參加婚禮有哪些禁忌 中式婚禮上有什麼講究

婚禮對每位新人來說都是值得尊重的時刻,也是一輩子最有意義的大事。中國是個講究 的國家,參加一場婚禮也是有很多需要的注意的東西,下面我們跟着婚滿意結婚網的小編一起來看看中式婚禮上有什麼講究吧。

參加婚禮有哪些禁忌 中式婚禮上有什麼講究

參加婚禮有哪些禁忌   1:一定不要搶新娘的風頭現在婚禮新娘既穿西式婚紗也穿中式禮服,為了不搶新娘的風頭,白色或者很淡的米色系列以及大紅色不要穿。如果新娘要求你穿,可以另當別論。另外,不要袒胸露背,招來太多關注。女性無論自己再怎麼漂亮,也不要穿得比新娘子更出彩。   2:穿着隨便衣着不整這是新人一生中的大事,穿戴整齊是對主人基本的尊重。男賓客的服裝很簡單:西裝、襯衫和領帶。但是記得穿上黑色的皮鞋,配上黑色的襪子,絕對忌諱顏色和款式和新郎撞衫。如果有可能最好換一套,如果不能換,那麼請你盡量保持低調。女士的要求就比較複雜了:如果只是參加酒席,那麼套裝、連衣裙就可以了,切忌穿黑色的網眼襪去參加婚禮也會顯得不夠正式。如果你去參加一個很正式的婚禮,你最好把珍珠取下來,繫上黑色飾帶,或穿一身小巧別緻的套服。正式的婚禮需要的是尊重,尤其當婚禮是在一個傳統的寺廟或者大教堂舉行的時候。如果婚禮招待會之後有舞會,或者主人在喜帖上註明,也要穿着較隆重的衣裙。據說在日本,參加婚禮的女士們都要穿和服,而且是專供婚禮穿的和服,可見有多麼隆重。無論穿的多麼隆重,還是要切記:千萬不可以太袒胸露背,招來太多關注。要是新郎都不停地把眼風送過來,那麼你會被新娘連下輩子都惦記上了。   3:切忌對新娘評頭品足婚禮可是一個公開場合,你可以確定坐在你旁邊的所有賓客身份嗎?說不定你的一句調笑就落入了女方那個親戚好友的耳朵里。要知道人家以後可就是夫妻雙雙,你這個外人很有可能就被新娘從新郎的好友名單裏面剔除,平白損失一個好友。即使你是新郎好友,又或暗戀新郎不得,看着那個穿婚紗的女人實在覺得新郎這堆牛糞沒有找到一朵鮮花,但是還是那一句,婚禮這一天是屬於新娘的。即使人家婚紗穿得像是蛋糕,即使長得像自然災害。   4:敬酒發言戒東拉西扯新郎新娘挨桌敬酒時,有些客人會拉着新郎或新娘長時間說話,這是不禮貌的做法。新郎新娘要應酬的是全場的客人,不能在一個客人那裡花太多時間,冷落其他人;新郎新娘挨桌敬酒是為表達對來賓的謝意,說太多無關的話題與婚禮的氛圍不符。   5:婚宴退場可以不打招呼參加婚禮的來賓如果有事可以提前退場,不必專門和新人打招呼。通常情況下客人退場應在什麼時候呢?約定俗成的做法是,以新娘娘家客人退席為標誌。這時候,賓客也不用一一與新郎新娘打招呼,因為他們要應酬的人依然會很多。   6:鬧洞房時過分取笑以前鬧洞房是婚禮的必備組成部分,現在有些婚禮就簡化了,很多賓客在酒席上就開始捉弄兩位新人。一些既搞笑又有意思的遊戲確實有助於將婚宴的氣氛推至高潮,新人還是會心甘情願地被玩的。但是謹記不要做得太過分呀!

以上這些是中式婚禮習俗的有關禁忌,新人們一起來看看吧。

本站聲明:網站內容來源婚滿意https://www.hunmanyi.com,如有侵權,請聯繫我們,我們將及時處理

【結婚物語資訊網】

專業婚禮錄影團隊,用鏡頭記錄人生中值得紀念的一刻!

婚禮籌備好崩潰!該找婚攝還是婚錄?新人必備教戰守則

婚禮影片不NG,婚禮錄影mv精彩重現讓賓客感動熱議

給婚攝的迎娶婚禮錄影必拍清單,沒拍到您一定會後悔!

2019推薦婚禮錄影台北精選18家專業團隊

參加婚禮有哪些禁忌 中式婚禮上有什麼講究

結婚禮物的十大禁忌 送結婚禮物要注意什麼

結婚本來就有很多習俗和禁忌,好朋友的婚禮你肯定想準備一份精美的禮物吧,送結婚禮物也是有一定講究的哦。下面我們就來具體了解了解這些送結婚禮物的十大禁忌吧,以免自己出洋相哦。

結婚禮物的十大禁忌 送 的禁忌,還在選結婚禮物的你一定要好好看看哦,希望可以為大家帶去幫助。

本站聲明:網站內容來源婚滿意https://www.hunmanyi.com,如有侵權,請聯繫我們,我們將及時處理

【婚禮婚紗資訊網】

省錢度蜜月!想知道哪裡可以找到最優惠的基隆婚紗呢?

婚紗道具懶人包,基隆婚紗照超有梗,激發你的拍照魂!

超熱門!基隆婚紗攝影外拍推薦十大景點!

分享10家基隆婚紗照精選作品推薦一覽

全台評選最夯外拍大公開,基隆婚紗廢墟外拍阿根納造船廠遺址超吸晴!

結婚禮物的十大禁忌 送結婚禮物要注意什麼

黑客是如何利用你的瀏覽器進行挖礦的?

網站內容來源http://server.it168.com/

黑客是如何利用你的瀏覽器進行挖礦的?

2018-05-30 18:05    來源:FreeBuf.COM  作者: 千里目安全實驗室 編輯:
0購買

  0×1 概述

近期,千里目安全實驗室監測到了一大批網站系統被惡意植入了網頁挖礦木馬,只要訪問者通過瀏覽器瀏覽被惡意植入了網頁挖礦木馬站點,瀏覽器會即刻執行挖礦指令,從而淪為殭屍礦機,無償的為網頁挖礦木馬植入者提供算力,間接為其生產虛擬貨幣,這是一種資源盜用攻擊。由於網頁挖礦木馬存在很廣的傳播面和很不錯的經濟效益,因此、廣受黑產團體的追捧,讓我們對它防不勝防!

