记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

想用好云?先看看这10条安全建议

公司企业必须进化自身安全实践,方可跟上不断变化的技术和相关安全威胁的发展。如果停滞不前,数据泄露的损失有可能是毁灭性的。波耐蒙研究所《2016数据泄露损失研究》报告指出,每起数据泄露的总损失是400万美元,每一条包含有敏感或个人身份识别信息(PII)的被盗记录带来的损失是158美元。想象一下,数百万条记录失窃时,是多么令人崩溃。这些损失便是公司企业必须选择最佳安全实践的原因,通常,这种实践指的是云的利用。下列十条安全建议,可供公司企业使用基于云的技术时优先考虑。1. 为敏感文件列个清单连自己有些什么都不知道,何谈找出缺失了哪些东西?保证文件的安全,意味着要做好标记:哪些信息存储在哪儿,存储方式是什么,访问方式有哪些等等。2. 最小化非必要数据存储存储非必要信息的唯一用处,就是给网络小偷更多的东西可偷。只需要存储
发布时间:2016-08-01 16:30 | 阅读:74903 | 评论:0 | 标签:术有专攻 加密协议 多因子认证 安全实践

从数据流的走向看云安全

从数据流的走向看云安全广州分公司 魏俊关键词: 云计算 云平台 数据流摘要: 以往大家更多是从云计算技术、云计算模型体系架构等方面来对云安全进行研究和探讨,本文将从另外一个角度——从数据流的走向来探讨一下云计算,尤其是云计算平台下的安全问题。一. 云平台下数据流向的大致分类从云平台数据流的方向来看,大致可分为以下几类:图1 云平台下数据流的大致分类外部访问虚拟机外部用户访问虚拟机上承载的业务,流量由互联网进入——核心——接入——物理机网卡——虚拟机。虚拟机访问外部由虚拟机访问互联网,流量方向与上一种情况刚好相反,虚拟机——物理机网卡——接入——核心——互联网。跨物理机的虚拟机之间访问VM 1——物理机1网卡——接入交换机1——核心交换机(可有可无)——接入交换机2——物理机2网卡——VM 3。同一物理机上的各虚
发布时间:2015-06-23 16:40 | 阅读:115660 | 评论:0 | 标签:未分类 云安全 云安全技术 云安全监控 云安全解决方案

如何安全的迁移和维护云服务

    越来越多的时候,CIO(Chief Information Officer) 和CSO(Chief Security Officer)们被赋予负责企业核心业务向云上迁移的任务,最起码这些问题是安全从业人员的头痛和挑战,如何快速形成一套可遵循的安全规范是一个挑战。出现的另一个问题是,虽然大多数企业已经在使用了网络的安全规范,但这些规范都是传统第三方安全厂商对于传统安全所制定的,往往有一些不是真正适合云服务的。    但是云维护和传统的第三方解决方案不同,如卖方负责的云中的安全控制,通常情况下,安全专家只需要负责管理和维护关键的安全控制。举个例子,一家企业作为一套PaaS(平台即服务) 的云服务提供商,该企业一般会负责应用程序本身的
发布时间:2013-12-10 03:30 | 阅读:70278 | 评论:0 | 标签:其他 cloudsecurity 云安全

SAE云服务安全沙箱绕过

By kxlzx http://www.inbreak.net 微博:http://t.qq.com/javasecurityps:此漏洞,新浪已修复。摘要新浪有云服务(SAE),提供PHP、JAVA等环境,供用户搭建网站,用户都在同一个云上,为了防止恶意用户在云上面DDOS,旁注黑掉其他云用户什么的,所以必须做安全限制,至少不允许用户调用某些关键函数。java对这种需求,有完美解决方案的,提供安全沙盒,有了安全沙盒,就限制了很多函数。但是java也有出漏洞的时候,今年新出了漏洞CVE20120507,绕过安全JAVA沙箱,新闻上讲,这个漏洞被用来黑苹果电脑。这个漏洞相关的技术,老外有分析文,国内也有分析文,虽然作者还是抱有疑问,但是并没有深究,所以原理方面的东西,就不献丑了。本文的目的,是把这个漏洞换个场景利
发布时间:2013-01-09 03:30 | 阅读:95107 | 评论:0 | 标签:Java Security WEB SECURITY 原创文章 java sae sandbox security

