企业产品网络安全建设日志0328

Actuator再次暴露

为了验证挖f的拦截效果，自己随手拼了个Actuator，结果可以访问到公司的actuator。。
据称是某网关更换新组件后未做防御，已要求全部做防御，并交由测试部全域名验证。这个会持续跟进。
目前的问题主要是：
1 没有做多层拦截，一层因配置失效导致整体防御失效发生
2 测试不完整，没有对多域名下进行覆盖测试

域名上线基线检查初见效果

主要发现了一些奇奇怪怪的问题，比如扫描到会把一个小端口，暴露出去。而这个端口是443端口上的那个内容。排查出因为某种alb调试，所以这么做的，正在推进开发消灭。

WAF更新遇波折

主要是在迁移某waf到测试环境的时候，测试团队很快就有反应了，发现了大面积的故障事件。
但又没有直接显示他是由我们WAF403拦截的。
原因是我们设防的服务器是a服务器，它跟b服务器进行通信，而b服务器又直接跟a服务器进行通信。

因为启用了一条速率控制，而测试团队正好户外测试。
引发大量服务器间通讯，而服务器并没有在我们的速率白名单里。
解决方案其实是两方面：
1 增加白名单最直接
2 增加日志留存时间，捕获这种测试团队导致的事件，较短的WAF留存会导致难以识别出这种激增的情况

301跳转推进中

之前公司采用js进行http到https的跳转，显然这个是有很多问题的。已合规检查公司是无法检测到这种跳转的，他就会把这列为一个风险项。
必须要更标准化才行。
所以有继续推进此事，通过拉起会议的方式，基本现在主责人通过一个项目的方式在推进。
这里面的主要的风险问题是有一些非常老旧的产品只支持http连接，这种都需要排查出来。