 0×2 千里百科

區塊:在區塊鏈網絡上承載交易數據的數據包。它會被標記上時間戳和之前一個區塊的獨特標記。區塊頭經過哈希運算後會生成一份工作量證明,從而驗證區塊中的交易。有效的區塊經過全網絡的共識後會被追加到主區塊鏈中。

區塊鏈:狹義來講,是一種按照時間序列將數據區塊以順序相連的方式組合成的一種鏈式數據結構,並以密碼學方式保證的不可篡改和不可偽造的分佈式賬本。

礦機:礦機是挖礦機器的簡稱,就是用於賺取数字貨幣的計算機,這類計算機一般有專業的挖礦芯片,多採用燒顯卡的方式工作,耗電量較大。個人計算機可以通過挖礦軟件來運行特定的算法產生算力(俗稱挖礦)來獲得相應数字貨幣。

礦池:由於單一礦機想挖到一個塊的幾率是非常小的,通過礦機聯合挖礦以提高几率。一個礦池的算力是很多礦機算力的集合,礦池每挖到一個塊,便會根據你礦機的算力占礦池總算力的百分比,發相應的獎勵給到個體,也不會存在不公平的情況。

挖礦:挖礦是反覆嘗試不同的隨機數對未打包交易進行哈希,直到找到一個隨機數可以符合工作證明的條件的隨機數,以構建區塊。如果一個礦工走運併產生一個有效的區塊的話,會被授予的一定數量的幣作為獎勵。

錢包:錢包指保存数字貨幣地址和私鑰的軟件,可以用它來接受、發送、儲存你的数字貨幣。

  0×3 家族樣本分析

千里目安全實驗室通過持續對全網進行安全監測,發現近期有如下十種家族的網頁挖礦木馬的傳播比較活躍。詳情分析如下所示:

  1、Coinhive家族網頁挖礦木馬介紹:

Coinhive是一個專門提供挖礦代碼的JS引擎,在被攻擊網站的網頁內嵌一段JS挖礦代碼,只要有人訪問被攻擊的網站,JS挖礦代碼就會通過瀏覽器上執行挖礦請求,佔用大量的系統資源,導致CPU資源利用率突然大幅度提升,甚至100%。在這過程中網站只是第一個受害目標,而網站的訪問者才是最終的受害目標。

1.1、Coinhive家族網頁挖礦木馬代碼,如下所示:

1.2、執行JS挖礦代碼前後的效果,如下圖所示:

1.3、通過快捷鍵(Shift+ESC)來查看瀏覽器的任務管理器,發現正是剛打開的“XMR Mining Page”網站頁面佔用了98.4%的CPU資源,正在瘋狂的挖礦。如下圖所示:

  2、JSEcoin家族網頁挖礦木馬介紹:

JSEcoin是與Coinhive類似的JS挖礦引擎,也是在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。但是與後者不同的是,JSECoin會將CPU使用率限制在15%至25%之間,並且始終显示隱私聲明,為用戶提供退出選項(可選擇不提供運算服務)。

2.1、JSEcoin家族網頁挖礦腳本代碼,如下所示:

2.2、通過對JSEcoin挖礦代碼進行調試,發現執行完挖礦代碼後會持續接收到需要運算的任務,如下圖所示:

2.3、通過進一步跟蹤運算過程,發現其通過WSS協議來獲取區塊的計算任務,然後將結果進行回傳效驗,校驗通過的會显示OK標記。如下圖所示:

  3、CryptoLoot家族網頁挖礦木馬介紹:

CryptoLoot是與Coinhive類似的JS挖礦引擎,也是在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。不過CryptoLoot平台的傭金比Coinhive平台的傭金低很多,這可以大大降低以挖礦為盈利目標的黑色產業鏈成本。

3.1、CryptoLoot網頁挖礦腳本代碼,如下所示:

3.2、CryptoLoot網頁挖礦腳本代碼參數介紹,如下所示:

miner.min.js:為JS挖礦腳本。

85e693dfe57edbdf8f53640b4c0b0d257513a504c503:為SiteKey,可以理解為JS挖礦引擎識別站點的唯一標識。

threads(value):指挖礦運算所啟用的線程數量。這裏的值為3,即表示啟用3個線程進行挖礦運算。

autoThreads(value):這裏的Value可以設置為true和false,當設置為true時,表示自動檢測用戶計算機上可用的CPU內核數量。

throttle(value):這裏的value是設置線程閑置時間比例的。如果值為0,即表示不進行節流(即進行CPU滿載運算)。這裏的值為0.2即表示將在20%的時間內保持空閑狀態。

 4、DeepMiner家族網頁挖礦木馬介紹:

DeepMiner是一個開源的JS挖礦項目,也是在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

4.1、DeepMiner網頁挖礦腳本代碼,如下所示:

4.2、DeepMiner網頁挖礦腳本同源分析:

DeepMiner是一個已經被開源了的項目,通過分析,發現上面的挖礦腳本代碼為此開源項目修改而來(開源項目地址為:https://github.com/deepwn/deepMiner)。

 5、Webmine家族網頁挖礦木馬介紹:

Webmine也是一個與Coinhive類似的JS挖礦引擎,在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

5.1、Webmine網頁挖礦腳本代碼,如下所示:

5.2、訪問JS挖礦站點時,發現CPU使用率劇增,隨後退出對JS挖礦站點的訪問,發現CPU的使用率一下子就降下來了。如下圖所示:

6、AuthedMine家族網頁挖礦木馬介紹:

AuthedMine也是一個與Coinhive類似的JS挖礦引擎,在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

  6.1、AuthedMine網頁挖礦腳本代碼,如下所示:

6.2、 AuthedMine網頁挖礦腳本與之前的幾種相比有比較大的改進,大致如下3點:

設置了線程閑置時間比例,這樣不容易被礦機受害者發現和察覺。

設置了挖礦設備類型,只對非移動設備進行挖礦運算,防止手持終端設備被卡死。

設置了挖礦運算時間,只挖礦4小時,避免長時間CPU過高而遭暴露。

  7、BrowserMine家族網頁挖礦木馬介紹:

BrowserMine是一個與DeepMiner類似的JS挖礦引擎,也是在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

7.1、BrowserMine網頁挖礦腳本代碼,如下所示:

7.2、 執行JS挖礦代碼前後的效果,如下圖所示:

  8、Coinimp家族網頁挖礦木馬介紹:

Coinimp是與Coinhive類似的JS挖礦引擎,也是在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。稍有不同的是Coinimp的平台費用基本免費,而且JS挖礦腳本可以重置為任意名字存放在本地,偽裝性更高。

8.1、Coinimp網頁挖礦腳本代碼,如下所示:

8.2、Coinimp網頁挖礦腳本代碼與之前的幾個有一個明顯的區別就是SiteKey值變成了64位,同時,JS挖礦代碼可以保存到本地存儲了,訪問參數與JS腳本名稱可以自行定義。

