1 什么是XSS跨站脚本 跨站脚本是一种经常出现在Web应用程序中的计算机安全漏洞,是由于Web应用程序对用户输入过滤不足而产生的。攻击者利用网站漏洞把恶意的脚本代码注入到网页之中,当其他用户浏览这些网页时,就会执行其中的恶意代码,对受害者可能采取Cookie资料盗取、会话劫持、钓鱼欺骗等各种攻击。 ...
分类:
其他好文 时间:
2016-11-18 22:44:40
阅读次数:
350
先介绍下网易云信运维工程师的主要职责,包括但不限于软硬件部署、网络管理、应用代码维护、安全漏洞修复、容量规划、故障处理、性能优化等。 云信的运维工程师们很相信一个神圣的定律——墨菲定律:事情如果有变坏的可能,不管这种可能性有多小,它总会发生(Anything that can go wrong wi ...
分类:
其他好文 时间:
2016-11-16 20:17:26
阅读次数:
343
fpm用的php.ini下 (/etc/php5/fpm/php.ini),很重要,不改会有安全漏洞。 cgi.fix_pathinfo=0 去掉防syn flood攻击 (高并发下会主动堵塞apache请求 导致ab测试下 apr_socket_recv: Connection reset by ...
分类:
Web程序 时间:
2016-10-29 16:36:17
阅读次数:
294
使用 Salt + Hash 将密码加密后再存储进数据库 如果你需要保存密码(比如网站用户的密码),你要考虑如何保护这些密码数据,象下面那样直接将密码写入数据库中是极不安全的,因为任何可以打开数据库的人,都将可以直接看到这些密码 解决的办法是将密码加密后再存储进数据库,比较常用的加密方法是使用哈希函 ...
分类:
其他好文 时间:
2016-10-27 21:06:06
阅读次数:
315
我们在更新版本补丁之前,建议我们先备份数据库和网站,或者直接在阿里云面板后台用快照备份,一旦出错我们还可以回滚快照解决问题。第一、CentOS5/6/7系统:yumupdateglibc第二、Ubuntu12/14系统:apt-getupdateapt-getinstalllibc6第三、Debian6系统:wget-O/etc/apt/sources..
分类:
系统相关 时间:
2016-10-25 20:14:00
阅读次数:
207
流量劫持,这种古老的攻击沉寂了一段时间后,最近又开始闹的沸沸扬扬。众多知名品牌的路由器相继爆出存在安全漏洞,引来国内媒体纷纷报道。只要用户没改默认密码,打开一个网页甚至帖子,路由器配置就会被暗中修改。互联网一夜间变得岌岌可危。 详解流量劫持的形成原因 攻击还是那几种攻击,报道仍是那千篇一律的砖家提醒 ...
分类:
其他好文 时间:
2016-10-24 23:52:23
阅读次数:
361
Cross-site scripting(XSS),是一种经常出现在Web应用中的计算机安全漏洞,它允许恶意Web用户将代码植入到提供给其它用户使用的页面中。比如,包括HTML代码和客户端脚本的页面。为不和层叠样式表(CSS)的缩写混淆,通常将跨站脚本缩写为XSS。 SQL Injection是把恶 ...
分类:
数据库 时间:
2016-10-23 17:39:39
阅读次数:
211
qqzoneQQ空间漏洞扫描器的设计attilax总结 1.1. 获取对方qq(第三方,以及其他机制)1 1.2. QQ空间的html流程1 1.3. 判断是否有权限1 1.4. 2015年度Web服务器安全漏洞 TOP51 1.5. 2014年互联网十大安全漏洞及思考_安全_比特网.htm1 1. ...
分类:
其他好文 时间:
2016-10-19 01:47:04
阅读次数:
215
第17章安全开发流程(SDL)17.1SDL简介安全开发是从根源有效地解决安全漏洞问题,而已在软件的生命周期内,这样的开发模式成本更低。SDL过程:q培训所有的开发人员必须接收适当的安全培训,了解相关的安全知识。q安全要求明确项目的安全要求。q质量门/bug栏质量门和bug栏相当于..
分类:
Web程序 时间:
2016-10-09 00:42:45
阅读次数:
465
ImageMagick是一款广泛流行的图像处理软件,有无数的网站(国内国外都有)使用它来进行图像处理,本周二,ImageMagick披露出了一个严重的0day漏洞,此漏洞允许攻击者通过上传恶意构造的图像文件,在目标服务器执行任意代码。 在这个安全漏洞公布之后,这一漏洞的EXP也随即被发布,并被命名为 ...
分类:
其他好文 时间:
2016-09-28 15:32:59
阅读次数:
152
