随笔分类 - WEB标准
摘要:网站优化需要考虑的方面在用ASP.NET开发网站的时候,性能是永远需要考虑和关注的问题,性能不仅仅只是程序代码执行时候的速度,而是涉及到方方面面的东西。就拿ASP.NET的一个请求来讲,从浏览器向服务器的ASP.NET网站发送请求开始一直到最后整个页面呈现在我们面前,其中请求经过的每一个步骤,都是有不同的调优方式的,而且调用的方法也很多,不仅仅只是常见的:缓存,多线程,异步等。本系列的文章决定从两个大的方面来讲述调优:前台调优:主要包含如何尽量的减少http请求,从http请求开始,到如何加载js, css,如何压缩传输的数据等。后台调优:分析ASP.NET请求的处理过程,并在每一步给出相应的
阅读全文
摘要:一、 先从代码上优化代码使用DIV+CSS来布局,少用TABLE来布局。清理代码里的垃圾,使代码整结。采用W3C标准。 title优化l 标题 = 新闻标题/栏目标题 + “ - ” + 网站的名称。l 尽可能的不要所有的页面都使用同一个名称,尽可能的不要重复名称。l 标题里包含想要推广的关键字。keywords优化l 此处放一些页面需要推广的关键字,用“,”分隔。l 关键字尽可能的不要超过5个。description优化此处存放对面页要说明事情的简介。加入rss功能加入baidu sitemap功能加入googl
阅读全文
摘要:我们知道,对于一个大型网站来说,可伸缩性是非常重要的,怎么样在纵向和横向有良好的可伸缩性,就需要在做架构设计的时候考虑到一个分的原则,我想在多个方面说一下怎么分:首先是横向的分:1. 大的网站化解为多个小网站:当我们一个网站有多个功能的时候,可以考虑把这个网站拆分成几个小模块,每一个模块可以是一个网站,这样的话我们到时候就可以很灵活地去把这些网站部署到不同的服务器上。2. 静态动态分离:静态文件和动态文件最好分离开成2个网站,我们知道静态网站和动态网站对服务器来说压力的侧重不同,前者可能重IO后者重CPU,那么我们在选择硬件的时候也可以有侧重,而且静态和动态内容的缓存策略也不一样。典型的应用,
阅读全文
摘要:大型高性能网站的十项规则来源: 《程序员》杂志发布时间: 2010-05-01 17:57原文链接 在我们公司ChinaNetCloud,见过多种不同类型的网站和系统,有好也有差。其中有些系统拥有良好的服务器/网络架构,并且进行了合理的调整和监控;然而一般的系统都会有安全和性能上的问题,不能良好运行,也无法变得更流行。 在中国, 开源的LAMP栈是最流行的网络架构,它使用PHP开发,运行在Apache服务器上,以MySQL作为数据库,所有这些都运行在Linux上。它是个可靠的平台,运行良好,是现在全球最流行的Internet系统架构。然而,我们很难对其规模进行正确的扩展并保持安全性,因为
阅读全文
摘要:服务器杀毒。360safe检查服务器安全问题a)清理恶意插件。b)清理无用软件。c)修复系统漏洞。d)查杀流行木马。e)关闭无用进程/关闭无用启动项/关闭无用服务。检查服务器安全a)查看WEB站点是否正常访问。l 有没有多出新的站点?l 站点使用的是什么数据库?l 站点权限问题。l 站点下是否有新上传的文件。l 站点后台是否多个管理员操作权限。l 检查各站点是否挂马,是否有注入漏洞,是否有JS漏洞,等等。l 搜索站点目录下文件内容是否有“cmd/exec/serv-u”字样l 查找.asp;.asa;.php;扩展名的文件大小大于25K的文件,打开查看是否是木马文件l IE打开站点时如果出现不
阅读全文
摘要:如何更好的达到防范黑客攻击,本人提一下个人意见!第一,免费程序不要真的就免费用,既然你可以共享原码,那么攻击者一样可以分析代码。如果在细节上注意防范,那样你站点的安全性就大大的提高了。即使出现了SQL Injection这样的漏洞,攻击者也不可能马上拿下你的站点。 由于ASP的方便易用,越来越多的网站后台程序都使用ASP脚本语言。但是, 由于ASP本身存在一些安全漏洞,稍不小心就会给黑客提供可乘之机。事实上,安全不仅是网管的事,编程人员也必须在某些安全细节上注意,养成良好的安全习惯,否则会给自己的网站带来巨大的安全隐患。目前,大多数网站上的ASP程序有这样那样的安全漏洞,但如果编写程序的时候注
