等保那些事

原创 于 2025-11-26 09:41:25 发布 · 86 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #等保

01 引言

公司上市之后,安全性变得尤为重要。定期每年都会有等保部门的人才扫描系统漏铜,针对高危漏洞必须修复。

随着对等保相关事宜的了解,才发现互联网众多公司都在调整着安全策略。还记得当年申请的网易邮箱简单的用纯数字密码,结果每次登录都会以拿钱登记较低,建议修改密码,密码中必须包含数字、字母以及特殊字符;还有GitHub强制开启了二次验证,把自己的账号都搞丢了…

02 等保的简介

这里的等保指三级等保(等保2.0),三级等保”全称为“网络安全等级保护第三级”,也被称为“监督保护级”。它源自中国的 《网络安全法》 和 《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)*等一系列国家标准,是国家对非银行机构的最高级别认证(第一级为自主保护,第二级为指导保护,第三级为监督保护,第四级为强制保护,第五级为专控保护)。

三级等保适用于涉及国家安全、社会秩序、公共利益的重要网络和信息系统。一旦遭到破坏,会对相关方面造成严重损害。通常涉及单位有政府机关、金融行业、能源行业、佳通运输、公共服务以及互联网平台等。

等保的具体详细事宜我们不做讨论,我们聊聊等保中我们系统暴漏的问题。

03 问题暴漏

image-20251120184705531

等保扫描之后,会整理出类似的渗透报告,按照漏洞的安全程度分别列出高、中、低的整改项。高危漏洞是必须要要整改的。

3.1 Xss漏铜

这个漏洞很常见,也很容易忽略。就是攻击者用脚本伪装参数来攻击系统,导致系统不能按照预期的展示,甚至中毒。我们在做表单提交的时候,或者评论提交的时候,没有做录入项的校验。攻击者就可以通过嵌入脚本,破坏系统。如:

<script>alert(123)<script>

内容提交后,每次打开页面就会出现123的弹框。如果是一个死循环的脚本,就会知道页面直接不可用。也可以伪装成视频等其他脚本。

解决方案也很简单:

就是通过服务端直接过略掉可疑的标签。jsoup框架已经帮我们封装好了,直接调用即可。

public class XssUtil {

	/**
	 * 使用自带的 basicWithImages 白名单
	 */
	private static final Safelist WHITE_LIST = Safelist.relaxed();

	/** 配置过滤化参数, 不对代码进行格式化 */
	private static final Document.OutputSettings OUTPUT_SETTINGS = new Document.OutputSettings().prettyPrint(false);
	static {
		// 富文本编辑时一些样式是使用 style 来进行实现的
		// 比如红色字体 style="color:red;"
		// 所以需要给所有标签添加 style 属性
		WHITE_LIST.addAttributes(":all", "style");
	}

	public static String clean(String content) {
		return Jsoup.clean(content, "", WHITE_LIST, OUTPUT_SETTINGS);
	}

}

依赖:

<dependency>
   <groupId>org.jsoup</groupId>
   <artifactId>jsoup</artifactId>
   <version>1.21.2</version>
</dependency>

3.2 枚举用户

我们在做登录的时候,为了友好的提示用户登录的错误信息:

  • 账户不存在
  • 密码错误
  • 账户已封停

现在还记得,当时测试人员还提了BUG,说你笼统的提示用户,用户会一头雾水,不知道账户怎么了。还特意改的精确的信息提示。然后等保来了之后,却是存在安全问题,说详细的提示,会导致攻击者枚举账户,最后直到系统中有哪些账户。

这个看似不起眼的小东西,平时可能不在意。反正你又登不进去,知道了也没有。但是等保不这么认为。

解决方案也很简单:就是直接提示类似"用户名或密码错误"这样的混淆提示即可,在加上验证码。提高枚举的难度。

3.3 明文传输

尤其用户名和密码参数。我们都可以网络传输的数据是可以被拦截的。登录名和密码属于敏感信息,被截获后可能会造成财产损失。对然被定义的安全级别较低,但是却是一个不得不修的问题。

解决方案也很简单:参数提交的时候通过AES加密算法加密,然后服务端在解密验证即可。

3.4 密码长度

世界上最简单的密码:123456

密码安全等级较低,攻击者就可以通过字典、枚举的方式撞库,最后攻破系统。看过红客联盟的公开课,说每一个黑客都有自己独属的密码本,密码等级弱的话,很容易就被攻破。

解决方案也很简单:增加复杂度如密码必须包含大小写、特殊字符等、或者增加长度。

04 小结

你们的系统有没有类似的问题,快去修复吧!

