制PCI DSS的第四个区域就是实施强效的访问控制,这里的访问控制不仅仅是前面提到的针对某个系统的访问控制,而是针对持卡人数据环境的所有访问来说的;不仅仅是某些具体的业务,应用程序,还有系统组件以及物理的访问等等统统要在我们的访问控制..


PCI-DSS(V3.2)学习笔记(六)

PCI-DSS(V3.2)学习笔记(六) 三、维护漏洞管理计划要求6 :开发并维护安全的系统和应用程序windows的各种升级以及补丁大家肯定很熟悉了,为了防止各种漏洞的攻击微软经常要求我们更新,给系统打补丁。在我们的企业中,攻击者经常会使用我们的系统或者应用程序出现的漏洞进行攻击,所以我们要对..


PCI-DSS(V3.2)学习笔记(五)

PCI-DSS(V3.2)学习笔记(五) 三、维护漏洞管理计划维护漏洞管理计划,我们前面说了安全的网络和系统的基本建设的要求,以及保护我们的持卡人数据不被攻击者窃取等,现在要说的是如果我们做的都很好了,但是任会攻击者通过某种方法攻击我们,比如新型的病毒或者漏洞,之前看过一部电影《我是谁,没有绝对..


PCI-DSS(V3.2)学习笔记(四)

PCI-DSS(V3.2)学习笔记(四) 二、保护持卡人数据要求4:加密持卡人数据在开放式公共网络中的传输要求3针对的是存储的持卡人数据的保护措施,要求4则是持卡人数据传输过程中的安全措施。如何保护传输中的持卡人数据呢,在我看来主要有两个方向,一个是建立一个安全的传输信道,或者利用第三方安全的传..


PCI-DSS(V3.2)学习笔记(三)

PCI-DSS(V3.2)学习笔记(三) 前言 下面开始学习第二个区域的要求,将会和前面两个不太一样。主要的内容是具体如何保护持卡人的数据,将会分为两个要求和多个小点:3、保护存储的持卡人数据4、加密持卡人数据在开放式网络中的传输可以看到第二个区域讲的保护持卡人数据主要是从持卡人数据的存储和传输..