摘要： 简介 性能优化的第一准则： 。几乎绝大部分优化都围绕这个来进行的。让用户最快的看到结果。 性能优化的第二准则： 。绝不提供多余的信息。比如，静态资源（图片、css、js)压缩，图片的滚动加载，异步请求，http请求合并等。 性能优化的第三准则： 。当前，这个的前提是已经把基本优化都做完了，才考虑这个 阅读全文

摘要： 简介 数据安全是现在互联网安全非常重要一个环节。而且一旦数据出现问题是不可逆的，甚至是灾难性的。 有一些防护措施应该在前面几个博文说过了，就不再赘述。比如通过防火墙控制，通过系统的用户控制，通过web应用的控制等。 想说的是，任何一个节点都不是单独存在的。 场景 1. 确保应用本身安全。 2. 控制 阅读全文

摘要： 简介 由于网络技术日趋成熟，黑客们也将注意力从以往对网络服务器的攻击逐步转移到了对web应用的攻击。据最新调查，信息安全有75%都发生在web应用而非网络层面。 场景 1. 控制访问的权限。只让可以访问的访问到最小的资源和权限。 2. 控制输入内容。所有输入都可能是不安全的，所以要过滤。 3. 保证 阅读全文

摘要： 场景 1. 过滤非正常用户使用的http请求。 2. 限制正常用户使用的范围（下载速度、访问频率等）。 3. 通过架构规划来提升安全。 4. 能自动解决http请求问题。 解决方案 代理自身的安全 1. 千万不要使用root启动！！！ 2. 关闭服务器的信息。 3. 关闭掉不使用的模块。 过滤htt 阅读全文

摘要： 穷人在怀疑中拒绝，富人在怀疑中了解 最近一直在实践得比较多，所以书看得相对少一些了。习惯性的一段时间大量阅读思考，一段时间大量实践+对比阅读。 硬能力 就是实实在在有对应的技术对应的能力 云计算架构技术与实践 这本书讲了云和传统的区别，对普通概念还是挺有意思的。建议速读。 1. 虚拟化是云计算机的关 阅读全文

摘要： 简介 最小（少）原则，是安全的重要原则。最小的权限，最小的用户，最少的服务，最少的进程，是最安全的。 系统安全包括：文件系统保护、用户管理安全、进程的保护以及日志的管理。 场景 1. 确保服务最少，每个都是有用，而且权限最小化。 2. 确保用户最少，每个都是有用，而且权限最小化。 3. 确保文件权限 阅读全文

摘要： 简介 用于实现服务器（Linux）的访问控制的功能的。 分硬件和软件防火墙。 主要是控制访问的流入和服务器的流出。 通过黑名单和白名单的思想来实现更细粒度的控制，这个一般结合其他的应用来定义策略实现。 概念 黑白名单 可以说防御的思想，主要就是黑白名单的思想！！！！是黑白名单的组合。 黑名单指的是对 阅读全文

摘要： 简介 不对外提供服务是最安全的。 安全是基于信任。如果信任失败了，则没有安全。比如你给一个ip加白名单，结果这个ip对你发动了安全攻击。 在非常明确需要提供服务的时候才对外提供服务，即白名单。其他的全部禁止。 对外提供服务要在控制和管理下。 思路 防御的过程是一个链条，任何一个节点上都要防御，否则都 阅读全文

摘要： 扫描分类 不同场景需要使用不同方式的扫描类型。不能盲目的、暴力的去折腾。 自动扫描 刚开始扫描的时候适合用这种方式。有助于，理解整个网站的结构。 需要注意的是：去伪静态和业务冗余 伪静态 url结构相似，内容相似。我们判断是同一个接口。一旦发现扫描了半天，页面超过5000以上，基本可以断言就是有很多 阅读全文

摘要： 目的 1. 让自己的知识管理更有套路 2. 让知识管理变成每天都在做的事情 关系结构 应用 知识只有在使用中才有价值。我们不是为了学习而学习，而是为了真实的应用而学习。知识是无限的，人的时间和精力是有限的。 所以应用的方向也是学习的方向，不可能让一个搞IT的花太多时间去学习养猪吧？ 应用的场景有：工 阅读全文