KD的疯狂实验室

其中工作之一是打通AWS DNS Firewall 与 Security Hub。当发生威胁事件时，Security Hub能接收到情报通知。三方依赖组件漏洞升级，无论对于哪个公司都是一个挑战性的事情。逐步升级也是对现有产品的一个负责。今天跟部分基础服务开发进行深入沟通，了解了当前升级的挑战，特别是对稳定性的影响。一味的升级，其实在没有架构师规划的情况下，实际并不可控。两者不能直通，需要使用lambda进行触发。2 当前方法未触发风险，但未来可能触发的。就可以按照这个方向逐步升级或规避。

TLS升级不易验，iOS加固易疏忽

默认 method，查询字符串 等会被屏蔽，你在日志中是找不到的。应该是为了隐私安全。启用方式依然是WAF面板配置日志CloudTrail的地方去掉你希望显示的所有共4个✓。采样：每一条WAF规则都会产生一个采样默认。你觉得是一个WAF，如果你有20条规则，到日志里就是20倍的量了。后果是：CloudTrail里数据量会暴增。特别是PutEvent的费用。

提项目延宕已久，从去年帮助其识别出该风险后，去年年底已经出了解决方案，比较漂亮的解决了该问题，特点是不需要客户端升级服务器升级就能完美切换。结果呢，最近项目方说服务器成功之后，还需要一个月时间。而且一个月还不能保证迁出。该项目是一个比较常规的安全要求，属于国外省ZF这种。解决：详细跟他们盘了一下他们的方案。发现他们竟然忘记了我去年年底设计的方案😭。这个是今天的主业，该项目出了相关安全要求文件为我们。只能跟他们复盘了一下，当时我的解决方法，项目方恍然大悟😎。关键点：方案实施出现不合理的时间。

包括它有没有公开的漏洞，它选用的依赖是否有缺陷，它的开发者是否活跃，相关组件维护成本，如果应急维护的话，是否有人掌握相关技能？预期有问题的主要是非常陈旧的设备，早期陈旧定制设备上的应用程序，可能不支持https，还有一些日志上传端口。跟开发梳理应用的上下游工作逻辑是非常有用的，发现根本不需要使用引用短链接组件，使用下游服务就能解决问题。目前在项目经理的助推下，各产品线都在排查自己的域名是否支持https，把成年老域名都给找出来了。此外，对于一些管理页面，也应当做到内网保护，也就是外网不能访问相关路径。

此外，还有一个挑战就是当安卓更新新版本的时候，我们需要follow这样才能保证我们的APP产品可以在新版google中兼容性最佳。当然，我这里还认为这种TOP1000这种兼容性测试应该由加固厂家进行，而不是让每个客户自己去测试。Y加固在aab格式上兼容性存在问题，特定机型会崩溃，厂家是以修复引擎的方式进行更新解决。我们这边的解决方案就是增加云测，但是国外的用车没有支持相关的自动化，需要进一步的开发。开发相关同学建议更换加固产品，但这并不能解决根本问题，即：无法验证兼容性的问题。经过基本的打探和初步试用。

主要发现了一些奇奇怪怪的问题，比如扫描到会把一个小端口，暴露出去。2 增加日志留存时间，捕获这种测试团队导致的事件，较短的WAF留存会导致难以识别出这种激增的情况。原因是我们设防的服务器是a服务器，它跟b服务器进行通信，而b服务器又直接跟a服务器进行通信。主要是在迁移某waf到测试环境的时候，测试团队很快就有反应了，发现了大面积的故障事件。这里面的主要的风险问题是有一些非常老旧的产品只支持http连接，这种都需要排查出来。所以有继续推进此事，通过拉起会议的方式，基本现在主责人通过一个项目的方式在推进。

未经安全审核的上线动作，对企业的风险首先面临是外部审核的问题，一个企业有各种情况要接受外部的安全审计，各种受雇三方的机构会对公司旗下域名进行安全分析。所以我们采取的策略是设定一个基础的域名安全申请基线，让我们的域名少犯一些非常低级幼稚的错误，和安全风险，降低被第三方识别的概率。将最近由若干生产环境和测试环境日志分析出的冲突结果进行了汇总，基于汇总结果，今天对涉及到的策略进行了调整，并逐项验证通过。有加之最近A团队，像在线业务提交合并服务时，几乎能把能犯的错误都犯了一遍，被我们设计的安全系统给拦截了。

为什么要做这个系列？因为太忙了，忙工作，忙家庭。很难再像之前一样能做到电脑前码一个小时的字，写半个小时的博客。但是现在的经验增长快速，有很多值得分享的点想想这平行世界里的我，实际上并不是每一个人都有这种机会，能有在企业产品安全建设的一线推动的经验你会分享些什么内容？我会试着以简短日记的方式分享当天/周发生的一些关键问题及我的解决策略，以及是否有更优的策略，安全产品体验，甲方谈判，可能涉及不同人的协调经验等等。