  9、CryptoWebMiner家族網頁挖礦木馬介紹:

CryptoWebMiner是與Coinhive類似的JS挖礦引擎,也是在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。不過CryptoWebMiner平台的傭金比Coinhive平台的傭金低很多,這可以大大降低以挖礦為盈利目標的黑色產業鏈成本。

9.1、CryptoWebMiner網頁挖礦腳本代碼,如下所示:

9.2、CryptoWebMiner網頁挖礦腳本代碼結構與Coinhive很類似,但支持的幣種比較多,主要有BTC、ETH、ZEC、ETN、XMR。另外,它支持的平台也很多,分別為手機端挖礦、PC端挖礦、WEB端挖礦,可見傳播面很廣。

  10、PPoi家族網頁挖礦木馬介紹:

PPoi是與Coinhive類似的JS挖礦引擎,也是在有訪問量的網站中嵌入一段網頁挖礦代碼,利用訪客的計算機CPU資源來挖掘数字貨幣進行牟利。

10.1、PPoi網頁挖礦腳本代碼,如下所示:

10.2、通過訪問PPoi平台官方地址,發現已經被Google GSB加入黑名單了。如下所示:

0×4 趨勢分析與統計

1、我們通過對分析過的網頁挖礦木馬代碼特徵,使用FOFA對全球所有在線Web應用系統進行統計,發現有60742892個Web應用被惡意掛載了網頁挖礦木馬。如下為全球TOP10地域的網頁挖礦木馬感染量和分佈情況。詳情如下所示:

統計數據來自於FOFA平台

2、進一步通過這些網頁挖礦木馬的代碼特徵來對中國境內所有在線Web應用系統進行分析和統計,發現有4557546個Web應用被惡意掛載了網頁挖礦木馬。如下為中國境內TOP N地域的網頁挖礦木馬感染量和分佈情況。詳情如下所示:

統計數據來自於FOFA平台

0×5 安全建議

ü 定期對服務器中的數據做備份,看到類似以上10種形態的可疑腳本代碼,需提高警惕(這很可能意味着我們的站點和服務被入侵了 ),找專業的安全人員來做分析和處理。

ü 如在服務器中發現存在可疑的後門或惡意代碼,需做全局的排查和清理,然後再做安全加固工作。

ü 定期主動對服務器及服務器中的應用進行安全評估,及時發現潛在的風險,並及時處置和修復。

0×6 IOCs

C2:

https://coinhive.com

https://coin-hive.com

https://webmine.cz

https://webmine.pro

https://munero.me

https://load.jsecoin.com

https://browsermine.com

https://authedmine.com

https://crypto-loot.com

https://cryptaloot.pro

Home

URL:

https://coinhive.com/lib/coinhive.min.js

https://coin-hive.com/lib/coinhive.min.js

https://crypto-loot.com/lib/miner.min.js

https://cryptaloot.pro/lib/miner.min.js

https://authedmine.com/lib/authedmine.min.js

https://ppoi.org/lib/projectpoi.min.js

網站內容來源http://safe.it168.com/

【精選推薦文章】

自行創業 缺乏曝光? 下一步”網站設計“幫您第一時間規劃公司的門面形象

網頁設計一頭霧水??該從何著手呢? 找到專業技術的網頁設計公司,幫您輕鬆架站!

評比前十大台北網頁設計台北網站設計公司知名案例作品心得分享

台北網頁設計公司這麼多,該如何挑選?? 網頁設計報價省錢懶人包”嚨底家”

黑客是如何利用你的瀏覽器進行挖礦的?

跟着大公司學安全之BeyondCorp安全架構

網站內容來源http://server.it168.com/

跟着大公司學安全之BeyondCorp安全架構

2018-05-30 22:35    來源:Freebuf  作者: mcvoodoo 編輯:
0購買

過去這些年,技術發生了很大的革命,雲計算改變了業務方式,敏捷改變了開發方式,某寶改變了購物方式。而在內部安全上,零信任則提供了一個新的模式。

過去這些年,各種數據泄漏層出不窮,我懶得去找例子,反正比比皆是,從大公司到小公司,從政府到商業機構。這說明什麼呢?這說明我們過去的方法出了問題,以前基於邊界來劃分可信不可信的辦法行不通了。

傳統的內部安全外圍取決於防火牆、VPN來隔離,但隨着員工用自己的電腦、用自己的手機、再加上雲計算,整個網絡邊界越來越模糊。零信任安全則直接在概念上顛覆了原有概念,內部用戶比外部用戶更不可信!看以往的各種案例,太多由於黑客掌握了密碼,證書之後得手的攻擊。因此,對這些內部用戶零信任,可能是未來減少數據泄漏的主要方法。

  一、Google實踐

Gartner提出了CARTA方法論,意為持續自適應風險與信任評估,包含了零信任安全的核心元素。當然,更關鍵的是,Google已經在15年就開始付諸實施,這個項目就是大名鼎鼎的BeyondCorp,開始從本質上改變。BeyondCorp完全不信任網絡,而是基於設備、用戶、動態訪問控制和行為感知策略。零信任需要一個強大的身份服務來確保每個用戶的訪問,一旦身份驗證通過,並能證明自己設備的完整性,則賦予適當權限訪問資源。所以這裡有四個元素:驗證用戶、驗證設備、權限控制、自學習和自適應。

  1. 驗證用戶

驗證用戶最基本的是用戶名和密碼,但怎麼確保這個密碼不是從黑市上買來的?所以就出現了多因素認證來獲得額外的保證,國內一般是短信驗證碼或軟硬件token,當然現在也開始逐漸出現人臉、指紋等。用戶有很多類型,普通用戶、管理員、外包、合作夥伴、客戶,多因素認證都可以適用。

  2.驗證設備

要實現零信任安全,要把控制擴展到設備級。如果設備未經過驗證,設備就不可信。如果用戶數用常用、可信設備訪問,則有可信度。如果他在網吧用一台電腦來登陸,那這個信任度就低。設備驗證還包括了一些安全准入條件,比如是否安裝殺毒軟件和最新補丁。

 3. 限制訪問權限和特權

限制用戶最小權限的訪問,就可以限制攻擊的橫向移動。其次是對業務應用的授權,業務層包含大量敏感數據,是攻擊的首要目標,因此在應用側限制權限也同樣重要。數據越重要,權限越少,也可以用多因素來進一步驗證。

  4.自學習和自適應

收集用戶、設備、應用和服務器數據和行為信息,形成日誌數據庫進行機器學習分析,達到異常識別的目的,比如從異常位置訪問資源,則立即觸發強認證。

  整個方案有幾個好處:

一是重新定義了身份,以前都是根據角色進行的,而零信任模型則更加動態,用時間、屬性、狀態的組合來實時評估。

二是集中控制,所有的流量都通過中央網關來處理認證和授權,這種網關可以攔截所有到資源之間的通信。但中央網關不是只有一個,而是分佈式的,只是邏輯上的集中。BeyondCorp就在每個受保護的資源之前放了一個反向代理服務。

三是主動防範,能夠檢查日誌做審計是一回事,能夠實時攔截主動防範則是另一回事了。

Google的方法很好,值得借鑒,但不一定要完全照搬。每個企業有自己的實際情況,要是上來就干,可能會導致更多的問題。根據Google的幾篇論文,我試着分析一下實現路徑做參考。

  二、信息收集

整個項目上,第一步要實現的就是數據的收集,收集數據的作用是掌握全局,包括賬號和應用的流向關係、網絡架構、應用協議等。在這個過程中也能清理掉很多沒用的系統和賬號。而數據的收集分為幾種:

  1、設備信息

因為設備驗證屬於一個重要環節,因此要對設備進行清點。Google要求所有設備都有IT管理,並且保存一個資產庫,但這在國內企業中並不現實,例如有的員工自帶電腦,自帶手機。所以實際上需要在Google的思路上有所拓展,雖然我不知道,但我可以通過設備指紋來建立一個資產庫。每個設備都有的獨一無二的標識,通過標識,把員工常用設備作為可信設備,從而建立自己的資產庫。

  2、梳理訪問記錄

零信任的目標是完全消除靜態密碼的使用,轉為更加動態的驗證,可以對每個單獨的訪問發布範圍、時間的證書。這是這個架構的好處,也是防範內部風險的最佳答案。所以需要掌握公司內部的訪問記錄,常見是通過SSO訪問日誌來進行。而且定期review內網訪問日誌,也應該是一個常態化工作。梳理這個的目的,是了解賬戶和應用之間的關係。

  3、系統架構圖

零信任的目標是拋棄掉網絡層的訪問控制,但現實是需要在整個過程中逐步改造,因此需要掌握網絡拓撲,掌握各訪問控制的位置,掌握資源位置。最後才能達到把訪問控制放到應用側來實現。所以這裏的着眼思考點是,如果我把這個資源放到互聯網上,需要怎麼控制。

4、流量日誌

流量是基於網絡拓撲來的,在應用日誌完備的情況下,甚至可以不需要做流量日誌。不過考慮到大家的實際情況,還是加上比較好。另外網絡內跑的協議也很重要,Google在計劃階段發現網內使用了各種協議,因此在新系統中作了嚴格的規定,以HTTPS和SSH為主要協議。

  二、訪問策略

在Google的論文中,多次提到了他們在形成這個框架時面臨的挑戰,為了有效推進,這個安全措施必須在全公司強制執行,覆蓋廣泛且易於管理。這其實在很多公司是個不容易的事情。而且Google也提到,安全架構不應該影響生產力,在國內就是就是安全不應影響業務。因此把敏感應用放到公網上,需要小心謹慎。零信任要求每個請求都完整驗證身份,授權和加密,這個信任是基於動態用戶和設備決定的,而不再基於網絡單一維度進行判斷。

數據收集以後,接下來要做的事情就是訪問策略框架了。Google整個項目周期是7年(淚奔,7年後我還在不在現在的公司都不好說),提到的建議是情景決策,換成中國話的意思就是業務場景。例如我是一個運營,要去訪問運營報表系統,那麼我用公司給我的筆記本電腦登錄報表系統,然後通過跳板機登陸到Hadoop上去調整源數據。這些業務場景會告訴你一些信息,運營應該授予報表系統、Hadoop權限,而在這裏的授權元素包括,設備、角色、被訪問資源、時間等。

  1、數據字段

聽上去比較彆扭,換成中國話的意思,要收集那些數據維度,以用做訪問控制要素。常見的比如組織架構、角色。新增的設備與用戶配對關係,也包括比如操作系統是否更新,殺毒軟件是否安裝這些設備狀態。同時也可以包括更多的要素:時間、位置、多因素等。這些條件組成了驗證規則,但這太容易被猜測出來了,所以在這個基礎上,還可以增加一些新的判斷字段,比如wifi的mac等信息。

 2、規則

接下來制定規則,規則中除了包括上面所說的字段,還應包括行為信息。例如有一個提出離職的員工,進入文檔系統大量下載文檔,這就是一個風險。可能需要的規則是,打通PS系統掌握誰提出了離職,然後限制該員工對文檔系統的大量下載行為。再細分一點規則,主動離職和被動離職對系統的風險是不同的,下載和查看文檔也是不同的。

規則中一個常見錯誤是設置了太多細緻的規則,Google在實踐中遇到了這個問題,最終他們在代理服務的粗粒度,和後端資源的細粒度之間找到了平衡點。在論文中他們提到了兩個例子:

全局規則:粗粒度,影響所有服務和資源。比如“底層設備不允許提交代碼”。特定服務規則:比如G組中的供應商允許訪問web應用A。

如果規則太複雜,或者對資源規定太過具體,那對規則的語言是很有挑戰性的,所以應該用一套任何人都可以理解的策略規則。Google的做法是從粗規則開始,然後再將RBAC和ABAC引入。

  3、權限

零信任是把信任從外圍改變到端點,目標是在不斷變化的環境中基於動態用戶和設備,做出智能的選擇。BeyondCorp是最小權限原則,通過不斷地處理用戶、設備、行為數據,為這些數據建立信任值,每個資源都有一個信任層,必須滿足才能訪問。比如你的手機版本過低,系統會給你一個低信任評分。當你訪問工資數據的時候,需要你有更高的信任等級。你必須把手機版本升級,否則不能訪問資源。這其實和金融里的信用分一個意思,這些元素的組合形成了分數。

但有一點,就是要明確的告訴用戶,基於什麼原因,你的分數過低,要把補救方法明確的提示出來,不然用戶就陷入了迷思,然後會幹出一些亂七八糟的事情出來。換句話說,可以把規則形成問題,你的補丁打了嗎?殺毒軟件更新了嗎?然後通過驗證這些問題,賦予權限。

 三、訪問控制

策略訂好了以後就是控制措施,這裏也是國內大多數公司和Google做法有分叉的地方,Google當然有能力自己造所有輪子,操作系統都能自己寫,但國內公司很少會這麼干,同時在內部這些應用里,或多或少都會有外購的應用系統。