阅读全文
摘要:PCI Express ,四端口千兆位连接提供更高的网络带宽在任何一台服务器上使用四端口千兆服务器网卡,特别是在入侵阻止服务器上使用,都能够体现出显著的优势。四端口PCI Express (PCIe) 服务器网卡能从单个的服务器插槽中提供四个网络连接,从而可以保留服务器的其他插槽供更多应用使用。而多个千兆位端口又可以通过多种技术,包括链路或端口的编组以及网络分段等,来增加网络带宽。 在入侵阻止服务器的应用中,至少需要两个端口来支持入侵阻止服务器的在线操作:其中一个端口--“外部端口”,提供了与网络或网段的外部连接。所有从外部端口进来的流量将通过入侵阻止服务器后, 先由入侵阻止服务器进行分析,通
阅读全文
摘要:Cookie和身份验证 Cookie之所以存在,是因为它们可以帮助开发人员达到一定目的。Cookie充当了浏览器与服务器之间的一种持续性链接。特别是对于使用单次登录的应用程序来说,失窃的cookie正是使得攻击成为可能的罪魁祸首。这对于一次单击攻击来说一点没错。 要使用Cookie,无需以编程方式显式创建和读取它们。如果您使用会话状态且实现表单身份验证,您会隐式地使用Cookie。当然,ASP.NET支持无cookie的会话状态,而且,ASP.NET2.0还引入了无cookie的表单身份验证。因此,理论上您可以在没有Cookie的情况下使用这些功能。我并不是说您不再必须这么做了,但事实上这正是
阅读全文
摘要:DoS是指攻击者在一定时间内向网络发送大量的服务请求,消耗系统资源或网络带宽,占用及超越被攻击主机的处理能力,导致网络或系统不胜负荷,停止对合法用户提供正常的网络服务;DDoS是在DoS的基础上引入了Client/Server机制,使得攻击强度更大,隐藏性更高。DDoS攻击原理 DDoS采用多层的客户/服务器模式,一个完整的DDoS攻击体系一般包含四个部分:攻击控制台、攻击服务器、攻击傀儡机和攻击目标。◆ 攻击控制台。攻击者利用它来操纵整个攻击过程,它向攻击服务器下达攻击命令。 网页教学网 ◆ 攻击服务器也叫主控端,它是攻击者非法入侵并且安装特定程序的一些主机。它接收从攻击控制台发过来的各种
阅读全文
摘要:Webmaster网络安全讲座:7.攻击与渗透 www.hackbase.com 2004-9-29 黑客基地 Webmaster网络安全讲座:第七讲 攻击与渗透作者:(webmaster网络技术学院)一旦黑客定位了你的网络,他通常会选定一个目标进行渗透。通常这个目标会是安全漏洞最多或是他拥有最多攻击工具的主机。非法入侵系统的方法有很多,你应当对这些方法引起注意。常见攻击类型和特征攻击特征是攻击的...
阅读全文
摘要:CSRF - Cross-site Request Forgery 字面意思是指跨站点请求伪造,通常用来指 WEB 网站的这一类漏洞,即在某个恶意站点的页面上,促使访问者请求你的网站的某个 URL(通常会用 POST 数据方式),从而达到改变服务器端数据的目的。这一类攻击依赖于你的网页中的表单,脆弱的表单很容易受到攻击。对于你网站中的访问者而言,可能会受到以下攻击:* 在你的网站之外记录受攻击者的...
阅读全文
摘要:一.通过SQL注入得到WEBSHELL的原理:N.E.V.E.R的方法:利用数据库备份得到WEBSHELL。创建一个表,在表中建一个字段用来保存木马数据。然后利用MSSQL导出库文件的办法把整个数据导出来,最后再删除新建的表。分析:N.E.V.E.R利用了MSSQL的备份数据库功能。把数据导出来,设想数据库中有<%%>之类的ASP标实符,导出文件,文件名以.ASP的形式保存。然后文件又...