当你的服务器发现actuator暴露之后，是在将来被安全机构测试发现漏洞再甩你一脸的机会？还是彻底终结这一风险？

AWS WAF：从基础入门，如何配置并利用AWS WAF保护你的服务器

根据亲身调配经验，介绍了AWS WAF、 OCI WAF两者的异同和难点，并提供方便大家进一步深入了解的文档索引

云安全是的工作活跃的，主动的，是时候总结今年的历事了

本文回顾了我在企业安全建设过程中的一些经验和实践。我们需在许多方面下足功夫,比如风险评估方法的标准化、防御体系的构建、安全意识的培养等。如果本文对您有所启发或帮助,我将感到荣幸。

最近一个机会，挑战从零搭建一个驱动保护项目，到实现一个会被大规模使用的项目.在项目基本完成之际，记录一下这段时光

简要描述了按照 Windows RPC 官网例子 走，笔者遇到的问题及解决

C++ 和 Java太像了，其实翻译起来 还挺爽快，但有些小坑 知道了可能更好

之前为了给学前端的女友准备一份 了解前端之根本**浏览器原理**的教程, 仔细摸索了编译的整个流程.做出了一个实验手册,最终以修改一个 默认浏览器的CSS样式为目的.这次分享出来.谢谢那些帮助过自己的友人.

CS分为:硬件系统软件网络计算理论

现在遇到的问题主要在于模糊的”消息泵”概念. 是的,我打算自建一个”消息泵”机制,目的是减少模块耦合,丰富处理方式.便于面向对象开发?

Main函数前工作都干了哪些好事呢?让我们一一查明

有题目要求完成一款"求素数"的程序,由于之前有思考过这个问题,此程序求"千万内"素数不挂

该函数用于在控制台画某宽度的水平线

今天到了15PB，感觉很酷、正式专业。听了几位同学的叙述关于

2015年3月8日 11:20:41做C语言类型修饰符的练习时，遇到一个编译器或者其它系统库BUG

因为信任，因为理解。所以我选择了它，并且为能成为它的一员而备战。我在试图了解opencv的时候发现自己缺乏很多编程的基础知识，无论是编程语言方面还是思维上。剑客——自冰刃起。当年读冰刃和wsyscheck的说明书当作非常有意思的事情做，因为他们体现了作品是一个活生生的人用其情感注入之技术书写的，而非只是冰冷的代码。这是一次机会，去了解去试图掌握最奇特广阔的软件界的机会。熟悉知识，以更高的起点掌握更好

刷新方式？弹药？抽象？还有什么巧思梦想一起来吧

字符串比较被广泛应用在恶意程序特征码,外挂与反外挂的对抗.对字符串比较函数的了解和实现是掌握它

分层理论设计坦克大战传统控制台一般利用如下元素构建游戏……内建“消息循环”能否实现“低耦合，高内聚“和高效通用的伟大目标？详情见文内

如下// pb15_3.27.4.1.cpp : 定义控制台应用程序的入口点。//Author:dalerkd//2015年3月27日 17:48:43//目的:将一个int型数字转换为二进制输出//过程:将数字压进位段biteight结构.然后按位读出//3层if也是醉了#include "stdafx.h" typedef struct biteight{ unsigne

毫无创意的做法，却给了我更大空间的发挥余地。消除混乱的代码在我观摩“前辈”著作的时候，发觉缺乏一个机制使代码

需要了解的技术:......一些想法:......

判断当前控制台输入的ascii值,做进一步动作的代码

最近游戏引擎设计耗费了相当的时间.是否有必要继续? 还记得开始的目标吗? http://blog.youkuaiyun.com/dalerkd/article/details/44465291 困乏劳累 F*ck.诚然,游戏简易引擎闭门造车可能激起一些所谓灵感.但是自己损失的是大量本应该用于练习熟练一些必要知识的时间.马上就要开始坦克大战项目了. 初步的一些小要求: 1做好模块隔离. 2模拟多线程

1项目时间五天:5,6,7,8,92要求,足够分数+PPT+小特别分数构成:3策略:以引擎架构模式组织内容.大体架构如下:事件产生类A模拟事件产生类1物理模拟 a基本粒子维护B真实事件产生类(底层,系统相关,硬件相关)1输入设备:键盘,鼠标,屏幕缓冲区 2热补丁文件? 3指定进程创建?无限遐想事件处理类A模拟事件处理类1物理交互,碰撞 2智能类 3时间默认处理函数B真实事件处理类(底层,系

3月15日动态申请数组返回问题

我将坦克大战项目的引擎代码分为

今天在做15PB练习题目的时候,提高题目如下要求,思考了一下这个问题,在网上向前辈们学习了一下,其中比较喜欢的一种解决方法如下:最多定义一个变量实现字符串反转函数 代码来自于讨论结果之一http://bbs.youkuaiyun.com/topics/80194408#include <iostream> //包括流的输入输出库using namespace std;//使用std命名空间void reve

想起了......两类花指令:1可执行花指令2不可执行式花指令

0类继承关系1运算符重载