Pytania otagowane jako security

Bezpieczeństwo to nie produkt, ale proces.

4
Czy maszyna wirtualna (VM) może „zhakować” inną maszynę wirtualną działającą na tej samej maszynie fizycznej?
Pytania: jeśli maszyna wirtualna jest uszkodzona (zhakowana), jakie mam ryzyko na innych maszynach wirtualnych działających na tej samej maszynie fizycznej? Jakie są problemy bezpieczeństwa między maszynami wirtualnymi działającymi na tym samym hoście fizycznym? Czy istnieje (czy można zrobić) listę tych (potencjalnych) słabości i / lub problemów? Ostrzeżenie: Wiem, że istnieje …
2
Dlaczego chroot jest uważany za niepewny?
Bawię się pudełkiem CentOS od kilku lat. Więc jestem całkiem zadowolony z terminalu. Jednak czytałem wiele postów na blogu, twierdząc, że chroot jest niepewny, a liczba tych postów przeraża. Czy to naprawdę tak jest? Dlaczego? Używam chroot do blokowania użytkowników korzystających wyłącznie z SFTP w określonym kontekście, bez żadnej powłoki …
3
Jakie są idealne uprawnienia uniksowe dla zwykłych katalogów projektów WWW?
Jakie są idealne minimalne uprawnienia w formacie ósemkowym dla następujących w napisanej aplikacji internetowej? Katalog, w którym będą znajdować się przesłane przez użytkownika pliki statyczne (pliki images / swf / js) Katalog, w którym rezydują przesłane przez administratora pliki statyczne (pliki images / swf / js) Katalog, w którym znajdują …
3
Czy istnieje niebezpieczeństwo wirtualizacji routera?
Przeczytałem na kilku forach o pfSense, które mówią, że wirtualizacja pfSense jest niebezpieczna. Stwierdzono, że atakujący mógł użyć pfsense jako odskoczni do ataku na hiperwizora, a następnie użyć go, aby uzyskać dostęp do innych maszyn wirtualnych i ostatecznie wszystko wyłączyć. Brzmi dla mnie szalenie, ale czy w tym pomyśle jest …
3
Zarządzanie danymi uwierzytelniającymi serwera w systemach Linux i Windows
Jesteśmy stosunkowo małym sklepem (pod względem liczby sysadminów) z mieszanką serwerów RHEL, Solaris, Windows 2003 i Windows 2008; w sumie około 200 serwerów. W przypadku naszych kont administratora ( rootw systemie Linux i admnistratorWindows) mamy schemat haseł, który zależy od lokalizacji centrum danych i kilku innych udokumentowanych właściwości serwera. W …
2
Jak izolować zgodność z PCI
Obecnie przetwarzamy, ale nie przechowujemy danych karty kredytowej. Autoryzujemy karty za pośrednictwem samodzielnie opracowanej aplikacji przy użyciu interfejsu API authorize.net. Jeśli to możliwe, chcielibyśmy ograniczyć wszystkie wymagania PCI, które wpływają na nasze serwery (takie jak instalacja antywirusa), do oddzielnego, oddzielnego środowiska. Czy można to zrobić, zachowując zgodność? Jeśli tak, co …
12 security  pci-dss 
3
Zwracanie „200 OK” w Apache dla żądań OPTIONS HTTP
Próbuję wdrożyć kontrolę dostępu HTTP między domenami bez dotykania żadnego kodu. Mój serwer Apache (2) zwraca prawidłowe nagłówki kontroli dostępu z tym blokiem: Header set Access-Control-Allow-Origin "*" Header set Access-Control-Allow-Methods "POST, GET, OPTIONS" Teraz muszę uniemożliwić Apache wykonanie mojego kodu, gdy przeglądarka wysyła HTTP OPTIONSżądanie (jest przechowywane w REQUEST_METHODzmiennej środowiskowej), …
8
czy to próba włamania?
Przeglądając moje dzienniki 404 zauważyłem dwa następujące adresy URL, które wystąpiły raz: /library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ i /library.php=../../../../../../../../../../../../../../../../../../../../../../../../proc/self/environ%00 Ta strona library.phpwymaga typezmiennej o pół tuzinie różnych dopuszczalnych wartości, a następnie idzmiennej. Może to być prawidłowy adres URL library.php?type=Circle-K&id=Strange-Things-Are-Afoot a wszystkie identyfikatory są uruchamiane mysql_real_escape_stringprzed użyciem do zapytania do bazy danych. Jestem debiutantem, ale …
12 security  mysql  php  hacking 
3
Kontrola dostępu: Windows vs Linux
Czytam mit 6.893 wykłady , na których jest napisane ochrona w Uniksie jest bałagan, nie zasada leżąca u , a także zwraca uwagę, że Windows ma lepszej alternatywy, które mogą przekazać uprawnienia z jednego procesu do drugiego przez IPC . Moim zdaniem, chociaż wydaje się, że użytkownicy systemu Windows są …
6
Jak wybrać usługę w chmurze dla kopii zapasowych
Zastanawiam się nad użyciem usługi w chmurze do utworzenia kopii zapasowej jednej z witryn mojego klienta. Główne obawy moich (klientów) to (w malejącej kolejności ważności) Ochrona IP (tajemnice handlowe, kod źródłowy), dane konta użytkownika itp Gwarancja bezawaryjności oferowana przez usługodawcę (w celu zminimalizowania przestojów serwera) Koszt Prędkości wysyłania / pobierania …
3
Czy prywatne adresy IP Amazon EC2 są dostępne z dowolnej instancji uruchomionej w EC2?
Po przeszukaniu poprzednich pytań tutaj ogólny konsensus wydaje się być taki, że do instancji, której jestem właścicielem, przypisano prywatny adres IP 10.208.34.55, że tylko INNE INSTANCJE, które posiadam, mogą do niego dotrzeć pod tym adresem. Widzieć: Jak szyfrować ruch między dwoma instancjami Amazon EC2? Czy to jest poprawne? Więc mogę …
5
Przegląd reguł zapory
Muszę przejrzeć reguły zapory ogniowej CheckPoint dla klienta (z ponad 200 regułami). W przeszłości korzystałem z FWDoc, aby wyodrębnić reguły i przekonwertować je na inne formaty, ale wystąpiły błędy z wykluczeniami. Następnie analizuję je ręcznie, aby utworzyć ulepszoną wersję reguł (zwykle w OOo Calc) z komentarzami. Wiem, że istnieje kilka …
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.