除非把系统放不连网设备上,要不然真没有相对的安全。
举个简单的例子,比如有个网站,你搜集网站的资料,比如:web服务器版本等,然后再搜索对应版本的漏洞,在找攻击工具。同理可以查找网站用的那个开源框架,开源框架的版本,同样操作可以攻击。再比如系统版本等等这些信息的暴露都存在隐患。
相对中小型企事业单位有多少会跟踪最新暴露的漏洞并修补?
方法简单粗暴,但是切莫尝试,有很多可以溯源的方法。希望大家提高安全意识。
4 个赞
咋感觉听君一席话呢,要不举几个例子吧
开源框架
比如嘞,举个例子说说怎么hack进去咯,或者放个历史上的典型案例也可以的
2 个赞
攻击LinuxDo看看
3 个赞
可以用LineageOS这种镜像,非常精简,减少攻击面。
还有就是需要及时更新系统、安装补丁。
然后还需要关闭所有不用的端口,用尽可能多的安全措施保护。
虽然你查到很多漏洞,但是实际渗透能利用的并不多。
1 个赞
Log4j的神洞,现在在公网估计还能扫描出来不少。影响范围:Apache Log4j 2.x <= 2.15.0-rc1。
3 个赞
啊这
1 个赞
这一点还是 .net 做的好,打开项目的 NuGet,就会显示项目当前使用的依赖有没有漏洞。
1 个赞
国内环境不建议使用 .net,现在体制内都在搞信创。
1 个赞
我是个守法良民
信创是啥
1 个赞
所以网安是个朝阳产业
1 个赞
就是国产化,比如你的项目数据库是mysql那就要替换成国产的
我以为你要说没有绝对的安全,结果你说没有相对的安全。。。
不说别的,上个safeline waf,大部分脚本小子就懵逼了,已经算相对安全了
1 个赞
开源的改个名,然后万年不升级版本。
3 个赞
你们用的资源不升级的吗?我们天天升级,各种修bug,每次都要被迫回归测试,烦死。。。。。
2 个赞
安全手段也越来越多,不容易
1 个赞
运维不给发漏洞就不升级啊, 毕竟不是人和程序有一个能跑就行吗 
1 个赞
改名没用,还有很多其他特征,比如路径,特殊文件名,特殊文件里的特殊字符串,icon等等
1 个赞
中小型和企事业单位放在一起是个挺冲突的词,不否认中小型企业对漏洞的忽视,但是只要上升到企事业单位你就会知道每年有个东西叫做护网行动,或者类似的玩意。甚至可以说有没有举行这个行动能判断是不是企事业单位。
1 个赞