防火墙是建立在内外网络边界上的过滤封锁机制，内部网络被认为是安全和可信的，外部网络则被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全性。防火墙的意义在于极大地降低了整体网络安全建设的管理成本，提高了安全性。防火墙出现之前，整个内部网络的安全性完全依赖于每个主机，但是受到木桶原理的影响，安全风险很高，因为我们不可能严格控制每台主机的安全性设置，用户总可以或多或少地进行个性化的定义。 继续阅读 →

本周6以来，川内多家idc发现来历不明的NTP请求，大小为8字节，而服务器的123端口会反馈给伪造的ip 480字节左右的数据，这是一种以小博大的、新型的洪水攻击。会耗尽客户的服务器带宽，导致整个交换网络和都充斥着无用的UDP数据包，请广大站长、服务器运维人员、网络管理员在你们的服务器、路由器、防火墙上面对UDP 123端口做好过滤。 继续阅读 →

1、修改ssh远程默认端口22

假设远程端口要修改为10022，那么修改以下两个配置文件
# vim /etc/ssh/ssh_config
# vim /etc/ssh/sshd_config
找到#Port 22，在下面添加Port 10022
然后重启sshd
# service sshd restart

2、禁止root通过ssh远程登录
# vim /etc/ssh/sshd_config
找到PermitRootLogin，将后面的yes改为no，把前面的注释#取消，这样root就不能远程登录了！
可以用普通账号登录进去，要用到root的时候使用命令su root 切换到root账户

3、限制用户的SSH访问

假设我们只要root，user1和user2用户能通过SSH使用系统，向sshd_config配置文件中添加
# vim /etc/ssh/sshd_config
AllowUsers root user1  user2

4、配置空闲超时退出时间间隔
用户可以通过ssh登录到服务器，你可以设置一个空闲超时时间间隔。
打开sshd_config配置文件,设置为如下。
# vim /etc/ssh/sshd_config
ClientAliveInterval 600
ClientAliveCountMax 0
上面的例子设置的空闲超时时间间隔是600秒，即10分钟，
过了这个时间后，空闲用户将被自动踢出出去（可以理解为退出登录/注销）。

5、限制只有某一个IP才能远程登录服务器
vim /etc/hosts.deny     #在其中加入sshd:ALL
vim /etc/hosts.allow    #在其中进行如下设置：sshd:192.168.1.1     #(只允许192.168.1.1这个IP远程登录服务器)
最后重启ssh服务：/etc/init.d/sshd restart

修改普通用户具有root权限

1）进入超级用户模式。也就是输入”su -”,系统会让你输入超级用户密码，输入密码后就进入了超级用户模式。（当然，你也可以直接用root用）
2）添加文件的写权限。也就是输入命令”chmod u+w /etc/sudoers”。
3）编辑/etc/sudoers文件。也就是输入命令”vim /etc/sudoers”,输入”i”进入编辑模式，找到这一 行：”root ALL=(ALL) ALL”在起下面添加”xxx ALL=(ALL) ALL”(这里的xxx是你的用户名)，然后保存（就是先按一下Esc键，然后输入”:wq”）退出。
4）撤销文件的写权限。也就是输入命令”chmod u-w /etc/sudoers”。

0×00 背景

目前安全测试的软件越来越多，也越来越强大，越来越多的人成为[黑客]，今天在网上看到一个文章说拦截wvs的扫描，勾起了我写这篇文章的欲望。

因为公司的三大业务之一就有一个云waf，每天拦截的日志里面，有将近90%的请求是扫描器发出，waf接收到请求会解析数据包，然后过一遍规则，过完成百上千条规则必定对性能有一定的影响。如果能识别出来是人还是扫描器的请求，就可以在这方面节省很大的资源。

下面的分析介绍只针对web安全扫描器。 继续阅读 →

随着web2.0时代的到来，Web应用也逐渐被人广泛的接受和使用。当然，每个新技术的到来对应着其安全问题也接踵而来。面对Web安全问题，不同于IDS与IPS的新技术，Web应用防火墙也逐渐映入人们的眼中。

Web应用防火墙(Web application firewall，WAF)主要用来保护Web应用免遭跨站脚本和SQL注入等常见攻击。WAF位于Web客户端和Web服务器之间，分析应用程序层的通信，从而发现违反预先定义好安全策略的行为。

