DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > CC防护 > 正文

防御ddos_cdn高防用ddos可以打下吗_秒解封

05-04 CC防护

防御ddos_cdn高防用ddos可以打下吗_秒解封

我相信编写高质量的围棋代码,我敢打赌你也是。我也知道我不是天才,不能一直写高质量的代码。幸运的是,许多Go工具帮助我用更少的时间和精力编写高质量的代码。代码短促、单元测试和TDD以及持续集成只是其中的几个例子。但如果你像我一样,你有时会忽略代码质量中一个非常重要但往往是看不见的方面:安全性。安全性是一个广泛的话题,编写一个完全安全的应用程序没有灵丹妙药,但是有一些工具可以帮助您。在这里,我将介绍Nancy,一个免费的Go工具,它可以通过提醒您项目依赖项中的任何已知漏洞来帮助提高Go应用程序的安全性。将Nancy合并到CI管道中并手动运行Nancy非常容易。我来教你怎么做。介绍南希"你好。我是南希·德鲁。很高兴认识你。请问您是谁?"-南希·德鲁,南希·德鲁(2007)读者,认识南希。南希,见见读者。南希,你可能从名声上知道,是个侦探。她使用Sonatype的OSS索引来检查你的Go依赖项中的漏洞。以虚构侦探的名字命名,南希通过扫描你的Gopkg锁文件(如果使用dep)或加油,加油(如果使用Go模块)。从这些文件中,Nancy会查询OSS索引,以查找依赖项中的已知漏洞,如果发现任何漏洞,则会报告一条错误消息。但是说够了,让我们看看吧!安装"记者有权做普通人不该做的事。"—南希·德鲁,南希·德鲁……记者(1939)由于Nancy是一个用Go编写的工具,并且Go编译为静态二进制文件,所以安装非常简单。在大多数情况下,只需将预编译的二进制文件下载到本地系统即可。以下命令将0.1.17版本下载到本地系统的/usr/local/bin中,然后使其可执行:sudo curl-L-o/usr/local/bin/nancyhttps://github.com/sonatype-nexus-community/nancy/releases/download/v0.1.17/nancy-linux.amd64-v0.1.17sudo chmod+x/usr/loca/bin/nancy公司如果您喜欢从源代码处编译,这当然也是可能的,相关说明可以在GitHub上的项目存储库中找到。在本地使用Go工具"对不起,我必须拆除这个炸弹。"—南希·德鲁,南希·德鲁(2007)安装了Go工具后,您可以轻松地从Go项目的根目录中运行它:~/转到/src/github.com网站//$nancyGopkg锁2019/12/10 17:31:02南希版本:v0.1.17假设没有发现漏洞,Nancy将简单地输出版本号,然后以状态0退出。如果您使用的是不安全的依赖项,家用电脑怎么防御ddos,则输出将稍长一些。为了证明这一点,我在Gopkg锁文件。我的项目并不真正使用此依赖项,而是临时将其添加到Gopkg锁是一个简单的方法来测试南希是否适当地进行了侦查![[项目]]名称="github.com/bitly/oauth2_代理"软件包=.""]版本="0.1.17"现在,当我运行与上面相同的命令时,我收到以下命令:~/转到/src/github.com网站//$/usr/local/bin/nancyGopkg锁2019/12/10 17:32:51 Nancy版本:v0.1.17------------------------------------------------------------[1/1]包:golang/github.com/bitly/oauth2_proxy@0.9[易受攻击]1个影响已安装版本的已知漏洞[CVE-2017-1000070]URL重定向到不可信站点("打开重定向")2.1版及更早版本中的Bitly oauth2_代理在启动和终止两条腿OAuth流期间受到开放重定向漏洞的影响。此问题是由输入验证不正确和违反RFC-6819引起的编号:9eb9a5bc-8310-4104-bf85-3a820d28ba79详细信息:https://ossindex.sonatype.org/vuln/9eb9a5bc-8310-4104-bf85-3a820d28ba79已审核的依赖项:1,易受攻击:1这是相当有趣的一点!我们听说了github.com/bitly/oauth2_代理0.9版的一个已知漏洞被标识为"CVE-2017-1000070",并附有简要说明和指向更多详细信息的链接。有了这些信息,我们就可以决定漏洞是否以及如何影响我们(我们是否在使用2条腿的OAuth流?)以及我们应该多迫切地升级到补丁版本。更多关于对漏洞的响应。持续集成"我告诉过你这会很棒的。"—南希·德鲁,南希·德鲁(2007)现在是时候享受真正的乐趣了!幸运的是,将Nancy添加到CI管道中与在本地安装和运行它一样简单。在这里,我将描述如何为Travis CI和GitHub配置它,但是很容易适应您选择的CI工具和存储库管理器。