等保测评流程V3
weixin_47123940的博客
12-28 3659
什么等保测评,等保测评工作该如何展开,下面我将一一讲解。 测评对象,等保2.0从传统的信息系统,转变成具有基础信息网络平台的多种新兴技术对象。 (也即是,有网络服务,有数据的网络服务平台,即可以成为新兴的测评对象) 等保2.0备案优化,从原来的自主定级改变成系统定级,才能得到公安机关的备案,也即: 确定定级对象——初步确定系统定级——专家评审——主管部门审核——公安机关备案审查——最终确定系统等级 系统备案(填备案表,如下两份) 向市级公安机关主管部门提交材料 《信息系统安全等级保护定级报告》 《信息
非211计算机保研的那些
热门推荐
启人zhr的博客
11-14 1万+
引子一次偶然的机会让我知道了保研这件 搜集上届保研情况心底一片凉 开始进行保研的准备 一次次的联系老师的过程 看起来高大上的夏令营 暑期生活 九月的生活引子,一次偶然的机会,让我知道了保研这件在大三时期,我很偶然也很幸运的评为了当年的CCF优秀大学生,获得一次免费参加CNCC中国计算机大会的机会,看着获奖名单上尽是些名牌大学的名字,带着一丝激动和紧张,乘坐高铁来到了山西太原,想着周围都是大佬级别
超详揭秘:一文带你了解保研那些
Baoyan_cs的博客
10-10 1391
官网一般都可以找到老师的邮箱或者也可以询问认识的学长学姐打听联系方式,在联系导师时首先说明自己的来由,自报家门,其次表明跟随导师学习的诚意。参加高含金量学科竞赛,争取获奖。,一般来说需要准备盖章的成绩单、排名证明、获奖证书复印件、个人简历、个人陈述、英语水平证明、专家推荐信和学术水平证明材料等。,因此提前了解保研需要的基本素质,查探好保研的各个重要时间节点,进行针对性的复习才能为我们增大入营和优营的可能。其实保研无非是获得两张入场券,一张是获得本校保研资格的入场券,另一张则是对方院校发来的录取offer,
等保前,你必须知道的6件
weixin_45840241的博客
07-13 1190
对于企业而言,只有真正从业务安全角度出发,及时发现安全问题,合理布置安全设备,提高安全管理效率,提升员工安全意识,不断建设完善企业安全体系,才能最大化抵御风险、避免损失。每个系统都有其独特性和适用性,对评估和实施人员有很高的安全素质要求,通过测评只是企业自身安全检查的手段,而不是等保的目的,我们需要更清楚的认识系统风险,并对其不断优化完善,安全才是最高性价比。另外,系统是否上云/托管,系统部署的云平台是否已经通过了等保,都不能改变该系统安全责任的主体,无法将责任转嫁,只能有限度地影响件责任的划分。
保研那些
yao伟斌
05-22 5291
        不时总会有些师弟师妹询问我关于保研的一些情,例如保研过程需要做那些准备?保研重视哪方面的情等等,今天试着做个总结吧,也许能给师弟师妹一些参考的意见。         以下仅基于我个人(华南师范大学计算机学院2012级)保研的基本情况——国内升学,不包括出国留学等其他情况。         保研过程需要了解一下什么是推免资格?推免资格指,推荐优秀应届本科毕业生免试攻读研究生,...
Web安全-等保测评_db2等保测评命令(2)
2401_84297796的博客
04-28 1327
和之前的由DBA管理用户权限不同的是,他们在数据库原有的权限管理之外,对数据的访问控制做更周密和灵活的规则设置。我们想象一下,如果有人可以执行管理数据的操作,有人负责控制管理数据的规则,另外还有人监督和审计前两类人的行为,那么权力过度集中的问题就可以通过互相制约被解决。这些超级用户是数据库创建过程中的缺省用户,可以认为是数据库中的“造物主”,因为所有新的用户都是由他们创建的。但是过度集中的权力都会带来问题,当超级用户拥有最高权力的时候,意味着他或她可以做任何想做的,而且可以不留下任何痕迹。
Web安全-等保测评
道阻且长,行则将至
11-02 8339
等保测评 为什么要做等级保护 《网络安全法》明确规定信息系统运营、使用单位应当按照网络安全等级保护制度要求,履行安全保护义务,如果拒不履行,将会受到相应处罚。 等级保护涉及范围 省辖市以上党政机关的重要网站和办公信息系统; 电信、广电行业的公用通信网、广播电规传输网等基础信息网络,经营性公众互联网信息服务单位、互联网接入服务单位、数据中心等单位的重要信息系统; 铁路、银行、海关、税务、民航、电力...
三级等保测评都有哪些环节?
kkwlxx的博客
07-21 2329
技术层面要求有安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理等,每一项都有对应的细节要求,快快网络也可以提供对应的安全产品;1、系统定级等保定级主要由等级保护对象受到破坏时所侵害的客体和对客体造成的侵害程度,企业自身可以先定级,当然我们快快也会帮忙邀约三个专家帮助企业做定级,并在定级报告中签字,然后提交到测评机构定级;最近接到挺多企业有三级等保测评的需求,但很多企业自身无从下手,就只能找各种可以帮忙做等保测评的机构来操作。但是不同机构给出的三级等保测评方案参差不齐,企业也着实头大。...
22.扩展.等保测评相关实务
助力开发者进阶为高效技术管理者,记录沉淀打造可复用的工程方法论体系
05-03 8703
等保测评相关要求和技术设备
保研之旅-2021
夏日 の blog
12-07 3393
