网络上很多同行都发文讨论过各种绕WAF的技巧,也有很多文章分享自研WAF的思路。
作为传统行业的甲方安全工程师,我试着写一写自己在WAF选型测试时的大体思路。
一方面,是对自己完成一个项目的总结,另一方面,也算是提供一个不同的视角看看WAF,希望对乙方朋友今后设计、优化WAF产品有一点点帮助。
华为数据安全管理实践学习笔记
在2016云栖安全大会上,华为信息安全运营总监孙颖老师分享了华为在做内部安全管理和运营的宝贵经验,受益匪浅。记录笔记如下,我的感悟是黑斜体部分。
CISSP备考经验
0X00 引子
2016年9月2日,北京。
在经历了5小时30分钟的煎熬后,我在一台电脑上点击了“结束考试”的按钮,走出狭小的考试房。两位年轻的监考老师开始在她们的电脑上操作,一位起身去了打印机旁边,另一位告诉我可以收拾东西了,回去等邮箱里面的邮件通知吧。根据考友们的信息,一般通过考试的才会收到ISC2的邮件通知的,考试失败的会当场给一份成绩说明。果然,监考老师把打印好的成绩单递给了我,一句简单的“恭喜啊”让我悬着的心落地了。随之而来的好像没有预想中的兴奋,只是一种放松。
在努力了8个月之后,我终于通过了CISSP的考试。
记录一些经验,分享给仍然奋战在CISSP备考道路上的各位安全同行们。
Kerberos、RADIUS、TACACS+、Diameter协议区别
最近在研究身份认证与访问控制的内容,CISSP ALL IN ONE第六版中,比较详细的解释了四种有关协议的定义、协议运行流程、协议特点。但是没有汇总在一起作比较,所以理解起来很容易混乱。
我用下面一个简单的表格,把相关内容汇总在一起做比较,希望能彻底搞清楚,记牢靠。
难免有不准确的地方,希望看到的高人、前辈多多指点。
搭建WebGoat和DVWA
在虚拟机下搭建了WebGoat和DVWA以供测试。
Gartner WAF 2015 魔力象限节选翻译
工作原因,最近开始研究主流市场的各类WAF产品。Gartner的魔力象限分析是必不可少的重要材料。节选了部分2015年度WAF领域的报告翻译了出来,给自己存个档。
盘点2015
每年的第一天都要盘一盘过去的这一年,这是多年的习惯了。
今年因为家庭,因为工作,拖到现在才盘点,也是真有点说不过去。还是回顾自己在过去一年读过的书吧,算是画个句号。
这是在http://readingtaste.com/ 统计出,我使用豆瓣标记的读书记录。猛一看,自己都有点吃惊。没想到阅读速度会这么快,而这个阅读总量也是历年最大了。后来仔细想了想,这里是有出入的。2014年底读的6本书,我是在2015年1月份才在豆瓣上标记和评论的,也被包含在内了。准确数字应该是23本。比去年多了一本。略微有进步。
今年读书不仅限于纸质书,也开始在移动端看电子书了。最开始是用豆瓣阅读看看知乎周报一类的杂志,后来开始用京东阅读app看电子书。京东阅读有一个很赞的功能,畅读。每个月花上5元钱,书城的各类书都可以随意看,但是不能下载和保存。其实相当于花5元钱去京东的图书馆里借阅的意思。这样就不用担心买回来的书不喜欢了。看过一遍之后,确实喜欢,才去买一本实体书读第二遍、第三遍,吸收的内容也更充分。通过这个app,我看完了《打造Facebook》、《文武北洋》、《台湾往事》。这些还不算在总的阅读记录里。
选几本五星推荐的书列出来吧。
1.《茶之路》 ☆☆☆☆☆
这本书沿着一年茶叶制作的路线,跑遍了中国几乎全部茶叶产区,历数了绿、白、黄、青、红、黑六大茶类各个代表茶叶的种植、采摘、制作工艺和品评特点。穿插了种茶人和制茶人的故事。所以不要以为这是一本专业著作,其实一点都不枯燥,知识性非常强,干货满满,读起来还非常轻松愉快。
