• hello
    2020-01-08
    老师:您好!请教您两个问题?烦请解惑?
    问题1:内网服务器能访问互联网而且没有采用白名单的限制会存在什么样的漏洞?如果通过白名单限制,那服务器需要访问外网拉个镜像呀,某些软件升个级呀,这种情况下有什么好的可借鉴的处理方案没?
    问题2:对存储数据(如:MySQL的数据)的加密有什么好的借鉴方案没?如部分字段数据加密?部分表数据加密?或是全库数据加密?同时给存储数据加密时,密钥该如何存储?我目前处理方案只支持指定的部分字段数据加密存储,同时数据加解密的密钥是密文存储在数据库中随应用服务启动解密放至在内存中给数据加解密用,但总觉得这种数据存储方式不灵活,而且密码明文长期放至内存中也不安全?老师是否有什么好的可借鉴的处理方案?谢谢!
    展开

    作者回复: 1、没限制的话,黑客控制服务器之后,可以轻易地将数据发出去,也可以从外网下载一些木马或者病毒来实现权限提升和持久化。。。有的公司会做成权限形式,服务器想访问某个外网地址,需要走提案申请。
    2、需要明确目的是什么。一般说数据库加密,其实是硬盘加密,即防止硬盘丢失后导致数据泄露。如果只是字段加密,比如手机号等,防止开发看到这些数据,则可以做一个统一的加密服务中心,来对加解密做统一的管理。

    
     1
  • 胖胖虎
    2020-01-28
    老师,我想问一下,为什么通过访问mysql的3306端口能知道内网的网络结构?

    作者回复: 前提是,黑客基于SSRF,能够控制一台内网服务器,发送任意HTTP请求。而黑客的下一步可能是摸清楚内网都有哪些服务器,服务器上分别有哪些服务。那么,他就可以向任意内网地址的3306端口发起HTTP请求,如果端口是开放的话,HTTP请求会返回错误信息或者left intact。如果端口关闭,就会直接Connection refused。根据这个差异,就可以判断3306是否开启。

    
    
  • 小老鼠
    2020-01-08
    案例太少,知识不能落地
    
    
  • Ymlluo
    2020-01-07
    网络劫持,dns劫持这些会在后续章节讲么?

    作者回复: 在网络安全中会涉及一部分。

    
    
我们在线,来聊聊吧