网站开发与制作工资,分类信息发布 wordpress,做网站 源码,无锡做网站公司在哪里文章目录 Actuator再次暴露域名上线基线检查初见效果WAF更新遇波折301跳转推进中 Actuator再次暴露
为了验证挖f的拦截效果#xff0c;自己随手拼了个Actuator#xff0c;结果可以访问到公司的actuator。。 据称是某网关更换新组件后未做防御#xff0c;已要求全部做防御自己随手拼了个Actuator结果可以访问到公司的actuator。。 据称是某网关更换新组件后未做防御已要求全部做防御并交由测试部全域名验证。这个会持续跟进。 目前的问题主要是 1 没有做多层拦截一层因配置失效导致整体防御失效发生 2 测试不完整没有对多域名下进行覆盖测试
域名上线基线检查初见效果
主要发现了一些奇奇怪怪的问题比如扫描到会把一个小端口暴露出去。而这个端口是443端口上的那个内容。排查出因为某种alb调试所以这么做的正在推进开发消灭。
WAF更新遇波折
主要是在迁移某waf到测试环境的时候测试团队很快就有反应了发现了大面积的故障事件。 但又没有直接显示他是由我们WAF403拦截的。 原因是我们设防的服务器是a服务器它跟b服务器进行通信而b服务器又直接跟a服务器进行通信。
因为启用了一条速率控制而测试团队正好户外测试。 引发大量服务器间通讯而服务器并没有在我们的速率白名单里。 解决方案其实是两方面 1 增加白名单最直接 2 增加日志留存时间捕获这种测试团队导致的事件较短的WAF留存会导致难以识别出这种激增的情况
301跳转推进中
之前公司采用js进行http到https的跳转显然这个是有很多问题的。已合规检查公司是无法检测到这种跳转的他就会把这列为一个风险项。 必须要更标准化才行。 所以有继续推进此事通过拉起会议的方式基本现在主责人通过一个项目的方式在推进。 这里面的主要的风险问题是有一些非常老旧的产品只支持http连接这种都需要排查出来。
