打赏
2017年11月7日
【转载】web开发中 web 容器的作用(如tomcat)
摘要: 我们讲到servlet可以理解服务器端处理数据的java小程序,那么谁来负责管理servlet呢?这时候我们就要用到web容器。它帮助我们管理着servlet等,使我们只需要将重心专注于业务逻辑。 什么是web容器? servlet没有main方法,那我们如何启动一个servlet,如何结束一个se 阅读全文
posted @ 2017-11-07 16:15 芹溪 阅读(4086) 评论(0) 推荐(4)
Java中JDK和JRE的区别是什么?它们的作用分别是什么?
摘要: JDK和JRE是Java开发和运行工具,其中JDK包含了JRE,但是JRE是可以独立安装的,它们在Java开发和运行的时候起到不同的作用~ 1.JDK JDK是Java Development Kit的缩写,是Java的开发工具包,主要包含了各种类库和工具,当然也包含了另外一个JRE.。那么为什么要 阅读全文
posted @ 2017-11-07 15:51 芹溪 阅读(23856) 评论(1) 推荐(0)
【转载】网络安全---Strurts2漏洞介绍
摘要: Apache Struts2 作为世界上最流行的 Java Web 服务器框架之一,3 月 7 日带来了本年度第一个高危漏洞——CVE编号 CVE-2017-5638 。其原因是由于 Apache Struts2 的 Jakarta Multipart parser 插件存在远程代码执行漏洞,攻击者 阅读全文
posted @ 2017-11-07 15:26 芹溪 阅读(862) 评论(0) 推荐(0)
Nginx降权启动
摘要: 给Nginx服务降权,用lol用户跑Nginx,给开发及运维设置普通账号,只要和lol同组即可管理Nginx,该方案解决了Nginx管理问题,防止root分配权限过大。 开发人员使用普通账户即可管理Nginx及站点以下程序问题。采取项目负责制制度,谁负责项目维护出了问题谁负责。 1. 更改nginx 阅读全文
posted @ 2017-11-07 14:17 芹溪 阅读(2000) 评论(4) 推荐(0)
Tomcat降权启动
摘要: 对于任何降权的操作都是为了更好的保护自己的服务器免受危害,所以我们使用Tomcat也不了外,也需要进行降权操作。因为当 Tomcat以系统管理员身份或作为系统服务运行时,Java运行时取得了系统用户或系统管理员所具有的全部权限。这样一来,Java运行时就取得了所有文件夹中所有文件的全部权限。 如果黑 阅读全文
posted @ 2017-11-07 10:17 芹溪 阅读(2018) 评论(0) 推荐(0)
【转载】CSRF攻击
摘要: 一.CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的 阅读全文
posted @ 2017-11-07 09:07 芹溪 阅读(85) 评论(0) 推荐(0)
【转载】SQL注入
摘要: “SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让应用运行本不应该运行的SQL代码。如果应用毫无防备地创建了SQL字符串并且运行了它们,就会造成一些出人意料的结果。本篇译文由zer0Black翻译自《SQL Injection Attacks by Exa 阅读全文
posted @ 2017-11-07 09:04 芹溪 阅读(239) 评论(0) 推荐(0)
【转载】XSS学习笔记
摘要: XSS的分类 非持久型 非持久型XSS也称反射型XSS。具体原理就是当用户提交一段代码的时候,服务端会马上返回页面的执行结果。那么当攻击者让被攻击者提交一个伪装好的带有恶意代码的链接时,服务端也会立刻处理这段恶意代码,并返回执行结果。如果服务端对这段恶意代码不加过滤的话,恶意代码就会在页面上被执行, 阅读全文
posted @ 2017-11-07 09:01 芹溪 阅读(340) 评论(0) 推荐(0)
【转载】目前主流过滤XSS的三种技术
摘要: 目前主流过滤XSS的三种技术 过滤 过滤,顾名思义,就是将提交上来的数据中的敏感词汇直接过滤掉。例如对"<script>"、"<a>"、"<img>"等标签进行过滤,有的是直接删除这类标签中的内容,有的是过滤掉之类标签中的on事件或是'javascript'等字符串,让他们达不到预期的DOM效果。 阅读全文
posted @ 2017-11-07 09:00 芹溪 阅读(21049) 评论(0) 推荐(1)
【转载】以Java的视角来聊聊SQL注入
摘要: 以Java的视角来聊聊SQL注入 原创 2017-08-08 javatiku Java面试那些事儿 在大二就接触过sql注入,之前一直在学习windows逆向技术,认为web安全以后不是自己的从业方向,所以当时也就没有深入研究。工作多年来,本人也一直从事安全开发相关工作,随着Java的市场份额越来 阅读全文
posted @ 2017-11-07 08:58 芹溪 阅读(1924) 评论(0) 推荐(0)
nginx中location、rewrite用法总结
摘要: 一、location用法总结 location可以把不同方式的请求,定位到不同的处理方式上. 1.location的用法 location 的匹配顺序是“先匹配正则,再匹配普通”。 矫正: location 的匹配顺序其实是“先匹配普通,再匹配正则”。我这么说,大家一定会反驳我,因为按“先匹配普通, 阅读全文
posted @ 2017-11-07 08:55 芹溪 阅读(90403) 评论(7) 推荐(5)