近半个月过得很痛苦,主要是产品上线后,引来无数机器用户恶意攻击,不停的刷新产品各个服务入口,制造垃圾数据,消耗资源。他们的最好成绩,1秒钟可以并发6次,赶在Database入库前,Cache进行Missing Loading前,强占这其中十几毫秒的时间,进行恶意攻击。相关链接:Memcached笔记...
分类:
系统相关 时间:
2015-05-24 10:07:29
阅读次数:
205
由于xss和csrf都是改变用户请求参数来达到恶意攻击的目的,所以,如果我们从参数改变这一点切入,就没有问题了,做法很简单:
将参数加密后传递,这样请求被拦截篡改的参数将不能被服务器解密,因而拒绝请求。...
分类:
其他好文 时间:
2015-05-21 19:37:58
阅读次数:
167
验证码的作用:因为你的WEB站有时会碰到客户机恶意攻击,其中一种很常见的攻击手段就是身份欺骗_它通过在客户端脚本写入一些代码,然后利用其,客户机在网站,论坛反复登陆,或者攻击者创建一个HTML窗体,其窗体如果包含了你注册窗体或发帖窗体等相同的字段,然后利用"http-post"传输数据到服务器,服务...
分类:
编程语言 时间:
2015-05-08 20:13:09
阅读次数:
133
1、什么是XSSXSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入当中Web里面的html代码会被运行,从而达到恶意用户的特殊目的。XSS属于被动式的攻击,由于其被动且不好利用,所以很多人常呼略其危...
分类:
其他好文 时间:
2015-05-06 10:50:56
阅读次数:
126
写了个脚本扫描apache日志,自动把恶意攻击者的ip交给iptables给封掉谁知道一不小心把127.0.0.1也给封了。。。直接导致redis无法链接。redis-server服务正常启动,端口也开着,日志全都正常,就是redis客户端(redis-cli和python api)连不上,报错ti...
分类:
其他好文 时间:
2015-05-04 17:08:15
阅读次数:
159
方案提出的初衷:外网需要定时和不定时推送数据到内网服务器(只要求数据到达内网,没有要求直接连接到内网)为什么不是直连到内网:每个人第一想到的是不安全,是的,没错不安全。内网的应用和外网的应用最明显的区别就是承载的访问量,虽然都应该配置防恶意攻击策略,但是内网的应用一般不会像外网的应用考虑那么多安全的...
分类:
其他好文 时间:
2015-04-30 20:05:42
阅读次数:
141
在Javascript中,所有开发者定义的类都可以作为基类,但出于安全性考虑,本地类和宿主类不能作为基类,这样可以防止公用访问编译过的浏览器级的代码,因为这些代码可以被用于恶意攻击。 选定基类后,就可以创建它的子类了。是否使用基类完全由你决定。有时,你可能想创建一个不能直接使用的基类,它只是用于给子...
分类:
编程语言 时间:
2015-04-17 17:50:31
阅读次数:
170
对于站长们来说,自己辛苦做的网站如果不去备份,出现网站空间出问题或者网站被恶意攻击,删除网站数据,那就惨了。等于自己的努力都付诸东流了。而此时此刻才意识得到备份来说是有多么重要。而如何去备份,一般有二种方法,一种是手动去备份,另一种是自动备份。手动备份,首..
分类:
Web程序 时间:
2015-04-15 23:37:06
阅读次数:
195
短信验证码、图形验证码、邮件验证问题在自动化测试中是一个很常见的问题,也是一个很棘手的问题。设计的初衷其实就是为了防自动化,防止一些人利用自动工具恶意攻击网站,而很不幸的是,我们所使用的一些自动化测试工具也包含在内。聊一聊最好用的接口方法。接口法思路: 不管短信验证码、图形验证码还是邮件验证,都需....
分类:
其他好文 时间:
2015-04-10 17:31:34
阅读次数:
201
引言 ROP(Return-oriented programming),即“返回导向编程技术”。其核心思想是在整个进程空间内现存的函数中寻找适合指令片断(gadget),并通过精心设计返回堆栈把各个gadget拼接起来,从而达到恶意攻击的目的。构造ROP攻击的难点在于,我们需要在整个进程空间中搜.....
分类:
移动开发 时间:
2015-04-08 19:44:48
阅读次数:
222
