被wps害了的一天(转)
Lesson Learn 同一个文件,excel打开15行, wps打开14行。我们不知道对方是用wps打开的。 得知数据出现问题,整个部门如临大敌,三个人一起检查,检查完没发现问题,叫上IT一起讨论是不是输出出了问题,忙活了一上午。快中午的时候,对方发了张图片过来,发现对方是用wps打开的文件,尝试换成wps,马上数据出现同样的问题
technology enlight life
Lesson Learn 同一个文件,excel打开15行, wps打开14行。我们不知道对方是用wps打开的。 得知数据出现问题,整个部门如临大敌,三个人一起检查,检查完没发现问题,叫上IT一起讨论是不是输出出了问题,忙活了一上午。快中午的时候,对方发了张图片过来,发现对方是用wps打开的文件,尝试换成wps,马上数据出现同样的问题
超时(timeout) 为防止服务器不能及时响应,大部分发至外部服务器的请求都应该带着 timeout 参数。在默认情况下,除非显式指定了 timeout 值,requests 是不会自动进行超时处理的。如果没有 timeout,你的代码可能会挂起若干分钟甚至更长时间。 连接超时指的是在你的客户端实现到远端机器端口的连接时(对应的是connect()_),Request 会等待的秒数。一个很好的实践方法是把连接超时设为比 3 的倍数略大的一个数值,因为 TCP 数据包重传窗口 (TCP packet retransmission window) 的默认大小是 3。 一旦你的客户端连接到了服务器并且发送了 HTTP 请求,读取超时指的就是客户端等待服务器发送请求的时间。(特定地,它指的是客户端要等待服务器发送字节之间的时间。在 99.9% 的情况下这指的是服务器发送第一个字节之前的时间)。 如果你制订了一个单一的值作为 timeout,如下所示: r = requests.get(‘https://github.com’, timeout=5) 这一 timeout 值将会用作 connect 和 read 二者的 timeout。如果要分别制定,就传入一个元组: r
使用putty登录后,用vim时,鼠标右键不能 粘贴而是进入了visual模式。网上查找一番找到了解决方法: 方 法一:在普通模式下键入“ :set mouse-=a”(不包括引号) 方 法二:编辑 ~/.vimrc 文件,加入如下代码: if has(‘mouse’) set mouse-=a endif 方法一每次打开vim时都需要设置一次。 方法二改了配置文件后,问题就解决了
问题docker容器日志导致主机磁盘空间满了。docker logs -f container_name噼里啪啦一大堆,很占用空间,不用的日志可以清理掉了。 解决方法2.1 找出Docker容器日志在linux上,容器日志一般存放在/var/lib/docker/containers/container_id/下面,查看各个日志文件大小的脚本docker_log_size.sh,内容如下: 2.2 清理Docker容器日志(治标)如果docker容器正在运行,那么使用rm -rf方式删除日志后,通过df -h会发现磁盘空间并没有释放。原因是在Linux或者Unix系统中,通过rm -rf或者文件管理器删除文件,将会从文件系统的目录结构上解除链接(unlink)。如果文件是被打开的(有一个进程正在使用),那么进程将仍然可以读取该文件,磁盘空间也一直被占用。正确姿势是cat /dev/null > *-json.log,当然你也可以通过rm -rf删除后重启docker。接下来,提供一个日志清理脚本clean_docker_log.sh,内容如下: 但是,这样清理之后,随着时间的推移,容器日志会像杂草一样,卷土重来。 2.3 设置Docker容器日志大小(治本)设置一个容器服务的日志大小上限上述方法,日志文件迟早又会涨回来。要从根本上解决问题,需要限制容器服务的日志大小上限。这个通过配置容器docker-compose的max-size选项来实现 重启nginx容器之后,其日志文件的大小就被限制在5GB,再也不用担心了。 全局设置新建/etc/docker/daemon.json,若有就不用新建了。添加log-dirver和log-opts参数,样例如下: max-size=500m,意味着一个容器日志大小上限是500M,max-file=3,意味着一个容器有三个日志,分别是id+.json、id+1.json、id+2.json。 注意:设置的日志大小,只对新建的容器有效。
