星期二, 十月 31, 2017

微商城及微会员云端部署模式

微商城及微会员v1.2将使用云端部署模式

系统要求基本环境
1. jdk1.8
2. tomcat8.5
3. mysql5.7
4. ubuntu或centos系统

目前版本只支持单企业用户,v1.3后将支持多企业用户,可以将所有销售过的用户都迁移过来

1. 添加企业信息及门店信息。
   进入管理后台 “系统设置->企业管理” 可以添加企业及该企业下面的门店。
2. 设置企业的微信公众号参数及微信支付参数。
   增加微信公众号配置功能,该功能与企业相关联
3. 申请公众号的消息模板。包括会员绑定消息、消费通知消息等。
4. 添加公众号菜单。
5. 在客户服务器上安装及启动消息客户端。
6. 设置短信通道
7. 测试

星期五, 八月 04, 2017

玺奥网站监测系统介绍

玺奥网站监测系统是在玺奥公司多年安全服务基础上形成的一套针对网站自动化安全运维的工具。该工具具有如下特色:

(一)网站状态监测。定时对网站的访问状态进行监测、确保网站能正常提供服务。
(二)网站域名解析状态监测。对从不同的IP对网站域名解析进行监测,防止DNS劫持。
(三)网站页面篡改监测。对网站关键页面进行篡改监测,保证页面不被黑客篡改。
(四)网站内容监测。对网站关键页面的内容进行监测,保证页面不出现非法内容。
(五)网站挂马监测。对网站页面的木马进行监测,在出现木马时向管理员报警。
(六)网站漏洞监测。定期对网站漏洞进行监测,在出现漏洞后想管理员报警。
(七)网站漏洞自动提醒。在网站出现问题后第一时间以短信、邮件、微信等方式通知相关责任人。
(八)网站漏洞处理。对扫描的漏洞进行闭环式管理,从漏洞的发现、确认、修复有一套完整的管理流程。
(九)漏洞处理进度查询。用户可通过微信查询系统漏洞及其它问题的处理过程、产生原因等。
(十)安全周报、月报。每周、每月向用户推送网站的漏洞及处理细节。
(十一)多网站并发式管理。可对数万网站并行进行管理,满足大型企业的需要。
(十二)基于大数据的日志分析。定期对系统产生的日志进行分析,发现系统中未知的问题。



玺奥代码审计工具介绍

玺奥代码审计工具是一款用于自动检查java(含java、jsp)源代码中的SQL注入漏洞、XSS漏洞、敏感信息泄露等常规安全漏洞的工具,该工具是在玺奥公司多年代码审计经验的基础上通过对5000万行以上的代码进行分析而形成的工具。该工具具有如下特色:

(一)该工具对源码扫描时无需提供第三方依赖包、数据库,也无需对源码进行编译,可极大的保证被扫描代码的安全。
(二)源码扫描速度快。因为工具是有针对性的代码扫描,因此其扫描速度快,在普通pc上扫描100万行源代码仅需1-3分钟,是同类型工具的数倍以上。
(三)扫描结果准确率高。通过对工具扫描结果的审查,漏洞确认率高达98%。
(四)扫描报告输出。可对扫描报告直接生成代码审计报告,方便、快捷。
(五)良好的可扩展性。该工具使用插件化的开发,可方便的进行二次开发。
(六)提供对外接口。该工具提供了自动化的系统接口,可通过接口对系统进行操作。
(七)系统支持分布式部署,可同时对多份源代码进行扫描。

星期三, 五月 24, 2017

基于openscap的基线扫描设计概述

openscap是基于scap标准的一系列开源的工具,其基本原理是基于策略的扫描系统。

现我公司有应用安全漏洞自动化测试平台,基于该平台可以实现各种扫描工具的接入,对于openscap的接入,可通过下面的方式进行:


1. 实现基于openscap的扫描器接入功能,完成任务下达、结果提取、策略同步等功能。
2. 将openscap扫描工具作为主机扫描工具的一种接入到本系统。
3. 在下达任务时可指定openscap的扫描策略(即策略文件,该文件在客户端进行管理,下面将详细叙述)
4. 结果提取,将openscap的结果提取到服务器端并进行归一化处理,以实现对主机结果的统一展示。


关于策略文件的处理。
考虑到scap可对linux主机进行远程扫描,因此接入时只需要在扫描器的机器上安装openscap客户端及扫描器客户端,在扫描器客户端实现时可以将需要扫描的策略文件(xml)放到统一的目录下(该功能后期可以在客户端增加一个简单的界面进行管理),以文件名作为策略的名称,在收到指定策略时可以使用该文件作为openscap的扫描配置文件进行扫描,最后进行结果的提取。

工作安排:
1.对openscap的学习。包括安装部署、命令接口等的研究。
2.对openscap的scanner的开发,按照scanner接口开发openscap的扫描器。
3. 在后台管理系统中增加openscap的扫描工具。

tomcat的安装

下载地址:https://pan.baidu.com/s/1eRCyXKQ

说明:Tomcat服务器上一个符合J2EE标准的Web服务器,在tomcat中无法运行EJB程序,如果要运行可以选择能够运行EJB程序的容器WebLogic,WebSphere,Jboss等
Tomcat的下载:

http://tomcat.apache.org/
 1.进入上面的网站然后如下操作使用Window Service Installer(为Window 添加服务)

2.然后我们进行安装

说明一下:
以前的版本是没有关于Role的设定,到了7.0的时候就有有关的设定,这也说明Tomcat对权限的关注





一个tomcat运行的端口号:8080

默认端口号:8080,就是说不用输入端口号,默认输入就是8080

剩下的基本就是默认的,也没什么特殊的,在这里我在说明一下Tomcat安装完成后的目录有


bin------存放启动和关闭的tomcat脚本
conf-----包含不同的配置文件
work----存放jsp编译后产生的class文件
webapp存放应用程序的目录
log-----存放日志文件
lib------存放tomcat所需要的jar文件
doc-----存放各种Tomcat文档
通过bin/startup.bat命令运行Tomcat服务器(也可以通过小圆图标来启动哦)
打开htt://localhost:8080
查看服务是否启动正常
如果出现下图,说明服务器安装成功



tomcat7.0 的虚拟目录的配置:

1.首先进入Tomcat 7.0conf的目录

2.然后点击Tomcat 7.0confCatalinalocalhost的目录下

3.最后创建一个虚拟目录的名字的xml文件如下:名字.xml

复制代码代码如下:

<Context path="/名字" docBase="D:Tomcat 7.0文件夹名" debug="5" reloadable="true" crossContext="true" />
虚拟目录创建好了。以后就可以在这个虚拟目录下操作了
(以上和前面版本的虚拟目录配置有所不同,请区别对待 )
如果使用软件的话,他们默认的是把工程发布到tomcat的webapp文件夹下,很不方便,而且还互相影响(比如myEclipse)
写一个简单的helloworld,感受一下jsp:
?
1
2
3
4
5
6
7
8
<html>
<head>
<title>简单的程序</title>
</head>
<body>
<%="chenhailong,hello world" %>
</body>
</html>