阅读全文
摘要:1,什么是会话劫持 在现实生活中,比如你去市场买菜,在交完钱后你要求先去干一些别的事情,稍候再来拿菜;如果这个时候某个陌生人要求把菜拿走,卖菜的人会把菜给陌生人吗?!当然,这只是一个比喻,但这恰恰就是会话劫持的喻意。所谓会话,就是两台主机之间的一次通讯。例如你Telnet到某台主机,这就是一次Telnet会话;你浏览某个网站,这就是一次HTTP会话。而会话劫持(Session Hijack),就是...
阅读全文
摘要:缓冲区溢出技术基础 为了提高大家的技术水平,为了更了解我们讨论的这种技术,为了把这个论坛建成一个更更好的论坛,下面我为大家推出一系列完整的有关溢出,溢出攻击的文章。让大家更能了解到这个天天说但又不太清楚怎么回事的东西。我想,看了这个以后大家也不再会问,为什么我用了这个工具,怎么没有用呀什么的问题? 在这里强调一下,想完全看的懂这篇文章,至少需要具备一定的汇编语言,C语言和LINUX的基础。...
阅读全文
摘要:本文的目的在于向读者解释IP 欺骗的实现方法和预防措施。它要求您掌握有关Unix 和TCP/IP 的少量知识。如果您没有,也没有关系,相信下面的说明能给您以足够的背景知识。 IP欺骗是适用于TCP/IP环境的一种复杂的技术攻击,它由若干部分组成。目前,在Internet领域中,它成为黑客攻击时采用的一种重要手段,因此有必要充分了解它的工作原理和防范措施,以充分保护自己的合法权益。 实际上,IP 欺...
阅读全文
摘要:0x01 什么是CSRF攻击 CSRF是Cross Site Request Forgery的缩写(也缩写为XSRF),直译过来就是跨站请求伪造的意思,也就是在用户会话下对某个CGI做一些GET/POST的事情——这些事情用户未必知道和愿意做,你可以把它想做HTTP会话劫持。 网站是通过cookie来识别用户的,当用户成功进行身份验证之后浏览器就会得到一个标识其身份的coo...
阅读全文
摘要:一、SaaS是什么。SaaS是Software-as-a-service(软件即服务)的简称,是随着互联网技术的发展和应用软件的成熟,而在21世纪开始兴起的一种完全创新的软件应用模式。它与“on-demand software”(按需软件),the application service provider(ASP,应用服务提供商),hosted software(托管软件)...
阅读全文
摘要:已经有很多介绍DOS(Denial of Service,即拒绝服务)攻击的文章,但是,多数人还是不知道DOS到底是什么,它到底是怎么实现的。本文主要介绍DOS的机理和常见的实施方法。因前段时间仔细了解了TCP/IP协议以及RFC文档,有点心得。同时,文中有部分内容参考了Shaft的文章翻译而得。要想了解DOS攻击得实现机理,必须对TCP有一定的了解。 1、什么是DOS攻击 DOS:即Den...
阅读全文
摘要:一、三种技术 1. 外挂轮询技术 外挂轮询技术是利用一个网页检测程序,以轮询方式读出要监控的网页,与真实网页相比较,来判断网页内容的完整性,对于被篡改的网页进行报警和恢复。 2. 核心内嵌技术 核心内嵌技术是将篡改检测模块内嵌在Web服务器软件里,它在每一个网页流出时都进行完整性检查,对于篡改网页进行实时访问阻断,并予以报警和恢复。 3. 事件触发技术 事件触发技术是利用操作系统的文...
阅读全文
摘要:绕过认证是攻击者不通过认证页面就进入后台页面操作,在我们的系统中,要解决这个问题其实挺简单,我认为需要用下面几个方式来解决1.后台文件夹不要用admin,manage等容易比较猜到的英文作为文件夹名 好处在于攻击者不知道后台路径的时候很难猜到后台路径2.登陆页面不要用Login做为文件名 好处在于即使攻击者知道后台文件夹,但是找到入口页面也会给他造成一些障碍,很多绕过认证攻击也是先找到入口页面,在...
阅读全文
浙公网安备 33010602011771号