nmap安装完成后,nmap-service-probes文件(默认路径为:/usr/local/share/nmap)中包含了大量的probe请求以及响应的对应关系。文件中附带标记####NEXT PROBE####的部分,既为nmap中预先构造好的banner识别请求。 在扫描中附加–version-trace –version-all选项,可以看到nmap主动发送这些请求。 但nmap中内置指纹库不可能那么齐全,因此即便对于某些常见的HTTP服务,邮件服务等,都会存在误报或者无法识别的情况。 对于这种情况,需要在nmap-service-probes文件手工添加match记录,并添加自定义的服务描述,让nmap具备对未知指纹的识别,以及后续扫描脚本的执行功能。对于上图的143端口,已知其是imap服务,并返回可用于识别的字符串OK Hermes (ver-1.0.0-2018-01-25) Thu,22 Feb 2018 11:05:56 +0800 .. 因此只需要将可识别的字符串,通用化成正则表达式加入nmap-service-probes文件中,即可。因为imap服务在不需要payload的情况下,便会返回该字符串,因此将用于匹配该指纹的规则记录match imap m|^\* OK Hermes| p/Hermes imap/ 添加到nmap-service-probes文件中的Probe TCP NULL项目下即可。 这样原先不可被识别的imap服务,现在已经变成可识别的了,同时扫描时间大大缩短。
文章来自:http://www.360doc.com/content/12/0711/19/1106320_223643468.shtml 和 http://www.cnblogs.com/imsoft/p/5944146.html 和http://blog.csdn.net/guyue35/article/details/50464495 nslookup -q=txt domain dns 一、DNS记录类型介绍 1、DNS:完成主机名(域名)到IP的映射 2、A记录:用来指定主机(或域名)对应的IP地址记录。 3、NS记录:域名服务器记录,用来指定该域名由那个DNS服务器来解析。 4、CNAME记录:别名记录,允许将多个名字映射到同一台计算机。 5、MX记录:邮件交换记录,用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。 6、PTR记录:反向记录。 7、TXT记录:一般指某个主机名或域名的说明。 8、TTL记录:告诉网络路由器包在网络中的时间是否太长而应被丢弃。
子域名探测方法在线接口暴力枚举搜索引擎Certificate Transparency(证书透明)Subject Alternate Name (SAN) – 主题备用名称Public datasets(公开数据集)信息泄露内容解析(HTML,JavaScript,文件)DNS解析区域传送DNS aggregators(DNS聚合器)DNS Cache Snooping(域名缓存侦测)Alterations & permutations(换置 & 排序)DNSSEC(Domain Name System Security Extensions),DNS安全扩展,DNSSEC区域漫步CSP HTTP首部SPF记录虚拟主机爆破ASN发现爬虫 Scraping(抓取)12345678910111213141516171819子域名探测通过收集子域名信息来进行渗透是目前常见的一种手法。