尽管某些传统防火墙也能提供一定程度的应用认知功能，但是它不具备WAF的精度和准度。举例来说，WAF可以检测一个应用程序是否按照其规定的方式运行，而且它能让你编写特定的规则来防止特定攻击行为的再次发生。

Web应用防火墙（WAF）也不同于入侵防御系统(IPS)，两者是完全不同的两种技术，后者是基于签名，而前者是从行为来分析，它能够防护用户自己无意中制造的漏洞。

目前Web应用防火墙的主要推动因素之一是支付卡行业数据安全标准(PCI DSS)，该标准主要通过两个办法来验证是否合规：WAF和代码审查。另外一个推动因素是，人们越来越多的认识到攻击已经开始由网络转移到应用程序。根据WhiteHat Security公布的一份研究报告，从2006年1月到2008年12月间对877个网站进行了评估，结果发现82%的网站至少存在一个高危或紧急安全漏洞。

Web应用防火墙的主要特性

Web应用防火墙市场仍然不确定，有很多不同的产品被归类到WAF范畴。研究机构Burton Group的分析师Ramon Krikken表示，“很多产品提供的功能远远超出了我们通常认为防火墙应该具有的功能，这使得产品的评价和比较难以进行。”此外，通过将已有的非WAF产品整合到综合产品中的方式，新厂商开始进入市场。

根据研究和咨询公司Xiom创始人Ofer Shezaf提供的清单，下面列出Web应用防火墙应该具备的特性：

·深入理解HTTP。Web应用防火墙必须全面深入分析和解析HTTP的有效性。

·提供明确的安全模型。明确的安全模型只允许已知流量通过，这就给应用程序提供了外部验证保护。

·应用层规则。由于高昂的维护费用，明确的安全模型应该配合基于签名的系统来运作。不过由于web应用程序是自定义编码，传统的针对已知漏洞的签名是无效的。Web应用防火墙规则应该是通用的，并且能够发现像SQL注入这样的攻击变种。

·基于会话的保护：HTTP的最大弱势之一在于缺乏嵌入式的可靠的会话机制。Web应用防火墙必须实现应用程序会话管理，并保护应用程序免受基于会话的攻击和超时攻击。

·允许细粒度政策管理。例外政策应该只对极少部分的应用程序执行，否则，可能会造成重大安全漏洞。

强悍的PHP一句话后门
我们以一个学习的心态来对待这些PHP后门程序，很多PHP后门代码让我们看到程序员们是多么的用心良苦。
这类后门让网站、服务器管理员很是头疼，经常要换着方法进行各种检测，而很多新出现的编写技术，用普通的检测方法是没法发现并处理的。今天我们细数一些有意思的PHP一句话木马。
继续阅读 →

0×01 工具篇
编辑器(notepad++,editplus,UE等等,看个人习惯)
TommSearch(字符串检索) || grep
HttpProtocolDebugger(http协议调试器)
Fiddler(分析包,改包)
Seay PHP代码审计工具(php-code-audit分析辅助)
几个有趣的项目
dvwa(代码审计测试平台)
phpmvs
php security audit check
PHP Vulnerability Hunter
继续阅读 →

WordPress 防范大规模暴力破解攻击
攻击者主要是首先扫描 WordPress 网站，然后通过穷举法攻击 WordPress 的默认用户名：admin，
我们可以通过以下三个步骤来减少被攻击以及被攻陷的机会：

1、在当前 functions.php 添加以下代码去掉 WordPress 版本信息，减少被扫描到的机会。
remove_action( ‘wp_head’, ‘wp_generator’);

2、默认的用户名不要为 admin，通过一下 SQL 修改 admin 的用户名：
UPDATE wp_users SET user_login = ‘newuser’ WHERE user_login = ‘admin’;

3、安装 Limit Login Attempts 插件，限制登陆尝试次数，防止通过穷举法获取后台密码。

经常会听到使用dedecms的站长抱怨，网站又被挂马了，dedecms真的很不安全。dedecms可能存在某些漏洞这不假，但主要责任真的是dedecms吗？我们知道，一个黑客想上传木马，首先得可以找到可写的目录，当然如果被黑客获取root密码和提权，那就没办法了。上传木马之后，又必须是php程序能解析。知道了这两个条件，我们就可以根据这两方面设置权限了。所以说，网站被挂马，主要问题还在于你安全设置方面做得不够好。下面我们详细的介绍Linux下DedeCMS程序安全的设置。 继续阅读 →