1、蜜罐是伪装欺骗+溯源的蜜罐平台，获取威胁情报
2、探针和蜜罐，探针对流量牵引到蜜罐。探针部署在某个网络，开放某个服务，检测响应把流量给蜜罐。
3、易受攻击的网段，放探针
4、探针身份被黑客发现
5、dmz选哪个类型，建议是web，如后台、登录页。但不建议有漏洞的
6、agent已被攻击，优先下线agent，免得内网泄露
7、办公内网探针是全端口监听，办公内网可选择有缺陷的蜜罐。
8、APP区的探针，开启全端口监听，伪装核心系统名称
9、403/404达到阈值，直接联动waf拦截。
10、HIDS或EDR可以记录终端的一些异常行为日志，蜜罐联动其他安全产品
11、探针是小程序/脚本，蜜罐是容器/虚拟机系统
12、探针不会对原服务器有大的资源消耗
13、蜜罐弄巧成拙，不建议有缺陷的蜜罐公布到公网
14、非护网期间，不建议对公网开放蜜罐

-跨域踩坑经验总结（内涵：跨域知识科普）
-跨域资源共享 CORS 详解

什么情况下出现跨域

浏览器有同源策略限制
前后端数据交互经常会碰到请求跨域
如果缺少了同源策略，浏览器很容易受到XSS、CSRF等攻击
例外
同源策略是浏览器需要遵循的标准，而如果是服务器向服务器的请求（后端–>后端）就无需遵循同源策略
对于<a> <script> <img> <video> <link>这类属性带有src、href的标签，允许跨域加载

常用命令

启动nginx：nginx
关闭nginx：nginx -s stop
检测配置格式：nginx -t
重启nginx：nginx -s reload

办公安全

1、齐治堡垒机给正式员工，按部门创建跳板机，区分测试和生产。开发员工禁止通过堡垒机访问生产服务器，排障的话，由运维协助，有日志平台
外包使用Jumpserver

2、金科办公网禁止Github访问，禁止pan、mail访问，脱离办公网由Macfee加黑名单

-Docker——从入门到实践
-业务容器化迁移

云原生

云原生（Cloud Native）是一套技术体系和方法论。云（Cloud）表示应用程序位于云中，而不是传统的数据中心；原生（Native）表示应用程序从设计之初即考虑到云的环境，原生为云而设计，在云上以最佳状态运行，充分利用和发挥云平台的弹性和分布式优势。

云原生的代表技术包括容器、服务网格（Service Mesh）、微服务（Microservice）、不可变基础设施和声明式API。

数据脱敏评审点

1、频率
2、数量级 全量/抽样
3、表、字段，样例及注释
4、敏感信息字段是否脱敏，脱敏方式。*模糊、MD5、加密等
5、最小化原则，是否必须提供

DDos一般D的是流量

CC攻击针对域名，制造大量的链接

隐藏服务器真实IP地址是最好的方法。
服务器前加个CDN中转，或买个高防的盾机。域名解析DNS上解析的是CDN，子网站也映射给CDN

互联网企业

1、安全测试团队，渗透测试团队，SDL流程审核
2、安全应急响应（xSRC），对外宣传和白帽子漏洞处理
3、数据及隐私合规评审，安全认证，大数据治理
4、安全研发团队，自研WAF、HIDS、内容识别、流量分析、密钥管理系统
5、安全风控，拦截薅羊毛/抢红包，触发验证码功能，用户画像/设备画像/威胁情报