子域名信息收集可以通过手工,也可以通过工具,还可以通过普通及漏洞搜索引擎来进行分析。在挖SRC漏洞时,子域名信息的收集至关重要! 为什么要进行子域名探测?子域名探测可以帮我们发现渗透测试中更多的服务,这将增加发现漏洞的可能性 查找一些用户上较少,被人遗忘的子域名,其上运行的应用程序可能会使我们发现关键漏洞 通常,同一组织的不同域名/应用程序中存在相同的漏洞 子域名中的常见资产类型一般包括办公系统,邮箱系统,论坛,商城等,其他管理系统,网站管理后台等较少出现在子域名中 子域名探测方法大全在线接口https://crt.sh/https://censys.io/https://transparencyreport.google.com/https/certificateshttps://dnsdumpster.com/https://hackertarget.com/find-dns-host-records/https://x.threatbook.cn/https://www.virustotal.com/gui/home/searchhttps://phpinfo.me/domain/https://site.ip138.com/baidu.com/domain.htmhttps://www.t1h2ua.cn/tools/http://tool.chinaz.com/subdomain/https://spyse.com/site/not-found?q=domain%3A%22github%22&criteria=cert 暴力枚举Layer子域名爆破机 Layer是windows下的一款子域名探测工具,其工作原理是利用子域名字典进行爆破,使用简单容易上手。 Amass 工具描述:爆破, google, VirusTotal, alt namesgo get -u github.com/OWASP/Amass/…amass -d target.com -o
Nameko是Python下的一个微服务框架,小巧简洁,通过RabbitMq消息组件来实现RPC服务 Github:NameKo 一、准备工作 1.RabbitMq 使用docker安装 docker 管理页面为 localhost:15672,默认用户名密码 guest、 guest。 2.Nameko安装,直接使用pip3 install nameko安装即可 二、测试代码 1、服务端 service 使用@rpc 装饰器定义RPC服务 2、配置文件 config.yml 运行服务 nameko run –config config.yml service1 3、客户端 使用 4、上面使用cProfile测试性能 1次调用RPC开销在76毫秒 5、封装成http 6、使用wrt测试,mac使用brew install wrt 安装即可 1个线程,持续20秒100个连接 响应时间和直接RPC请求差不多 QPS并发量1344/sec,只能说一般般吧
美国智库发表防止攻击性网络能力扩散研究报告,重新诠释了网络能力扩散的描述,以更符合整个网络行动的生命周期,并提出了攻击性网络能力的五个支柱。 编者按 美国智库大西洋理事会发布题为《攻击性网络能力扩散启蒙》的研究报告,重新诠释了攻击网络能力扩散的内涵,包括提供和开发攻击性网络能力的两大空间以及构成攻击性网络能力链条的五大支柱。 报告称,攻击性网络能力扩散导致网络空间的不稳定性日益增长,相关因素进一步将该问题扩展到了地缘政治程度。解决该问题的关键是建立关于攻击性网络能力的建设、销售和使用的框架,从而制定技术上可行的防扩散政策,提高目标打击的精确性,而又不会损害网络安全行业的宝贵要素。 报告提出,政府、犯罪集团、业界和“访问即服务”提供商在自我监管或半监管市场内开展活动,以扩散攻击性网络能力。两大空间都提供了对诸如恶意软件、支持性基础架构和漏洞之类技术的接触渠道,但是其成熟度、创新能力和产品质量有所不同。