写在前面 作者:夏日 博客地址:https://blog.youkuaiyun.com/zss192 距离推免填报系统928已经过了两个月的时间,本来想填报系统后就写本篇博客的,因为一些情一直拖延。后来想想保研需要一个结尾,就以此篇博客纪念已经过去的保研艰辛之路吧。本篇博客不同于网上其他面试经验贴,我更想记录下自己在保研路上的心路历程。 由于在实习也要看论文做开题报告,博客随缘更新。 基本情况 学校/排名:某双一流双非学校,信息安全专业,成绩/综合均是4/86(前5%) 英语:四级520,六级428 获奖:国家
等保2.0基本要求解读.docx
11-07
等保2.0最大的变化之一是将基本技术要求的五个部分进行了重新划分和定义,形成了“安全物理环境”、“安全通信网络”、“安全区域边界”、“安全计算环境”和“安全管理中心”。这些划分更加注重系统整体的安全防护...
CAPL学习- DoIP函数简介
车载网络测试工程师的博客
11-25 469
通过DoIP CAPL API,您可以在CAPL中模拟DoIP节点或DoIP网关。CAPL函数 » 诊断 » DoIP » DoIP(基于IP协议的诊断)DoIP DLL为基于IP协议的诊断(DoIP)提供CAPL函数。对于(DoIP)测试仪的实现,以下函数并非必需。后续章节将依次详细介绍。
Spring Boot 实现 WebSocket 实时通信:从原理到生产级实战
最新发布
2301_81073317的博客
11-25 726
在需要实时交互的场景下,选择正确的通信方案比写一手好代码更重要。今天我们就来彻底聊透WebSocket,看看这个被誉为"HTTP杀手"的技术如何在Spring Boot 3中落地,以及生产环境必须注意的那些坑。
湖科大计网好题合集
2402_88307286的博客
11-21 209
瞎√⑧写的
PythonWebSocket开发
2509_93947499的博客
11-22 265
而WebSocket就像一直保持通话状态,客服有新消息直接告诉你,这才是真正的实时通信。建议从简单例子开始,逐步增加功能,遇到问题多查文档和源码,其实没那么难搞定。当客户端连接时,handle_connection协程开始处理消息,用async for循环持续监听 incoming消息,收到后立即回复。调试技巧方面,浏览器开发者工具的Network标签页可以查看WebSocket帧,Chrome的WebSocket Inspector扩展也很好用。网络不稳定时连接可能断开,需要实现自动重连机制。
从零开始:使用 pyproject.toml 构建现代化 Python 项目
像风一样自由的博客
11-23 803
本文介绍了如何使用 pyproject.toml 构建现代化 Python 项目,以 PyImage Split 图片工具为例。相比传统分散配置方式,pyproject.toml 提供了统一、声明式的项目配置,解决了格式混乱、工具兼容性差等问题。文章详细讲解了配置文件的基本结构,包括构建系统、项目元数据、依赖管理等核心部分,并提供了完整的配置示例。通过采用这种标准化配置方式,开发者可以更高效地管理 Python 项目,提升代码质量和维护性。
ESP32基础-Socket通信 (TCP/UDP)
hazy1k的博客
11-24 935
本文介绍了在ESP32上实现Socket通信的三种主要模式:TCP服务端、TCP客户端和UDP通信。TCP服务端模式适用于设备被动接收控制指令的场景,TCP客户端模式适合主动发送数据,而UDP则用于无需连接的快速数据传输。文章提供了每种模式的完整代码示例,并强调了关键注意项,如阻塞与非阻塞处理、端口绑定重用等常见问题。还推荐了网络调试工具NetAssist用于测试,并解释了不同通信模式的适用场景,为物联网设备开发提供了实用的网络通信解决方案。
【Linux 网络基础】网络通信中的组播与广播:基础概念、原理、抓包与应用
love131452098的博客
11-24 839
摘要: 组播(Multicast)和广播(Broadcast)是网络通信中两种重要的数据传输机制。组播面向特定订阅组(IPv4 224.0.0.0/4,IPv6 ff00::/8),通过IGMP/PIM协议实现成员管理和路由分发,适用于视频会议、股票行情推送等场景;广播则在同一二层域内泛洪(MAC ff:ff:ff:ff:ff:ff),用于ARP、DHCP等协议。关键配置包括交换机IGMP Snooping、路由器PIM-SSM/Storm Control,并需注意TTL、防火墙策略。常见问题包括组播丢包(
边缘计算与云计算的协作:打造未来智能化网络的新格局
2501_94114403的博客
11-21 925
随着物联网(IoT)、5G通信、大数据等技术的迅猛发展,数据量的激增和处理需求的复杂化,正在迫使传统云计算架构面临前所未有的挑战。为了满足低延迟、高可靠性以及海量设备同时接入的需求,边缘计算作为云计算的重要补充,逐渐在各个行业中崭露头角。边缘计算不仅能够提升数据处理效率,还能够为分布式应用提供更加灵活和智能的计算资源。在这种背景下,边缘计算与云计算的协同发展,成为推动智能化网络和数字化转型的核心动力。本文将探讨边缘计算与云计算的协作模式、应用场景以及两者融合所面临的挑战和前景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

智_永无止境

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值