网络攻防学习笔记 Day128

SDL（Security DevelopmentLifecycle，安全开发生命周期），这是一个能帮助开发人员加强开发安全性的架构，并能够在达到安全合规要求的同时降低开发成本。其核心理念就是将安全嵌入软件开发的每一个阶段：需求分析、设计、编码、测试和维护。从需求分析、设计到产出产品的每一个阶段都增加相应的安全活动与规范，尽量将软件中的安全缺陷降到最低。

除编码安全外，逻辑漏洞也同样给业务带来很大的风险，而且逻辑漏洞相对于编码安全更加隐蔽，无法使用工具进行检测，只能靠有经验的人员通过测试才能发现。

动态爬虫测试网站，如http://testphp.vulnweb.com/（AWVS 官方扫描系统测试站）、http://demo.aisec.cn/demo/aisec/（国内某扫描器测试站）等，可以很好地测试爬虫能否支持动态链接的获取。

代理扫描，就是通过开发一个代理服务，在移动端进行设置后，抓取 App 在用户进行交互时所产生的流量，并将流量格式化为爬虫爬取的相同格式后，传入主动扫描检测队列进行漏洞检测。这样可以弥补主动扫描无法爬取 App 交互链接的缺陷，缺点是不能完全自动化，需要用户在挂载代理后，打开 App 人工执行一遍业务流程，以便代理获取到所有交互链接。

Apache 的默认配置文件为 httpd.conf，Tomcat 的默认配置文件为 server.xml，Nginx 的默认配置文件为 default.conf 或 nginx.conf，IIS 的默认目录为 %SystemDrive%\inetpub\logs\LogFiles。

uniq 命令用于检查及删除文本文件中重复出现的行或列，一般与 sort 命令结合使用。通常使用-c 参数显示该行重复出现的次数。

Event ID 在 Windows 日志中标识了不同的事件种类，下面简单列举一些常见事件 ID（Windows 2008）：4720：用户账户已创建。

4738：用户账户已更改。

4740：用户账户被锁定。

4624：表示用户登录成功，并记录登录类型。

4625：表示用户登录失败。

4648：试图使用显式凭据登录。

Event Log Explorer 是查看 Windows 日志工具的一款利器，虽然是收费的，但其免费版也可以查看 3 台服务器的日志，基本可以满足需求。与 Windows 的事件查看器相比，Event Log Explorer 有着非常强大的过滤器，几乎可以满足任何条件的筛选。