1、零信任（Zero Trust，缩写ZT）代表着业界正在演进的网络安全最佳实践，它将网络防御的重心从静态的网络边界转移到了用户、设备和资源上。2、零信任安全模型假设网络上已经存在攻击者，并且企业自有的网络基础设施（内网）与其他网络（比如公网）没有任何不同，不再默认内网是可信的。3、零信任架构（ZTA）的宗旨是减少对攻击者的资源暴露，并在主机系统被攻陷时，最小化（或防止）攻击在企业内部的横向扩展。

近期在做产品的TLS安全策略的升级，但发现了阿里云的WAF的一个鸡肋问题。先介绍一下阿里公有云上面的鸡肋问题：1. 域名加入SLB，协议升级到TLS1.2可以成功：2. 然后我加入waf后，发现我之前升级好的TLS1.2协议不见了，变成：3. 上面可以看到我加了阿里的公有云WAF后，本来是增加安全保障的，但保障还没看到直接就看到上面缺点。4. 没办法咨询一下阿里...

人脸识别技术应用算比较多的了，支付宝，门禁等很多地方都在用，但网上扫了一下，关于安全测试相关的内容却很少。这里我把最近这块安全的测试点做了一个清单如下：1. 存储需求人脸识别，大家普遍会想到的个人人脸数据这个算是隐私数据的存储。原则上涉及到隐私的，如果我们业务功能没有必要做处理的，可以直接放到大厂第三方服务器上面（阿里，腾讯，百度等）。但如果业务功能上面确实存在做对人脸数据的...

2. POC脚本修改POC的脚本通常是通用脚本，很多时候是不满足具体的环境要求的，所以打开这个python脚本，可以看到跟我们的目前的环境路径不一致，多了一个/CuteNews/这个文件路径，将代码包含有这个路径的代码都去掉。然后再整体check一下。这边POC里面的payload我是没有做任何修改的，里面的payload你们也可以根据自己的需求和喜欢来进行修改。...

1 前言：在上一篇我们已经演示了整个方案，传送门《开源网站云查杀方案，搭建自己的云杀毒》：https://www.cnblogs.com/dengjiahai/p/12437360.html#4514940。接着我就写一个文章来演示如何搭建ClamAV服务器，开始之前，我先说说关于陆陆续续收到一些同行的交流对话和疑问的这个问题，发表一些我个人的见解和看法：在服务器安装杀软它不香嘛？为甚搞那么复杂？

TLS/SSL协议目前有很多TLS1.3、TLS1.2、TLS1.1、TLS1.0、SSLv3.0 、SSLv2.0，后面三个算是比较弱的密码协议。还有密码套件：DES/MD5这些弱密码协议。修改了上面的TLS协议和密码套件后，TLS信任证书生成应用于域名。TLS协议修改：1. 打开注册表：2.备份注册表-协议导出路径：计算机\HKEY_LOCAL_MACHINE\SY...

Fortify扫描漏洞解决方案：Log Forging漏洞：1.数据从一个不可信赖的数据源进入应用程序。在这种情况下，数据经由getParameter()到后台。2. 数据写入到应用程序或系统日志文件中。这种情况下，数据通过info()记录下来。为了便于以后的审阅、统计数据收集或调试，应用程序通常使用日志文件来储存事件或事务的历史记录。根据应用程序自身的特性，审阅日志文件可在必要...

CSRF理解：CSRF概念：CSRF跨站点请求伪造(Cross—Site Request Forgery)，跟XSS攻击一样，存在巨大的危害性，你可以这样来理解：攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以你的名义发送邮件、发消息，盗取你的账号，添加系统管理员，甚至于购买商品、虚拟货币转账等。如下：其中We...

vsftpd 启动异常root@kali:~# service vsftpd startroot@kali:~# service vsftpd status● vsftpd.service - vsftpd FTP serverLoaded: loaded (/lib/systemd/system/vsftpd.service; disabled; vendor preset: ...

1. Kali升级apt-get updateapt-get dist-upgrade2. 升级完成后，启动GVM（OpenVas）发现打不开：oot@Fkali:~# gvm-start[*] Please wait for the GVM / OpenVAS services to start.[*][*] You might need to refresh your browser once