其中,自我监管空间通常通过地下互联网市场自主运作,包括可以自由访问的“自由市场”、以信任机制为基础的“引入市场”以及高技能网络犯罪分子经常光顾的“隔离市场”;半监管空间中的经营者通常公开活动,受到其经营所在国家的管辖,具体包括从具有成熟网络能力并能够自主开展攻击性网络行动的国家以及能够提供高性能网络工具的私人公司。 报告提出了攻击性网络能力的五大支柱:一是漏洞研究和利用开发,包括发现漏洞本身的研究,以及促进被发现漏洞和编写漏洞扩散的披露计划和研究机构;二是恶意软件有效载荷生成,包括攻击者用于开展攻击性网络行动所编写或使用的任何恶意软件或恶意软件工具,或鼓励或开展恶意软件交换的任何平台;三是技术性命令和控制,包括提供旨在支持攻击性网络能力运作方面的技术,例如防弹主机、域名注册、服务器端命令和控制软件、虚拟专用网(VPN)服务或涉及攻击性网络行动初始创建的交付账户;四是运营管理,包括行动管理、资源和团队的战略组织、最初目标决策以及有效管理开展网络行动的机构所需的其他职能;五是培训和支持,包括提供有关攻击网络行动流程的任何培训计划或教育,从而扩大训练有素专业人员的数量,并在他们之间建立了联系,以促进攻击性网络能力的发展。 奇安网情局编译有关情况,供读者参考。 执行摘要 攻击性网络能力涵盖了从复杂长期的物理基础设施中断到用于针对人权记者的恶意软件的全范围。随着这些能力以其日益增加的复杂性和新型行为体而持续扩散,减缓和抵制其扩散的必要性只会增强。但是,面对这种日益增长的威胁,从业者和决策者必须了解其背后的流程和动机。网络能力扩散问题通常是作为尝试对入侵软件进行出口控制而提出来的,单一强调了恶意软件组件。本文重新诠释了网络能力扩散的描述,以更符合整个网络行动的生命周期,并提出了攻击性网络能力的五个支柱:漏洞研究和利用开发;恶意软件有效载荷生成;技术性命令和控制;运营管理;培训和支持。本文描述了政府、犯罪集团、业界和“访问即服务”(AaaS)提供商如何在自我监管或半监管市场内开展活动,以扩散攻击性网络能力,并表明上述五个支柱为政策制定者提供了更精细的框架,可在此框架内制定技术上可行的防扩散政策,而又不会损害网络安全行业的宝贵要素。 一、 介绍 攻击性网络能力(OCC)的扩散经常被与核扩散和储存进行比较。核武器和网络武器是两个截然不同的威胁,特别是在其监管成熟度方面,但许多双边和多边条约已在两者之内得到建立,然后被归避、加入、扩展和放弃,像跳舞中的舞步一样。由于攻击性网络能力难以捉摸的性质以及对其衡量的难度,该领域中的法规和政策方面尤其困难,特别是在缺乏明确的框架来定义它们并将其映射到国际均衡的更广阔形势的情况下。攻击性网络能力目前尚不具备灾难性,但却是悄然而持久性有害的。进入该区域的障碍更多类似于平缓斜坡而非陡峭山崖,并且该坡度只会逐渐变平。随着国家和非国家行为体获得更多和更好的攻击性网络能力,以及使用它们的领域内诱因,网络空间的不稳定性日益增长。此外,源于攻击性网络能力部署的动能效果、无形民兵组织攻击溯源流程的困难、成熟防扩散机制的缺乏将该问题扩展到了地缘政治规模。 在网络空间中建立防扩散机制已经让决策者困惑十多年之久。随着国家支持的网络行为体的数量伴随网络攻击的严重性而不断增加,这个问题变得更加紧迫。 欧盟在这个议题上所焕发出的新活力以及美国政治新当权者的到来为在更完整背景下提供辩论和更准确地确定参与者利益带来了机会。这项工作的重中之重是作为扩散问题框定攻击性网络能力的建设、销售和使用。政策工作应设法减少这些能力的使用,并影响参与扩散进程的当事方的动机,而不是徒劳地寻求完全阻止扩散。 二、进攻性网络能力:看到整个链条 攻击性网络能力防扩散失败的原因是对网络能力的生成和传播方式了解甚少。当代的大多数政策努力,包括瓦森纳协定,都是冷战时期不扩散战略在网络空间中的贫瘠移植。作为现有抵制扩散工具包的一部分,这些努力将攻击性网络能力视为工具,并努力通过出口管制规则来阻止其销售;这种方法广受批评。瓦森纳协定占了其中一部分,不是控制恶意软件(被称为“入侵软件”)本身,而是专为命令和控制而设计的软件。 但是,攻击性网络能力不仅仅包括恶意软件及其命令和控制。“震网”是归因于以色列和美国的恶意软件,这是一种不依赖命令和控制网络的蠕虫。该恶意软件被设计用于攻击用于控制机械和工业流程的硬件(SCADA系统),包括用于获取核材料的离心机,并通过造成受控故障来破坏它们,最终延缓了伊朗的核计划。