第 48 页-web服务器安全_网站安全防护教程-PHP中文网

Article Tags

安全

首页

Technical articles

运维

安全

如何进行XXL-JOB API接口未授权访问RCE漏洞复现

XXL-JOB描述XXL-JOB是一个轻量级分布式任务调度平台，其核心设计目标是开发迅速、学习简单、轻量级、易扩展。现已开放源代码并接入多家公司线上产品线，开箱即用。一、漏洞详情此次漏洞核心问题是GLUE模式。XXL-JOB通过“GLUE模式”支持多语言以及脚本任务，该模式任务特点如下：●多语言支持：支持Java、Shell、Python、NodeJS、PHP、PowerShell……等类型。●WebIDE：任务以源码方式维护在调度中心，支持通过WebIDE在线开发、维护。●动态生效：用户在线通

May 12, 2023 am 09:37 AM

APIXXLjob

如何进行关闭iis错误页面显示详细内容的安全配置

为web安全，防止***通过web错误页面信息获取有用信息，关闭iis错误页面显示详细内容1.打开iis功能视图，打开错误页点击编辑功能设置默认为详细错误选择自定义错误

May 12, 2023 am 09:28 AM

iis

如何用JAVA语言分析双重检查锁定

1、双重检查锁定在程序开发中，有时需要推迟一些高开销的对象初始化操作，并且只有在使用这些对象时才进行初始化，此时可以采用双重检查锁定来延迟对象初始化操作。双重检查锁定是设计用来减少并发系统中竞争和同步开销的一种软件设计模式，在普通单例模式的基础上，先判断对象是否已经被初始化，再决定要不要加锁。尽管双重检查锁定解决了普通单例模式的在多线程环境中易出错和线程不安全的问题，但仍然存在一些隐患。下面以JAVA语言源代码为例，分析双重检查锁定缺陷产生的原因以及修复方法。2、双重检查锁定的危害双重检查锁定在

May 12, 2023 am 08:55 AM

Java

如何进行Web渗透技巧分析

当前，随着信息网络的不断发展，人们的信息安全意识日益提升，信息系统的安全防护措施也逐渐提高，通常都会在服务器的互联网边界处部署防火墙来隔离内外网络，仅仅将外部需要的服务器端口暴露出来。采用这种措施可以大大的提高信息系统安全等级，对于外部攻击者来说，就像关闭了所有无关的通路，仅仅留下一个必要入口。但在这种状态下，仍然有一类安全问题无法避免，那就是web漏洞。其形成原因是程序编写时没有对用户的输入字符进行严格的过滤，造成黑客可以精心构造一个恶意字符串达到自己的目的。那么，怎么才能发现有没有此类安全问

May 12, 2023 am 08:34 AM

web

如何分析APP测试及流程

目前工作中，测试App会涉及到一下几个方面：客户端、小程序、h6页面等，看似不同却又大相径庭。点击添加图片描述（最多60个字）1、功能模块测试：功能模块测试其实最重要的是考察测试者的逻辑思维能力和对需求的理解能力以及一些页面交互性，输入输出的考虑等，所以以上三者是共通的，没有太大的区别。2、权限管理：1)相同点:需考虑权限允许的情况和权限不允许的情况；需要多测试无系统权限的页面2)不同点：App测试时需要考虑用户是否可以访问手机通讯、相册、相机、存储空间等权限，关闭权限时会是什么情况。小程序是否

May 12, 2023 am 08:07 AM

App

App崩溃的6个常见原因是什么

人们讨厌应用程序崩溃，尤其是是程序减速或卡死几秒钟这样的现象。根据DimensionalResearch的一项调查，61％的用户希望程序在4秒内启动，而49％的用户希望在2秒内响应输入。如果应用发生崩溃，冻结或报错等现象，53％的用户会将APP卸载。无论您的对象是消费者还是企业，崩溃问题会令他们彻底失望。与一些移动开发人员进行了交谈，询问了他们遇到的最常见的崩溃问题有哪些，他们给出了常见的六种原因：1.内存管理我所问道的每个人都会谈到内存管理，大多数APP都会开启许多线程占用系统的内存。OpsC