SAE云服务安全沙箱绕过2(利用crackClassLoader)

by 空虚浪子心 http://www.inbreak.net 微博:http://t.qq.com/javasecurity摘要绕过安全沙盒技术,并非只有使用java漏洞才能做。在作者的文章《SAE云服务安全沙箱绕过》(http://www.inbreak.net/archives/389)中提到了一种使用java沙盒漏洞,绕过沙盒的例子。事实上,bypass了SAE沙盒后,作者把目标已经换成了GAE,但是这是很郁闷的,google跟一块铁板似的,作者想了很多办法,都没有搞定它。然而回头一看,作者使用的部分技术,完全是可以再次bypass新浪sae的,处于这种心态,作者这次利用sae开发人员的沙盒设置失误,又一次bypass了sae沙盒。(此漏洞新浪已修补)正文查看沙盒环境来到一个沙盒,首先要看看环境,我们放
发布时间:2013-01-09 03:30 | 阅读:102172 | 评论:0 | 标签:Java Security WEB SECURITY 原创文章 java sae sandbox security

SAE云服务安全沙箱绕过3(绕过命令执行防御)

by 空虚浪子心 http://www.inbreak.net 微博:http://t.qq.com/javasecurity摘要谢各位捧场,经过努力,作者已经打到了第三关,这一关叫做“命令执行关”。也不知道是因为作者描述不清楚,还是SAE的理解出现偏差,我们没有直接沟通过,只是作者写篇文章,先交给那边“审核”,“审核”通过后,才发布了,所有的交流,都仅限于文章本身。这种沟通的障碍,是此次绕过安全防御的起始。在作者的第二关:《SAE云服务安全沙箱绕过2(利用crackClassLoader)》(http://www.inbreak.net/archives/411)一文中,提到利用crackClassLoader,绕过java安全沙箱的例子,文末作者以一个命令的成功执行结尾,并且使用cat命令,打出了其他云用户
发布时间:2013-01-09 03:30 | 阅读:125024 | 评论:0 | 标签:Java Security WEB SECURITY 原创文章 java sae sandbox security

SAE云服务安全沙箱绕过4(绕过文件权限防御)

by 空虚浪子心 http://www.inbreak.net 微博:http://t.qq.com/javasecurity摘要谢各位捧场,已经打到第四关了。经过几次交流,发现SAE的童鞋对安全很重视,而且持“欢迎来搞”的态度,对这样的态度,给予肯定,有了这样的态度,作者才有了继续下去的欲望,我们都相信SAE最终会变得越来越安全。正文前文《SAE云服务安全沙箱绕过3(绕过命令执行防御)》(http://www.inbreak.net/archives/426),作者利用了SAE仅仅限制EXEC命令,没有限制其他函数的漏洞,打破了整个沙盒的防御,最后给出的建议中,作者也提到了对沙盒的防御方式。SAE接受了常规的沙盒安全方案,不再局限于限制某个函数等策略。现在到处都是限制,这对于作者来说真是艰难困苦的开始,感觉S
发布时间:2013-01-09 03:30 | 阅读:146313 | 评论:0 | 标签:Java Security WEB SECURITY 原创文章 java sae sandbox security

SAE云服务安全沙箱绕过5(强制修改class私有权限)

By 空虚浪子心 http://www.inbreak.net摘要作者在文章《SAE云服务安全沙箱绕过4(绕过文件权限防御)》http://www.inbreak.net/archives/436 提到过一个重要的类,是用来SAE做安全认证的,它叫做“com.sina.sae.security.SaeSecurityManager”,这个类提供几个验证方法,本次BY PASS,作者又把目标放在这个类上。正文上一篇文章已经提到,如果想这个类作为沙盒安全认证的基础类,就必须继承java.lang.SecurityManager,并且当前运行环境中,可以查到当前的SecurityManager对象,以及具体的类名等。可以执行 System 类的静态方法 getSecurityManager( ),如果在运行 Java
发布时间:2013-01-09 03:30 | 阅读:140416 | 评论:0 | 标签:Java Security WEB SECURITY 原创文章 心情日记 java sae sandbox.securi

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云