每一次护网行动都会有红蓝队的攻防演练,持续一到两个月不到,所以每次到那个时候我的工作环境会恶劣无比……我得跑完所有的单元测试,覆盖率得到95%以上才能提测,前后联调还要过盾……
1 个赞
买的人不在乎就行啊, Kafka 套皮我都见过 (有军队的企业产品)。
1 个赞
我只是从安全的角度说这个问题,改名没用
1 个赞
我还以为要发干货
1 个赞
前后端分离,暴露模棱两可的接口(接口路径甚至以.html和.css啥的结尾),所有请求啥的不带任何暴露技术栈版本号的头部等信息,接口加密并加上签名校验。服务器只开1个http端口,外面再套一层带waf的cdn(比如大善人)。那攻击成本就高了。
2 个赞
买的人不在乎它是不是套皮,只在乎出了问题有没有人背锅
1 个赞
中小型企业可能不会太关注,但是就事业单位而言挖掘这些单位的漏洞是有赏金的,一有通用漏洞出来基本就会被脚本小子刷一遍,你不修复上级部门会通报你让你修复。
1 个赞
越来越难打了,基本就国、省、直辖市和省会城市还能打一打
1 个赞
可能跟屎山越堆越多有关系,反正最开始我这只需要两周,慢慢的就变成了两个月都不一定能结束。
1 个赞
如何快速get到某一个网站使用的是什么技术、什么框架、服务器版本。
如果整个都没搞到、那接下来无法进行了
记得有一个浏览器的插件可以识别出来、忘记叫什么名字了
1 个赞
是不是包括了前期的检查,国h也就两周啊,两个月也太久了
1 个赞
可能国w的要复杂点吧,不是安全部门不太懂他们的流程。
1 个赞
点进来才发现是个标题党
1 个赞
谁给你说信创不能用的
就是搞利益输送的
真不敢说绝对安全。现在有种黑科技即使不联网设备,只要电脑屏幕打开在一定范围内可以知道你屏幕的内容。所以jun工厂都够在封闭环境。