  1、微服務

傳統系統已經做了很多訪問控制手段,有的可能就是一個SSO賬號,這種方式是角色、權限是在後面邏輯上處理的,也就是說,你先進入內網門戶,然後通過門戶進入各個子系統。在進入門戶這個環節並不做後面的資源的驗證,把驗證放在了後端應用上處理。這也就是之前烏雲還在的時候,我們看到一旦拿到一個員工賬號,就可以在內部各種橫向漂移。

而在Google,則使用了微服務,把驗證邏輯和資源系統隔離,以實現靈活的驗證。加入你們採購了外部的一個財務系統,那麼財務系統在這裏只看作是一個原始數據的記錄系統。通過微服務方式的解耦,服務之間不再需要關心對方的模型,僅通過事先約定好的接口來進行數據流轉即可。因此策略層改變起來也很容易,這是其中一個關鍵。

  2、集中處理

零信任中有一個處理所有流量的ACCESS GATEWAY,這是個反向代理服務,集中了身份驗證和授權過程,統一進行處理,也是理想的日誌監控點。代理服務支持PKI證書,所有請求都通過HTTPS提供給網關,用戶和設備的數據在這時候被提取出來進行驗證授權。再接下來則是SSH,RDP或TLS連接,與資源進行安全會話,這就大大限制了攻擊面。

在某個時間點,根據動態數據來配置身份驗證,而不是單純的依靠網絡。這就是零信任系統的能力。但在初期的時候,這個動態,是需要經過磨合的。最簡單的例子是根據大多數人的共同的行為來調整策略,這裏就需要機器學習來輔助,讓機器來了解共同行為是什麼意思。

  四、資源遷移

最後一步則是資源的遷移。資源遷移有個灰度過程,關鍵系統往後放,先從簡單應用開始,這個應用應該適合粗粒度規則,且數據敏感度比較低,比如內部的wiki這種。為了防止在這個過程中的數據泄漏,Google初期是並聯傳統系統的,然後逐漸割接。Google非常強調他們把所有資源都放到公網上,消滅了網絡分區需求。但實際上,我們大可不必這麼冒險,傳統基於網絡層的控制方法仍然可以使用。

通過這個邏輯,只需要把流量指向訪問結構,就可以保護資源。在所有流量都經過網關的情況下,需要確保和應用的連接是安全的,每個請求必須端到端加密。但只有這麼個安全隧道是不夠的,還需要確保每個請求都被完全驗證授權,方法上可以是對請求證書和關聯數據進行簽名,再配置應用驗證,也可以是對特定IP列入白名單。

  五、總結

Google在基礎架構安全上付出了巨大的努力。我在看這些paper的時候就在想,為什麼Google公開宣傳內部的安全實踐呢,我以小人之心揣測,可能與Google雲相關,從Google一系列的博客來看,信息保護一直都是重點範圍。但對於我們這些安全從業者來說,這5個paper提供了很多安全的先進點,讓我們一探頂尖互聯網企業的基礎安全架構。整個閱讀理解過程中,有幾句話我覺得是特別值得總結的:

1、“我們不依賴於內部網絡分隔或防火牆作為我們的主要安全機制”

我曾在阿里工作過幾年,早在14年阿里安全就提出“去防火牆”。但當時的“去防火牆”思想,更多的是擺脫傳統盒子硬件防火牆層次,和Google還不一樣。零信任的核心主題是,它是一個無周邊架構,這和Google的員工分佈在全球各地辦公有關係。這並不是說防火牆完蛋了,而是說不作為“主要”安全機制。但是在借鑒過程上,去防火牆不是第一步,而應在各種認證、授權等機制建立后的最後一步。

2、“最終用戶登陸由中央服務器驗證,然後中央服務器向用戶端設備發送憑證,例如cookie或OAuh令牌,從客戶端設備到Google的每個後續請求都需要該憑據”。

零信任基於用戶和設備的狀態做出智能決策,憑證是動態的,也就是可撤銷、可審計、有較短時間期限。這其中說,每個後續都需要該憑據,這就是零信任的精髓了。

3、“實際上,任何發布的服務都使用GFE作為智能反向代理前端,這個代理提供了DNS,拒絕服務保護,TLS終止和公共IP託管”

把內部應用放到公網,可以實現端到端的前向加密,但卻讓系統面臨攻擊,通過反向代理來管理這些流量。現實而言,我們並不需要這麼激進,抗ddos保護對於中小企業來說,還是應該依靠外部力量。

4、“在企業局域網上不是我們授予訪問權限的主要機制。相反,我們使用應用程序級的訪問管理控制,允許我們只在特定用戶來自正確管理的設備以及期望的網絡和地理位置時才將內部應用程序公開。

身份認證是整個流程中的重要部分,但零信任獨特在於:用戶、設備組成一個可以實時進行信任決策的配置文件。舉例來說,我在北京從我的手機上登陸crm應用,那肯定不會在同一時間允許我在上海的pc上登陸。訪問策略上要麼允許,要麼提示你另一個認證因素。

安全性和可用性一直存在互相矛盾,安全部門要在這裏尋找平衡。每個公司也都有自己的風險容忍度,有的公司因為月餅開除員工,有的公司因為雲盤上傳開除員工。每一個處罰,都會引起內部很多爭論,對於零信任來說,決策是動態的,允許更多的自適應,其中機器學習是這裏的重要工具。

5、“我們積極地限制和監督已經被授予基礎設施管理權限的員工的活動,提供能安全和可控的方式完成相同任務的自動化,不斷努力消除特定任務的特權訪問需求。

零信任目的在減少內部威脅,整個架構中學習和適應是重要環節。同時也對自動化很敏感,在這麼大一個全球企業中,人工是不現實的。另外,整個項目對特權的檢查,會比對普通權限的檢查要仔細的多。

網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計後台網頁設計

帶您來看台北網站建置套版網頁設計台北網站改版設計台北RWD響應式網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

跟着大公司學安全之BeyondCorp安全架構

新手上路 | 上傳Word文件形成存儲型XSS路徑

網站內容來源http://server.it168.com/

新手上路 | 上傳Word文件形成存儲型XSS路徑

2018-05-31 13:25    來源:FreeBuf.COM  作者: clouds 編譯 編輯:
0購買

在滲透測試過程中,每當看到目標測試網站存在上傳功能時,總會激起我的好奇心。如果能夠走運的話,若目標網站服務器是PHP或ASP架構,而且上傳功能沒作後綴過濾,這樣就能導致可以直接上傳反彈腳本形成控制。如果這招行不通,我會嘗試上傳一個HTML頁面去觸發我自己設置的客戶端javascript腳本形成XSS攻擊。本文我就分享一個上傳docx文件形成存儲型XSS漏洞的實例。

