企业产品网络安全建设日志0328
文章目录
- Actuator再次暴露
- 域名上线基线检查初见效果
- WAF更新遇波折
- 301跳转推进中
Actuator再次暴露
为了验证挖f的拦截效果,自己随手拼了个Actuator,结果可以访问到公司的actuator。。
据称是某网关更换新组件后未做防御,已要求全部做防御,并交由测试部全域名验证。这个会持续跟进。
目前的问题主要是:
1 没有做多层拦截,一层因配置失效导致整体防御失效发生
2 测试不完整,没有对多域名下进行覆盖测试
域名上线基线检查初见效果
主要发现了一些奇奇怪怪的问题,比如扫描到会把一个小端口,暴露出去。而这个端口是443端口上的那个内容。排查出因为某种alb调试,所以这么做的,正在推进开发消灭。
WAF更新遇波折
主要是在迁移某waf到测试环境的时候,测试团队很快就有反应了,发现了大面积的故障事件。
但又没有直接显示他是由我们WAF403拦截的。
原因是我们设防的服务器是a服务器,它跟b服务器进行通信,而b服务器又直接跟a服务器进行通信。
因为启用了一条速率控制,而测试团队正好户外测试。
引发大量服务器间通讯,而服务器并没有在我们的速率白名单里。
解决方案其实是两方面:
1 增加白名单最直接
2 增加日志留存时间,捕获这种测试团队导致的事件,较短的WAF留存会导致难以识别出这种激增的情况
301跳转推进中
之前公司采用js进行http到https的跳转,显然这个是有很多问题的。已合规检查公司是无法检测到这种跳转的,他就会把这列为一个风险项。
必须要更标准化才行。
所以有继续推进此事,通过拉起会议的方式,基本现在主责人通过一个项目的方式在推进。
这里面的主要的风险问题是有一些非常老旧的产品只支持http连接,这种都需要排查出来。