我一向认为,喜欢一样东西,无论是喝茶还是玩手串,都要搞明白搞细致搞透彻了,这才是真正的玩。泛泛的“好喝、好听、好看”,那个层次未免太浅了。这本书就是一本爱茶人的必备宝典。
2.《美国宪政历程– 影响美国的25个司法大案》☆☆☆☆☆
在网上经常看到有人推荐有关美国政治的书,都会推荐林达的《近距离看美国》系列,或者刘瑜的《民主的细节》,但这本大部头很少有人提及。幸运的是,我先看了这本书,才又看了那两本。什么感觉?有一种“这事儿我都知道了,能不能聊点新鲜的”感觉。
《美国宪政历程》,几乎是把美国宪法历史上的重大修正的来龙去脉说的非常清楚了。透过这些案子和过程,你就能很清楚的明白为什么美国的政体是那样的。三权分立究竟是怎么玩的,自由与民主发生碰撞时老美是怎么机智的处理,百姓选举是怎么自下而上维持政府运转的。那两本算是通俗读物吧,能让你知其然。而这本书,更可以让你知其所以然。
3.《最近四十年中国社会思潮》☆☆☆☆
看完一大圈别人家的事儿,也得回过头看看自家。什么是民粹,什么是毛左,什么是新儒家。为什么政府不待见毛左。这些问题曾经困扰我很久。看完这本书,问题基本上有了答案。作者把改革开放以来,社会上最常见的八种思潮依次做了分析。当然,作者是坚定的邓派理论支持者,不然也不会给出版。所以难免在讨论新旧左派、自由派时,会有一些情绪上的倾向性。这也是我扣掉一颗星评价的原因。
我的体会是,只有知道了那个群体的核心诉求是什么,以及这种思想诉求的来源,才能有效率的和对方沟通。除了新儒家以外,我觉得每一种思潮都有可取之处,都不能一概而论的说,这是错误的,这是不好的。
唯一的困惑是,我曾以为自己是自由主义的支持者,看完书之后反而有了一些怀疑。自由主义太过于强调削弱政府作用,会不会形成马太效应?会不会不够公平?
4.《最后的耍猴人》☆☆☆☆
这本书不多评价了,作者把自己看到的、听到的有关耍猴艺人这个群体的故事,全部用文字和大量照片记录下来了,翻开这本书,你就可以接近那个即将消失的群体,了解和触摸他们曾经的生活。
技术类的书籍,2015年看的不太多,读完的有《图解HTTP》、《Wireshark网络分析就这么简单》。还有两本看了一半的,惭愧惭愧。为了应付考试还看了两本教材,但这不算阅读,不计算在内。
宗教类今年看的也不多,只详细看完了《掌中解脱》这两本。这一年可能是最不精进的一年了,因此心灵上的痛苦也是最多的一年。
2016年已经过去了9天,相信这将是不平凡的一年。几个心愿,开列一下,年底来回顾。
1.已经在看CISSP AIO第六版了 ,希望今年可以通过这个考试。
2.Linux、Mysql、Python我同时在各看一本书自学,希望今年能在这三个领域有点收获。
3.今年会有一个项目做,希望顺利做完,别出幺蛾子。
网络安全公司网屏(NetScreen)的研究
刚刚在弯曲评论看到这份分析NetScreen的文档,内容翔实,值得研究。
作为华人在硅谷创业成立的安全公司,NetScreen是第一家,也是具有丰碑意义的一家。
至今国内做安全网关设备厂家的研发团队里,都还能看到出自当年那个叱咤风云的NetScreen团队的精英。
下载:传送门
原文:传送门
以此作为2015年博客的最后一篇纪念吧。
预祝各位2016年步步高升!
偶遇BASH攻击,险入僵尸网络
上个月分析系统日志时,意外发现一例利用BASH ShellShock漏洞的攻击,研究起来挺有趣,写出来做个记录。
《十二公民》,一部好看的“有教育意义”的片子
昨天在电影院看完《夏洛特烦恼》,今天在家看完《十二公民》,瞬间感觉电影票钱奉献错了。
不是说《夏洛特烦恼》有多不好,而是像《十二公民》这样的好片子,应该得到高票房和高度认可。所以写下这篇不算影评的文字。