  測試上傳功能

剛好在某次Web測試工作中,我發現目標網站上傳功能中,用一個未授權用戶即可上傳自己的文件,該上傳功能中允許用戶上傳.docx文件:

當把這種.docx文件上傳之後,它還能被下載。通過比較發現,上傳成功的文件uploaded.docx和服務器上其對應的可下載文件downloaded.docx之間存在着一些不同,也就是說,文件上傳成功之後,在提供下載之前,服務器會對這個上傳文件進行一些處理操作,之後,再提供下載。

  用來上傳的文件必須是一個有效的.docx文件,那基於瀏覽器的解析显示來說,它可能會把它轉換為html格式來显示,那我能不能把它後綴作個更改呢?所以我先來試試在POST請求中把.docx後綴更改為.html看看:

  當這個.html文件上傳之後,向服務器請求這個文件后,服務器會把其Content-Type頭默認為text/html,這樣的話,瀏覽器會把這個文件解析為HTML執行:

 插入XSS Payload

這樣,我就想到了把XSS Payload捆綁到一個像下圖這樣的.docx壓縮文件中去。由於這是.docx經直接把後綴更改為.zip的壓縮格式文件包樣例,我需要確定在上傳或Web解析過程中某些不會被轉儲更改的區域,最後,我發現了這種docx變zip壓縮格式包中的某些文件路徑會保持原樣,像下圖這樣,我把其中的Settings.xml文件名加上了一長串字母好待區分。

之後,再把這個zip格式後綴還原為docx格式,用UItraEdit查看hex代碼,再在保持原樣的區域中覆蓋掉一些字節,插入我自己設置的JavaScript XSS代碼:

上傳時,服務器能正常接收這個經過構造的.docx文件,在HTTP POST過程中,我把它的後綴更改為.html後綴進行了最終上傳:

向服務器請求這個文件時,它能被服務器解析為HTML文件,其中包含了完整的之前插入的XSS Payload代碼:

  當然瀏覽器解析之後,也能成功執行其中插入的XSS Payload:

  為了對這種XSS攻擊進行混淆隱蔽,攻擊者可以在其中加入一個包含URI統一資源標識符的隱藏iframe框架,能對受害者產生迷惑效果,像下圖這樣:

  防護措施

這樣的效果對於開發者來說應該採取以下手段來進行限制。

文件上傳之前,在服務器端驗證上傳文件格式是否為.doc或.docx有效格式;

嚴格限制Content-Type頭,對Content-Type頭或特定後綴格式更改過的上傳文件須保持與上傳文件相同的Content-Type頭信息;

控制文件下載時的其它操作情況,添加響應標頭:“Content-Disposition: attachment”,以防止在瀏覽器中內嵌显示文件;

過濾掉所有包含HTML標籤的上傳,因為docx可經壓縮篡改其中包含的HTML文件。

網站內容來源http://safe.it168.com/

【精選推薦文章】

如何讓商品強力曝光呢? 網頁設計公司幫您建置最吸引人的網站,提高曝光率!!

想要讓你的商品在網路上成為最夯、最多人討論的話題?

網頁設計公司推薦更多不同的設計風格,搶佔消費者視覺第一線

不管是台北網頁設計公司台中網頁設計公司,全省皆有專員為您服務

想知道最厲害的台北網頁設計公司推薦台中網頁設計公司推薦專業設計師”嚨底家”!!

新手上路 | 上傳Word文件形成存儲型XSS路徑

什麼罐頭最下火

文章導讀

罐頭應該是不少人都喜愛吃的一種零食,並且罐頭的製作方法較為簡單,所以家中有條件的人也可以在家中製作一些簡易罐頭。從罐頭的發明開始,罐頭就受到了廣大人民的歡迎,並且罐頭的種類也是豐富多樣。其中水果罐頭口味是最受歡迎的一種罐頭,而哪一種水果罐頭吃了最下火呢?

吃什麼罐頭去火

1、石榴罐頭

石榴身上有着濃濃的異域風情,性溫、味甘酸澀的它入肺、腎、大腸經,生津止渴,收斂固澀,是適合保養身體的好食材。況且石榴不同於其他水果的地方在於,它需要我們用心地去對待那一顆顆珊瑚紅的果實,讓這一刻充滿了童心。

2、蘋果罐頭

蘋果營養豐富,是一種廣泛使用的天然美容水果。蘋果中所含的大量水分和各種保濕因子對皮膚有保濕作用,維他命C能抑制皮膚中黑色素的沉着,常食蘋果可淡化面部雀斑及黃褐斑。另外,蘋果中所含的豐富果酸成分可以使毛孔通暢,有祛痘作用。

3、荸薺罐頭

且不管荸薺是水果還是蔬菜的爭論結果到底如何,我們只關心它給我們帶來什麼樣的健康。清肺熱和解毒就是它最大的功效,而清脆多汁的時令荸薺不論是入菜,還是做甜品都一樣受歡迎。

4、獼猴桃罐頭

獼猴桃含有豐富的維他命C和維他命E,不僅能美白肌膚,還能提高肌膚的抗氧化能力,在有效增白皮膚,消除雀斑和暗瘡的同時增強皮膚的抗衰老能力。

5、柑橘罐頭

柑橘類溫和的個性讓它在這個秋天成為水果之王,雖然現在每個季節都能找到柑橘,但秋天成熟的才是最多吸收天地精華的良品。它的好處不用多說,單單是想到它的清新味道,就夠除燥,提神醒腦的了。

6、雪梨罐頭

雪梨味甘性寒,能潤肺、降火、解毒、治療風熱、生津潤燥、清熱化痰、利尿,很多人用它來做成冰糖雪梨潤肺止咳。由於它們性本寒,吃多了會傷害脾胃,所以身體虛冷的人,應該盡量少吃。

7、橙子罐頭

味甘性平,具有舒肝,行氣止疼作用。主要用於行厥陰滯寒之氣,以及婦女乳汁排出不暢及乳房紅腫結硬疼疼等。

8、枇杷罐頭

利肺氣,化痰止咳(熱咳),和胃降氣,有清涼生津解渴作用。便秘、療瘡、支氣管炎者忌食。

上面所介紹的就是吃什麼罐頭去火,相信大家已經有所了解了,另外想要告訴大家,在我們日常生活中上火是常見的現象,不會是什麼特別大的病,平時注意飲食,合理搭配,多吃些清淡的食物,多吃些防火去火的水果,大家一定要記得哦。

網站內容來源https://www.cndzys.com/yinshi/網站內容來源https://www.cndzys.com/yinshi/

【精選推薦文章】

想知道台東名產人氣商品是什麼?想知道更多台東知名伴手禮有哪些?

想知道全國票選五大台東必買台東伴手禮最佳商品哪裡買的到?