该恶意软件不仅针对伊朗纳坦兹核基地的特定硬件量身定制,而且还使用了五个零日漏洞,由恶意软件开发人员定期更新,并且可能需要以色列和美国情报部门之间的大力协作才能部署。“奥运会行动”(Operation Olympic Games)中的“震网”恶意软件传递机制、测试流程和部署是多种攻击性网络能力的最终产物,远远超出了命令和控制范围。因此,要准确地构建攻击性网络能力,至关重要的是能够区分和分离不同的攻击能力——将攻击性网络能力理解为由商品、技能和活动组成的链条,不再只强调恶意软件组件,而是转向网络行动的生命周期。 本文介绍了攻击性网络能力的五个支柱,以此来表征攻击性网络能力的技术和运营基础。这五个支柱分别为漏洞研究和利用开发、恶意软件有效载荷开发、技术性命令和控制、运营管理以及培训和支持。表1概述了这些支柱。接下来的部分将提供这些交易发生市场的更详细图景,并描述攻击性网络能力链条的五个支柱。 表1:攻击性网络能力扩散的五个支柱 三、攻击性网络能力扩散的半监管和自我监管市场 攻击性网络能力的提供者和开发者可以大致分别列入自我监管和半监管的空间。两个空间都提供对诸如恶意软件、支持性基础架构和漏洞之类技术的接触渠道,但是它们的成熟度、创新能力和产品质量有所不同。自我监管空间自主运作,通常通过监管交易和执行合同规则的地下互联网市场。在最知名的网站中,0day.today在clearweb上运行,并被标记为专门针对漏洞利用和零日漏洞(尽管质量可疑)的市场,而地下的exploit.in和dark0de作为管理良好的论坛为其成员提供了一个可信赖的环境,以促进各种产品的交易。相比之下,半监管空间中的经营者通常公开活动,受到其经营所在国家的管辖;其中,臭名昭著的以色列公司NSO Group在其网站上表示,它为“授权政府提供帮助他们打击恐怖和犯罪的技术”。两个空间都包含能力、界别和资源各异的参与者,以发展和开展自身业务。例如,0day.today提供了一个宽松的环境,几乎无法保证其中的漏洞利用是有效且无法检测的;相比之下,主要在俄罗斯地下空间中运作的更强力(自我)监管市场,例如exploit.in,提供了更强的监管机制,旨在提高所交易产品的平均质量。服务在提供能力方面也有很大差异。其范围包括从提供单个组件到独立开发和开展整个攻击性网络行动。 自我监管和半监管空间中存在的行为体可以进一步划分为政府、犯罪和实现访问即服务(AaaS)的私人行为体,即有效地向客户销售计算机网络入侵服务的雇用黑客行为体。取决于发起国和攻击性质,单个网络行动可以由跨多个类别(例如,政府和承包商业,政府和犯罪,商业和犯罪)的个人组成。 在自我监管的犯罪空间,各种各样的地下市场激增,从可以被任何(希望成为)攻击者很容易和自由访问的自由市场,到通过受市场信任成员的邀请来启用某些访问监管机制的引入市场,再到高技能网络犯罪分子经常光顾的隔离市场。这种进展不仅反映了更受控制的环境,还反映了对更成熟和创新的攻击能力(例如,以新漏洞、恶意软件或命令和控制基础架构的形式)的接触渠道。 同样,在半监管空间中,运营者的攻击能力也各不相同:从具有充裕而成熟的网络能力并能够发展自身攻击且在各级别上自主开展攻击性网络行动的国家,到提供具有与犯罪分子可能滥用网络工具功能相同的合法版本网络工具的私人公司。其中,AaaS机构也在半监管的空间中运作,但与所有其他形式的扩散不同,它们提供了只有经过认证的行为体(例如,拥有大量资源但内部技能很少或不足的政府机构)才能商业获取的全面攻击性服务。基于提供服务以及同时开展研发、培训人员和扩大业务的频度能力所能获得的价格或资金,这些行为体为政府提供并发展了先进攻击能力。 众所周知,AaaS团体可以为需要既定能力但又无法有机地生产它们的政府提供支持。以色列NSO Group是此类服务中最著名的供应商之一,其为45个国家的行动提供了服务。在区分政府和私人行为体能力方面的主要差异来自后者的商业模式的存在,而商业模式最终需要保持盈利才能运作,这对于开发先进网络能力的国家来说不一定是同样强力的约束。