OWASP Top 10十七年演变史

自2003年发布首个版本以来,OWASP Top 10在17年间发布了6个版本 (2003 – 2004 – 2007 – 2010 – 2013 – 2017)。而当前最新版本仍然是2017版:https://owasp.org/www-project-top-ten/ 。这就2020年了,可以期待一下今年会不会发布新版 🙂

根据官网的描述:

OWASP Top 10是针对开发人员和Web应用程序安全性的标准安全意识文档。 它代表了对Web应用程序最严重的安全风险的广泛共识。
公司应采用此文档,并开始确保其Web应用程序将这些风险降至最低的过程。 使用OWASP Top 10可能是将组织内的软件开发文化转变为产生更安全代码的文化的最有效的第一步。

让我们来看看过去的6个版本都有哪些变化:

可以看到,伴随着互联网浪潮,注入漏洞 (Injection) 一路水涨船高,近三个版本更是牢牢占据榜首。2017年版新增了三种漏洞类型:XML外部实体 (XXE)、不安全的反序列化 (Insecure deserialization)、不足的日志记录和监控 (Insufficient logging and monitoring)。

对这些漏洞的具体解读,推荐大家阅读OWASP Top 10中文翻译项目组的作品:http://www.owasp.org.cn/owasp-project/2017-owasp-top-10

对于企业信息安全建设,从来没有终点,希望所有安全相关从业者都关注对照OWASP Top 10,利用好最佳实践,结合自身环境,多方位持续性地自查风险、改善,采取有重点的保护防范措施,在人、技术(工具)、流程三个维度提高业务系统安全性。

 1,091 total views

Excel、Tableau、Kibana添加“辅助列”的方法

经常使用Excel的朋友肯定会遇到需要“辅助列”的情形。什么是辅助列?简单来说,比如你想达到A这个目标,但是在达到A目标前,如果能先达到B目标,就能更容易地实现A,那B目标就是辅助列。比如这篇post中演示的:

Excel

Excel添加辅助列很简单,只需要Insert一个新列,再配合各种公式实现自己的需求:

Tableau

Tableau通常可以借助Create里的Calculated Field、Group、Set、Parameter来实现辅助列的功能:

我们以与Excel“公式型”辅助列最接近的Calculated Field功能为例,新建一个单位为MB的Bytes字段。完整的可用公式可以参考:https://help.tableau.com/current/pro/desktop/en-us/functions.htm

Group、Set、Parameter也都非常强大,有机会的话我们下回细说。

Kibana

Kibana的辅助列,从功能上最匹配的是Scripted Field。要生成它,需要用脚本,官方推荐的是Expression和Painless。Expression的运行速度快,但不支持对字符串的操作。如果做的转换只是针对number或date,可以使用Expression;如果涉及到string,就需要用Painless。

但是,笔者在今天的测试时,触发了一个bug。创建Scripted Field后,索引就挂了,报Courier Fetch: N of M shards failed,且查找无法返回任何结果 (No results found)。

集群都是好的,初步判断这个问题可能和这套ES版本较旧有关(历史原因,目前仍在用v5.4)。Google一番无果后,决定创建一个新的索引了事。老的索引也放着,看看能否挽救。

 732 total views

Zabbix、Grafana添加95th Percentile Lines

95计费 (95th Percentile Charging),指在一个计费周期内,将全部计费点的带宽值由高到低倒序后,移除5%的那些高点,剩下数据点中的最高的带宽值就是计费的带宽。

以1个月30天为例,默认均为有效取值点:每5分钟1个带宽取值点,每小时12个带宽取值点,每月取值点数为:12 × 24 × 30 = 8640个,去掉前5%的点 8640 × 5% = 432 个,即第433个点为计费点。

而432个不计费的点,等效于36个小时(432 × 5分钟 / 60分钟 / 小时 = 36小时),即每月不超过36小时的异常大带宽(流量),不影响本月的计费。

Zabbix添加95th Percentile趋势线的讨论帖较少,那是因为官方直接就做成了可勾选开启的选项,方便了管理员:

进入Host > Graph:

效果如图:

Cacti配置方法可参考:Cacti95计费配置 (P.S. 博主是位Zabbix专家,有很多好的帖子和插件)

Grafana的配置方法还在研究ing…

 1,939 total views

CISSP CPE学分挣取之路

去年花了大半年的时间与精力通过了CISSP考试并获取了证书,也算是圆了第一份工作(趋势科技)时留下的遗憾。不得不说CISSP证书的含金量在IT认证中确实是数一数二的,光6小时的考试时长就能让不少人望而生畏,更别提它的“认证后”管理。

投入了这么多成本才拿到的证书(699美元),肯定不舍得让它轻易过期,所以renew CISSP必须的CPE(持续专业教育)学分的挣取计划也就提上了日程。CISSP资质有效期是3年,在3年内通过阅读安全书刊、官方课程或参与各种安全实践获得满120个CPE积分,便可保持资质。

在获取官方的CPE课程资源前,需要先加入ISC2的会员。去年7月起,会员费从85美元涨到了125美元,三年就是375美元…

CPE获取方式有很多,例如ISC2官方活动或课程、安全相关的自学、写作或出版、主持网络研讨会或播客、志愿工作、特定的安全项目经历或非安全领域的职业发展活动(有获取上限)等。

更多内容可以参考官方的CPE Guide

 1,222 total views,  1 views today

Permalink Manager功能测试

今早上发现Bing对Workpress的Plain permalinks支持不友好后,准备尝试解决这个问题。一阵搜索后发现自带插件中Permalink Manager比较合适。遂测试看看。

更新:Wordpress官方KB推荐参考Nginx的官方配置建议。对于permalinks的处理,需要加上这段,否则会出现404错误。

location / {
                # This is cool because no php is touched for static content.
                # include the "?$args" part so non-default permalinks doesn't break when using query string
                try_files $uri $uri/ /index.php?$args;
        }

 717 total views,  4 views today