台東團購美食台東必買零食首選都在”購夠台東

台東人氣名產台東人氣伴手禮,熱門獨家商品,現貨供應中

什麼罐頭最下火

晚上喝橙汁好嗎

文章導讀

橙子雖然含有豐富的水分,並且果糖含量也較高,但是大家一定要注意,橙子即使好吃,可是也不適宜多吃,因為橙子多吃的話會導致腹瀉問題,並且會讓一個人的皮膚變黃。不少人在晚上的時候會使用榨汁機榨鮮橙汁飲用,雖然晚上喝水果汁有助於清空宿便,可是晚上喝橙汁真的對身體有好處嗎?

怎麼說呢,水果儘管可以減肥,但任何水果都不建議肆意多吃的,橙子也不例外,適量吃橙子不會胖,還能減肥呢。但是,隨意多吃,特別是臨睡前多吃橙子更容易發胖。橙子本就糖分高,糖類與脂肪之間的轉化是雙向的,加上這個時候,你的胃已經接近空腹狀態,吃水果既不利於吸收有用的營養成分,更加會發胖。

適當吃橙子可以減肥

1、水分高熱量低:橙子的含水量較高,熱量在水果中屬於中下水平,其膳食纖維含量高,而且熱量又低,能夠增加飽腹感,多食還能幫助排便,更有助於減少人體內積聚已久的毒素。

2、多纖維開胃消脂:橙子多纖維又低卡,含有天然糖分,是代替正餐或糖果、蛋糕、曲奇等甜品的最佳選擇,嗜甜而又要減肥者可以吃橙子來滿足對甜食的慾望。橙子開胃消脂,其中含有的天然糖分,還能夠代替正餐,補充和維持人體中的血糖水平。

一天吃幾個橙子最好

橙子雖好,但也不要肆意多吃,最好在3個以內,3個橙子的維生素已足夠,多了對人體有害,比如吃多了容易傷肝氣,發虛熱。吃橙子的上限是4隻中等體積的橙子,而且更不要集中一起吃,要分早上、中午、晚上來吃。

橙子吃多了會怎麼樣

1、不易消化

橙子吃太多了,身體沒有辦法消化,就會一直囤積着。慢慢會傷肝氣,發虛熱,消化不良等,所以大家要控制好自己。

2、面色發黃

蔬果中像橘子、南瓜、胡蘿蔔等這類水果含有很高的胡蘿蔔素,大量攝入胡蘿蔔素后需要在體內進行代謝從而轉化為維生素A,但是攝入過多短時間內不能完全代謝和轉化,沉積以後在皮膚上就會顯現出黃色,被稱作高胡蘿蔔素血症。

這種情況的話,一段時候后,幾天內不吃這一類食物,肌膚就會自己恢復過來的。

網站內容來源https://www.cndzys.com/yinshi/網站內容來源https://www.cndzys.com/yinshi/

【精選推薦文章】

評選台東伴手禮推薦商品「釋迦 」是台東必買伴手禮之一

來台東旅遊不可錯過的,台東必買名產 「池上米、地瓜酥、洛神花」都在”購夠台東“網路商城皆買的到哦!

台東吃喝懶人包!台東名產推薦台東名產伴手禮台東團購美食,都在這裡”報吼你災”

2019票選台東必買 最佳節慶送禮、年節伴手禮,釋迦禮盒小農禮盒深受國人的青睞!

晚上喝橙汁好嗎

油炸面製品

文章導讀

油炸食品總體來說是小孩子和年輕人比較喜愛的一種食物,因為油炸食品吃起來酥香,與其他食品比較起來,可以給人帶來更為豐富的味覺感受。可以製作成油炸食品的食物也是有許多,例如街邊小攤常見的油炸魷魚須油炸臭豆腐等。在家中製作油炸食品的話,油炸面製品最為常見,下面推薦幾個油炸面製品的製作步驟。

炸糖油果子

材料:糯米粉適量,紅糖適量,白糖適量,溫水適量

做法:

1、容器中倒入糯米粉,按照自己口味添加適量白糖混合。倒入溫水,邊倒邊攪拌。和成麵糰。

2、放塊紗布(防粘),將麵糰分成大概15g一個的面劑子並搓圓,放在紗布上備用。

3、鍋中倒入較多沒有加熱的冷油,再倒入少量紅糖。

4、開中小火將紅糖燒化,漂浮在油麵上,開始冒泡浮上來了。全部浮上來了,關火。

5、等油溫稍微降下來,紅糖沉入油底。依次放入圓子,開小火慢炸。不要馬上去動它,可以晃動鍋子。

6、炸一會後,如果有粘連,可以用筷子輕輕將它們分開,並在鍋里划動,使其受熱均勻。

7、紅糖慢慢開始浮上來,用勺子來回推動。顏色慢慢變深,不停的推動。

8、直到上色均勻,外殼較硬,呈現糖漿色即可關火。要炸至外殼較硬,裏面就是空心狀態,不然起鍋後會扁。

9、撈出後放入碗中,趁熱撒入熟白芝麻拌勻即可。

油炸糕

材料:糯米粉300g,白糖適量,熟芝麻適量

做法:

1、糯米粉加入適量水,混合均勻,揉成光滑麵糰,蓋上保鮮膜,靜置半個小時。

2、白糖和熟芝麻混合均勻成餡。

3、用手揪一小塊麵糰,壓扁成麵餅,用勺子盛入適量白糖芝麻餡。

4、一手拖着麵餅,另一隻手從麵餅四周向上推至麵餅包住餡,雙手將麵糰反覆拍幾下成圓餅。

5、油鍋燒熱至180度左右,下入圓餅,炸至兩面金黃即可。

油炸角仔

材料

準備好雞蛋4個、麵粉1000g、紅糖3磚、清水大約500ml、花生米500g、白糖200g(做餡用)、黑芝麻50g、椰絲50g、一枝花餅乾500g,花生油1500ml。

做法

1、先炒好花生米,放涼之後碾碎,把餅乾也碾碎,倒進花生裡邊,再倒入白糖、黑芝麻、椰絲混合做成餡。

2、鍋里放清水燒開,放入紅糖煮花融成糖水。

3、往麵粉里打入雞蛋,慢慢加入紅糖水和成麵糰(糖水要一邊和面一邊加,加到覺得合適就好,不一定全部糖水都放進去的)。

4、用擀麵杖把麵糰擀成一大張薄麵皮,用玻璃杯子倒扣出一張張圓形的角仔皮,或者直接手工捏成。

5、在角仔皮中間放入適量的餡料,對邊合上,邊緣捏花合口。

6、鍋里放油加熱到適量溫度,先放一個角仔下鍋試試油溫,覺得溫度適合,就放入更多的角仔,炸成金黃色即可。

7、涼了再吃啊,香脆可口。

網站內容來源https://www.cndzys.com/yinshi/網站內容來源https://www.cndzys.com/yinshi/

【精選推薦文章】

一生必吃一次芒果界的LV,皆在購夠台東網路商城!

