标题
时间
操作
评论文章:开源SSH双因素登陆认证系统JXOTP了解一下(续)

"缺点在于攻击者只要攻破一个邮箱密码",首先这玩意不是邮箱密码,这个是OTP的密钥,现在银行啥的动态口令都是基于标准RFC协议改的,觉得能攻破请随意. 至于"二维码一次有效,后续扫描都是无效的",小程序在扫描到后发个请求到后端服务器做个注销就行,不过这功能属于可选,话句话说以OTP密钥的复杂度这玩意挺鸡肋的,需要的自行二次开发就行,也没啥技术含量.最后,不欢迎打低质广告谢谢,如果能怼到点子上的随意.

2018-10-17 17:55:04
评论文章:开源SSH双因素登陆认证系统JXOTP了解下

@ tuhao  公私钥认证看着很美好,但是实践上不实际,私钥的管理就是个坑,你要是电脑故障了,找谁去,传云上就跟密码记小纸条一样,更加不安全,用硬件的话,这么牛逼的还没见过,所以脱离易用性谈安全性都不实际,只能尽量取个平衡。"特别是云主机自定义镜像开机自带iptables,基本解决ssh被爆破的问题",这个不是很理解意思。。。默认情况下iptables都会开启的,但是你22端口怎么也得开不是,我对这段话的理解是,你是想通过判断错误次数来封IP?但这本身跟开不开启iptables没关系。"别说ssh的otp认证,即便是ldap认证,对系统改造起来也很多阻力。。",ldap跟otp是两个概念,ldap只能方便服务器统一账号管理,跟二次验证没啥关系,当然在ldap上做二次验证方案也是可以的。"我觉得仅仅是尝试,可能不能成为一种企业级方案。。",这个只是单价版本,企业版本正在开发中,其实搞这个是因为近期面了某云,然后呢发现主机安全这块,ssh暴力破解还真是没完没了,可以算是最大的风险之一,google otp的方案,我在公司上实践推广效果不是很好,所以就打算自己写一个做为补充,毕竟安全这东西,能不能推广下去,还是得看方案产品别的部门乐不乐意接受,强推在我看来是下策。

2018-07-25 17:39:11
2018-07-25 17:20:59
评论文章:甲方安全中心建设:代码审计系统

@ nibiwodong  生成报告是英文,在foritfy的IDE下面才能看到中文

2018-07-09 10:08:43
评论文章:甲方安全中心建设:代码审计系统

我在设计要怎么拖取项目进行扫描的时候,想过要不要直接调取gitlab或者jenkins的接口,但是感觉这样太麻烦了,还不如干脆直接拉取项目。 思路错了,是让jenkins去调你接口 [img]https://image.3001.net/images/20180709/15311015779302.png[/img] if __name__ == '__main__': path = os.path.split(os.environ["WORKSPACE"])[0] + "/" + "jenkins-" + os.environ["JOB_NAME"] + "-" + os.environ[ "BUILD_NUMBER"] + ".zip" old_release = int(os.environ["BUILD_NUMBER"]) - 1 rmpath = os.path.split(os.environ["WORKSPACE"])[0] + "/" + "jenkins-" + os.environ["JOB_NAME"] + "-" + str( old_release) + ".zip" zip_dir(os.environ["WORKSPACE"], path) email = xxx#修改为项目负责人邮件地址 url = "XXX" + email #修改为接口地址 files = {'file': open(path, 'rb')} r = requests.post(url, files=files) print r.status_code if os.path.exists(rmpath): os.remove(rmpath)

2018-07-09 10:04:08
2018-06-19 13:14:54
评论文章:WAF开发之自学习模式开发实战

@ mmp1688  跟数据量关系不大,走的就不是统计学的路子,误报多少就看你参数的配置了

2018-06-19 09:52:54
评论文章:Nginx Lua WAF通用绕过方法

不考虑升级lua-nginx-module版本的话,其实还有两个方案修复 1、在调用相关API前先检查获取的参数数量,其实就跟春哥修复方案一样,区别在于春哥觉得在C写能节省点性能,但是呢实际测试这点性能损耗完全可以忽略 2、直接重写相关的http参数,好处就是,可以避免后续可能出现的类似的绕过方式,可以算是一劳永逸。

2018-05-15 17:34:38
评论文章:基于JXWAF快速搭建钓鱼网站

@ Gzsa♪  教程后续我会写,目前还在开发基础的功能,已经差不多,过段时间我会开始整理文档

2018-04-26 13:16:04
评论文章:基于JXWAF快速搭建钓鱼网站

@ 汪汪队 报表功能还在完善中,截图取自graylog,报表系统对接的也是graylog,后续等完善了会更新文档说明

2018-04-26 13:14:56
css.php