当我在自己的项目中设置这个项目时,我有一个简单的。特拉维斯·伊梅尔为我运行所有单元测试的文件。看起来像这样:语言:go去吧:-1.13倍脚本:-去测试-比赛。/。。。为了添加Nancy,我只添加了一个install部分和要运行的新命令。请注意,在install部分,棋牌DDOS防御能力,我为安装nancy二进制文件指定了一个不同的位置。这是因为写入/usrlocal/bin需要根权限,虽然这可以在Travis中安排,但这里不需要。把文件放在一个我们有写权限并且已经在路径中的位置更容易。我的新朋友。特拉维斯·伊梅尔文件如下所示:语言:go去吧:-1.13倍安装:-curl-L-o/家/特拉维斯/戈帕思/宾/南希https://github.com/sonatype-nexus-community/nancy/releases/download/v0.1.17/nancy-linux.amd64-v0.1.17-chmod+x/home/travis/gopath/bin/nancy脚本:-南希Gopkg锁-去测试-比赛。/。。。现在,每一次拉取请求,南希将执行其安全扫描以及运行我们的标准测试。我们还没说完"我只知道,每当我接手一个案子,我都容易陷入某种陷阱。"—南希·德鲁,防御cc软件,南希·德鲁……记者(1939)等等,还有更多!对每一个请求都运行安全扫描是非常必要的,但这还不够。如果你部署了你的项目,然后继续做几个星期的其他工作,同时在你的一个依赖项中发现了一个严重的安全缺陷,会怎么样?为了在事后发现这样的漏洞,路由器防御ddos,必须定期运行Nancy。Travis CI的Cron-Jobs特性使这一点变得简单。要在Travis CI中配置cron作业,您需要访问Travis-ci.com公司(或特拉维斯)-ci.org网站如果要在公共项目上配置Nancy),然后打开仪表板:接下来,在存储库列表中找到您的项目,然后打开"设置":最后,配置新的cron作业,方法是指定要运行的分支(在我的示例中是master,但可能是production或dev)、一个间隔(我建议每天),然后选择always run或只在作业在前24小时内还没有运行的情况下运行。当Nancy在日常运行中检测到安全漏洞时,您可以收到一封电子邮件,提醒您发生故障。这样,就可以迅速升级易受攻击的依赖项。GitHub行动的南希"那会给他们看的!我是不可忽视的政治力量!"-南希·德鲁,南希·德鲁:黑暗之海(2015年视频游戏)Sonatype还发布了Nancy for GitHub Actions,这使得在使用GitHub Actions时使用Nancy非常容易。在动作市场上搜索"南希"。别忘了把你的GitHub操作安排在每天运行!南希发现了问题,现在怎么办?"至少你可以用英语侮辱我!"-南希·德鲁,南希·德鲁:侦探(1939)如果南希发现问题,不要惊慌!首先要了解问题的本质。阅读Nancy提供的描述,以及Nancy提供的链接中的详细信息。仅仅因为发现了一个漏洞并不意味着它会影响到你。虽然您应该致力于解决所有的安全漏洞,但有些漏洞,比如在不适用于您的项目的模糊条件下的理论上的拒绝服务攻击,可以安全地安排在未来一两周内。另一方面,一个更严重的漏洞,虚拟主机怎么防御ddos,可能授权未经授权访问客户信用卡数据,应该立即修复。考虑到漏洞的严重性,您可以深思熟虑地解决问题。通常,解决方法可以简单到更新到依赖项的最新版本。在其他情况下,补丁程序可能还不可用,这可能需要您采取某种权宜之计,直到依赖关系解决了上游问题。一个复杂的情况可能是,升级依赖项会破坏向后兼容性,这可能需要对代码进行相关的重构。无论在什么情况下,都要了解漏洞,以便您和您的团队能够确定适当的措施来减轻安全威胁。别停在那里"好吧,如果……如果需要你的朋友意味着你是个失败者,那么我就是最大的失败者,因为你们让我忘记了我每天都生活在这个只有一匹马的小镇。"—南希·德鲁、南希·德鲁和《隐藏的楼梯》(2019)尽管这个围棋工具很有价值,但单靠南希是不够的。没有单一的工具。Nancy只会通知您依赖项中已知的漏洞。你自己代码中的安全仍然是你自己的责任!例如,Nancy不会保护您免受SQL注入、跨站点请求伪造或警告您发送的密码是纯文本的。您仍然必须在自己的代码中遵循所有安全性最佳实践。所以不要因为你有一个工具就让你自己或你的团队陷入一种错误的安全感中!不过,Nancy是一个很好的工具,可以添加到开发人员工具箱中。我见过很多工具可以扫描已知的漏洞,但没有一个这么轻量级和易于使用。在15分钟内,你可以为你的围棋项目添加一些重要的保护。

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: /ddos/67569.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 8955213访问次数
  • 建站天数

    QQ客服

    400-0797-119

    X