台東名產,台東美食吃透透,網購票選人氣NO.1商品,快速滿足您的味蕾!

當地限定的台東伴手禮,讓您買到剁手!內行人推這8樣台東必買零食!

油炸面製品

華為一季度銷售收入1797億人民幣 同比增39%

新浪科技訊,4 月 22 日上午消息,華為今日發布 2019 年一季度經營業績。2019 年一季度,公司銷售收入 1797 億人民幣,同比增長 39%;凈利潤率約為8%,同比略有增長。2019 年,全球開啟 5G 商用規模部署,華為運營商業務迎來了歷史性的發展機遇。截至 3 月底,華為已經和全球領先運營商簽訂了 40 個 5G 商用合同,70000 多個 5G 基站已發往世界各地。

本站聲明:網站內容來源於博客園,如有侵權,請聯繫我們,我們將及時處理

【精選推薦文章】

帶您來了解什麼是 USB CONNECTOR  ?

為什麼 USB CONNECTOR 是電子產業重要的元件?

又掌控什麼技術要點? 帶您認識其相關發展及效能

華為一季度銷售收入1797億人民幣 同比增39%

結婚送日子的婚嫁習俗 結婚送日子需要帶什麼

結婚送日子又稱看日子、通日、送好、會話、下婆帖、問口、下禮、查日子、送娶牌,即古代的請期。請期,原只是男方選定舉行婚禮的日期,請女方同意,還要同時送聘禮。那結婚送日子需要帶什麼呢?下面就隨小編一起來看看吧。

結婚送日子的   送日子,又稱看日子、通日、送好、會話、下婆帖、問口、下禮、查日子、送娶牌,即古代的請期。請期,原只是男方選定舉行婚禮的日期,請女方同意,在山東的一些地方,還要同時送聘禮。   鄄城請期   分為要好、看好和送好三個步驟,有相當的代表性。要好就是在結婚前選一個吉日,如二月二、四月八、六月六等雙月雙日,由媒人到女家去討取女方的屬相、八字。女家則用一紅紙條寫上“坤命×相×月×日×時生人”,交與媒人帶回男家。男家根據女方的生辰八字,請人擇定結婚的吉月利日,謂之看好。看好主要是找出行嫁月、吉日良辰和喜神所在的方位,同時還要算出迎親、送親之人在屬相上的忌諱。舊時推算時,多有歌訣可依,如算   行嫁月歌   “正、七迎雞兔,二、八虎與猴,三、九蛇共豬,四、十龍和狗,牛羊五、十一,鼠馬六、十二。”迎親、送親人屬相忌諱歌為:“辰子申忌蛇雞牛,巳酉丑忌虎馬狗,寅午戊忌豬兔羊,亥卯未忌龍鼠猴。”吉日良辰一般選兩個,一在上半月,一在下半月,由女家選擇后再確定,目的是為了避開女方的月經期。擇定吉日後,便寫成婚書送往女家,這就是送好。
二、結婚送日子需要帶什麼   “送好”不僅是送嫁娶的好日子,而且還要向女方送聘禮。聘禮多是紅衫、藍襖面、戒指、墜子、帶子等,用紅包袱包好,上插柏枝,取“長命百歲”之意。臨清稱為“查日子”,男方查定迎娶日期正式通知女方,附上“迎親帖”(俗又稱“上頭帖”),上書新娘衣冠、開面、梳妝、上下轎的方向、時辰等事項。萊陽、牟平等地,送日子也稱通日,男家同時送彩幣備女家妝奩之資。“通日”必於娶前四十天的雙月行之,自此女方就不出外門,在家準備待嫁。   萊陽在通日時,男方還要做大燒餅送往女家,女家則要回敬大壽桃。日照稱為問口、下禮,男方向女方送聘禮,女方回禮簡單,但禮品中新女婿的鞋和帽必不可缺,故民間稱新女婿戴的帽子為“丈人帽”。日照又稱將投啟與下禮合併而行的儀式為“一盒子磕”。魯北地區稱為下婆帖,同時要送“鋪地錢”為女方妝奩之資。下過通書之後,女方便整理嫁妝,男方要收拾新房,親友們也開始送喜禮。向男家送的喜禮,通常以“色”為單位,一對雞、一刀肉、一對魚、二斤粉皮等,都可算作一色禮,當然也有送禮錢和喜帳(六尺紅綢或紅布、花布)的。喜帳一般是送給男方家長的,抬頭寫“××大人令郎花燭之喜”,帳心寫“天作之和”、“鸞鳳和鳴”、“龍鳳呈祥”之類的頌詞,落款寫“××賀”。

喜帳的多少,標志著結婚人家家境的好壞,富有人家親友都送喜帳。向待嫁的女子家裡送喜禮,稱作“填箱”,或作“添箱”,也稱“添花粉”,一般送些女子婚後所用之物,如衣服、被褥、布料等,也有的送錢,謂之“壓櫃錢”,但最多的還是送果盒。果盒為一方形木匣,能放半斤到一斤糕點,大多放糖果和柿餅之類食品。上好的糕點連同果盒放到櫃里,是新婚之夜新郎新娘共享的,一般的食品則放到食盒裡,留作新娘婚後磕頭拜見長輩時的禮物。喜禮要一筆不漏地記入帳簿,俗稱“喜簿”,以備將來還禮。無論何種形式的喜禮,都要講究吉利,不能送諧音不雅的物品,如鍾(終)、梨(離)、緞子(斷子)等一般也不送單數。有些地方在送日子以後,要給待嫁的女子加笄禮,俗謂之“上頭”。

以上是婚滿意結婚網的小編為新人們準備的有關結婚送日子需要帶什麼的相關內容介紹,即將結婚的朋友們快來了解一下吧。

本站聲明:網站內容來源婚滿意https://www.hunmanyi.com,如有侵權,請聯繫我們,我們將及時處理

【結婚物語資訊網】

專業婚禮錄影團隊,用鏡頭記錄人生中值得紀念的一刻!

婚禮籌備好崩潰!該找婚攝還是婚錄?新人必備教戰守則

婚禮影片不NG,婚禮錄影mv精彩重現讓賓客感動熱議

給婚攝的迎娶婚禮錄影必拍清單,沒拍到您一定會後悔!

2019推薦婚禮錄影台北精選18家專業團隊

結婚送日子的婚嫁習俗 結婚送日子需要帶什麼