May 11, 2023 pm 11:25 PM

App

如何进行sql注入代码的解释

某个网站的登录验证的SQL查询代码为：1

May 11, 2023 pm 11:19 PM

6666

ATS如何进行缓存策略增加动态服务吞吐量

先看一下策略调整后瞬间的流量图：为了提高用户体验，增大缓存放大比，同时又要避免客户报障，在做cache时可谓是煞费苦心，大文件、小文件分离，在小文件里又把动态内容和静态内容分离，能存的东西基本上全部存了，唯有动态内容一直没下手，按照之前的策略，动态内容直接代理，1:1的进出，可是某些局方就是不消停，非要达到某个放大比，没折了，在动态内容里面动一下刀吧。在动刀之前，先做分析，对能存的动态内容和ATS的缓存策略做了大量测试，受益匪浅。当前ATS的缓存策略完全按照http协议规定，采用最保守的缓存方式

May 11, 2023 pm 11:16 PM

ats

网站开发的工作流程是怎样的

第一步、进行需求分析当客户提出想做一个什么样网站的时候，我们就必须弄清楚客户需求，进行需求分析。有人会问：需求分析，分析什么呢？比如说：客户想要做的网站的类型是什么？风格是什么样的？有没有具体的要求？以及服务器空间的要求。第二步、网站草图重新确定其需求分析，并根据用户需求分析，规划出网站的内容板块草图。俗称：网站草图。第三步、美工设计阶段然后根据网站草图，由美工制作成效果图。就好比建房子一样，首先画出效果图，然后在开始建房子，网站也是如此。第四步、程序开发阶段根据页面结构和设计，前端和后台可以同

May 11, 2023 pm 11:16 PM

网站开发

TCP三次握手建立链接与四次挥手断开链接的示例分析

一步一个脚印。先简单介绍一下TCP协议。TCP(TransmissionControlProtocol传输控制协议)是一种面向连接的、可靠的、基于字节流的传输层协议。很复杂，但属于不论程序员还是运维人员都必会的基本功。面向对象的——连接双方在通信前需要预先建立一条连接，这犹如实际生活中的打电话，电话必须拨通了以后才能交流。可靠的——TCP协议中有诸多的规则来保障通信链路的可靠性，含应用数据分隔、重传机制、对首部和数据校验、对收到的数据进行排序，然后交给应用层、接收端会丢弃重复的数据、可进行流量控

May 11, 2023 pm 10:34 PM

TCP

JavaScript单线程和任务队列是什么

一、JavaScript为什么设计为单线程？JavaScript语言的一大特点就是单线程，换言之就是同一个时间只能做一件事。for(varj=0;j

May 11, 2023 pm 10:31 PM

JavaScript

Android中怎么进行静态分析

Android逆向就是反编译的过程，因为看不懂Android正向编译后的结果所以CTF中静态分析的前提是将出现文件反编译到我们看得懂一层源码，进行静态分析。0X01基础说明Android应用的逻辑代码是由Java进行开发，所以是第一层就是java代码Java虚拟机JVM运行的是java文件编译过后的class文件Android虚拟机Dalvik并不是执行Java虚拟机JVM编译后生成的class文件，而是执行再重新整合打包后生成的dex文件编译之后的smali文件APK：是编译完成后的Andro

May 11, 2023 pm 10:28 PM

Android

PowerView脚本怎么用

传统的内部侦察测试使用Windows内置命令，如netview、netuser等，以获取主机和域信息。因为蓝色团队可以监视这些命令并触发警报。所以使用其他方法，如PowerShell和WMI，避免在环境探索的过程中被检测。PowerViewPowerView是由WillSchroeder开发的PowerShell脚本，是PowerSploit框架和Empire的一部分。该脚本仅依赖于PowerShell和WMI(Windows管理工具)进行查询。从现有的meterpreter会话PowerVie

May 11, 2023 pm 09:49 PM

PowerView

计算机网络基础知识点有哪些

Ⅰ.网络层次的划分为了以便在更大范围内建立计算机网络，国际标准化组织（ISO）在1978年提出了“开放系统互联网参考模型”，即著名的OSI（OpenSystemInterconnection）模型。除了标准的OSI七层模型以外，常见的网络层划分还有TCP/IP四层协议，他们之间的对应关系如下图：Ⅱ.OSI七层网络模型不管是OSI七层模型还是TCP/IP的四层模型，每一层中都要有自己的专属协议，完成自己相应的工作以及上下层之间进行沟通。下面开始细说OSI的七层模型：⑴物理层物理层是最基础的网络结构

May 11, 2023 pm 09:49 PM

计算机网络