尽管政府出于战略原因可能会开发攻击性网络能力,但AaaS私人团体必须实现经济可持续性才能继续运营。但是,访问即服务公司以私营部门的速度提供了政府级别的能力。 攻击性网络能力链条包括以下五个活动支柱。这些支柱植根于有关网络行动和能力的现有文献和模型,以及“野外”观察到的网络行动的公共报告。下一部分将说明扩大这些能力的犯罪、政府、行业和AaaS机构之间的差异。表2列出了这些呈现纬度的总体鸟瞰图。总体而言,随着从地下市场转向私人和政府机构,进攻能力有了明显的发展;另一方面,出现了一些相似之处。接下来,我们将提供自我监管和半监管空间中行为体发展的跨定义支柱特定能力。 表2 注:单元格显示给定行为体的特定支柱能力。 带破折号的空白单元格表示该特定维度没有功能; ◯表示行为体仅在该维度上具有基本能力,例如通过操作自动化框架获得的能力; ◐表示行为体可以在该维度上重新利用和修改现有技术,例如混淆已知的恶意软件/利用代码; ⬤表示行为体可以在该维度上生成新方法或活动,例如零日漏洞利用。 (*)为对具有成熟网络能力政府的评估。AaaS代表“访问即服务”。 四、进攻性网络能力扩散的五大支柱 支柱一:漏洞研究与利用开发 攻击者通常在多阶段行动的背景下发现漏洞并编写利用程序,以获得对目标程序或设备的立足点或访问权。该支柱包括发现漏洞本身的研究,以及促进被发现漏洞和编写漏洞扩散的披露计划和研究机构。
不断变化的威胁形势、监管要求、技术环境会对公司的风险概况产生巨大影响,静态的安全评级得分无法反映这些变化。 不断变化的威胁形势、监管要求、技术环境会对公司的风险概况产生巨大影响,静态的安全评级得分无法反映这些变化。 安全评级服务已成为公司评估自身以及合作伙伴网络安全状况的一种流行方式。它们不仅对于建立数据能力基线很有帮助,还经常在其他场合被用到。例如,它们在董事会中充当描述公司网络风险状况的”吸睛点”,被供应链伙伴用来管理第三方风险,甚至更可怕的是,被保险公司用来为网络保险单生成风险概况。 不幸的是,公司按照这种方式使用这些评级,就像仅仅看着室外温度就说”今天会是个好天气”一样——这是一种不完整的评估,通常会犯下严重的错误。说到底,你公司的”A-“或”B-“评级到底意味着什么?它是否真正反映了公司的安全性?通常情况下答案是否定的。所以说,使用这些评分的网络保险公司依赖的其实是对目标公司风险的不准确评估。 接下来我们深入研究这个问题,以下是网络保险公司应当重新考虑是否使用安全评级的三个原因。 1. 评级是对某个时间点的评价 安全等级评估在特定的时间点进行——这就意味着无法洞察未来可能发生的事情,甚至可能都无法准确反映那个时间点。举一个简单的例子,也许在进行安全等级评估时,这家公司的供应链公司中已在不知情的情况下被攻破。 2. 评级没有考虑到不断变化的威胁形势 联邦调查局报告说,2020年由于新冠疫情,勒索软件攻击比前一年猛增400%,赎金金额从数千美元上升到数百万美元。没有人能够预料到这种局面。威胁环境中类似这样的微小变化就彻底颠覆了所有公司的风险计算公式。这是风险暴露重要组成部分,任何公司都必须加以考虑,但安全评级却没有做到。 3. 评级不是一种正确的基准值 网络安全威胁是动态变化的,并且应对风险的策略也因行业而异,这使得保险公司很难计算特定的公司风险概况。例如,汽车保险业可以利用数亿司机数十年的数据来为每个人建立风险档案。他们清楚,假设客户年龄在16-19岁之间,发生特定数量事故的概率是有据可查的,保费也反映了这一点。但在网络保险行业中没有类似的基准,所以安全评级成为了一个诱人的替代品,因为它们易于使用,并且安全分数”一目了然”。 那么,网络保险公司如何做才能更准确地计算风险呢?既然没有灵丹妙药,保险公司就需要在这一点上花费更多的时间和金钱来开发出更准确的风险概况,只有这样才能提供既对他们有利、也对客户有用的保单。 这个过程同时需要人工和自动化的风险评估。风险的计算必须针对特定的公司、其行业和合作伙伴、当前的网络威胁情况,以及威胁者可能利用的其他外部因素(如全球疫情爆发)来定制。只有这样,网络保险公司才能很好地进行风险评估,将网络保险打造成为一个值得信赖的成功行业。
Recent Comments