我眼中的CentOS 下 安全策略
摘要:安全策略 1、每个人用自己名字的账户和密码登陆服务器(便于追踪用户操作,记录用户行为)2、只允许指定组(或用户)使用sudo命令(最好还要禁止root用户远程登录,视情况决定)3、拒绝一切端口后开启相应端口(iptables先拒绝然后开启对应端口)4、关闭SELinux(setenforce 0 #
阅读全文
posted @ 2018-02-27 17:27
02 2018 档案
win server2008关闭危险端口445,135,137,138,139的方法
摘要:在Windows server 2008系统上,有两种途经可以禁用本地端口: 1、通过Windows防火墙(比较简单,设置方便) 2、通过IP安全策略(比较复杂,功能强大,不依赖防火墙) 一、通过Windows防火墙禁用端口: 1、点击 “控制面板-Windows防火墙”,确保启用了Windows防
阅读全文
posted @ 2018-02-27 17:26
WINDOWS2008server安全策略设置
摘要:一、防止黑客或恶意程序暴力破解我的系统密码 答: 暴力破解Windows密码实质上是通过穷举算法来实现,尤其是密码过于简单的系统,暴力破解的方法还是比较实用的。有一点需要我们注意,这个问题的关键在于Windows是否允许远程客户端或恶意程序来进行用户名和密码的穷举,如果不允许,恶意程序企图通过枚举获
阅读全文
posted @ 2018-02-27 15:44
Windows定时任务+bat文件+WinRar处理Mysql数据库的定时自动备份
摘要:服务器环境 Windows Server 2003 ,服务器上采用的是IIS+mysql的集成工具phpStudy。MySQL的安装目录D:\phpStudy4IIS , WinRAR 安装目录 C:\Program\Files\WinRAR\WinRAR.exe 。备份数据存储的路径为 D:\数据
阅读全文
posted @ 2018-02-27 15:23
Nginx 禁止IP访问 只允许域名访问
摘要:今天要在Nginx上设置禁止通过IP访问服务器,只能通过域名访问,这样做是为了避免别人把未备案的域名解析到自己的服务器IP而导致服务器被断网,从网络上搜到以下解决方案: Nginx的默认虚拟主机在用户通过IP访问,或者通过未设置的域名访问(比如有人把他自己的域名指向了你的ip)的时候生效 最关键的一
阅读全文
posted @ 2018-02-27 14:59
HBASE(分布式海量NOSQL数据库)
摘要:HBase建表高级属性,hbase应用案例看行键设计,HBase和mapreduce结合,从Hbase中读取数据、分析,写入hdfs,从hdfs中读取数据写入Hbase,协处理器和二级索引 HBase建表高级属性,hbase应用案例看行键设计,HBase和mapreduce结合,从Hbase中读取数
阅读全文
posted @ 2018-02-27 11:21
Dubbo(分布式服务框架)
摘要:Maven+SpringMVC+Dubbo+zookeeper 简单的入门demo配置 dubbo控制中心部署,权重配置,以及管控台中各个配置的简单查看
阅读全文
posted @ 2018-02-27 11:17
启动Nginx、查看nginx进程、nginx帮助命令、Nginx平滑重启、Nginx服务器的升级
摘要:1.启动nginx的方式: cd /usr/local/nginx ls ./nginx -c nginx.conf 2.查看nginx的进程方式: [root@localhost nginx]# ps –ef | grep nginx [root@localhost nginx]# ps -ef
阅读全文
posted @ 2018-02-27 11:08
专为渗透测试人员设计的 Python 工具大合集
摘要:如果你对漏洞挖掘、逆向工程分析或渗透测试感兴趣的话,我第一个要推荐给你的就是Python编程语言。Python不仅语法简单上手容易,而且它还有大量功能强大的库和程序可供我们使用。在这篇文章中,我们会给大家介绍其中的部分工具。 注:本文罗列出来的工具绝大部分都是采用Python编写的,其中有一小部分还
阅读全文
posted @ 2018-02-27 11:07
如何为网站启用HTTPS加密传输协议
摘要:前言 当今时代对上网的安全性要求比以前更高,chrome和firefox也都大力支持网站使用HTTPS,苹果也从2017年开始在iOS 10系统中强制app使用HTTPS来传输数据,微信小程序也是要求必须使用HTTPS请求,由此可见HTTPS势在必行。 部落在这里主要给大家介绍一下什么是HTTPS,
阅读全文
posted @ 2018-02-27 11:00
正确设置nginx/php-fpm/apache权限 提高网站安全性 防止被挂木马
摘要:核心总结:php-fpm/apache 进程所使用的用户,不能是网站文件所有者。 凡是违背这个原则,则不符合最小权限原则。 根据生产环境不断反馈,发现不断有 php网站被挂木马,绝大部分原因是因为权限设置不合理造成。因为服务器软件,或是 php 程序中存在漏洞都是难免的,在这种情况下,如果能正确设置
阅读全文
posted @ 2018-02-27 10:53
windows防火墙批量开放端口
摘要:windows自带的防火墙没有增加端口范围的功能,这让一些常见的配置变得非常麻烦(比如FTP被动模式下,就需要在防火墙上开启端口范围),经过查询资料,使用以下cmd批处理内容,即可增加端口范围: echo offclsset var=5000:continueset /a var+=1echo ad
阅读全文
posted @ 2018-02-27 10:51
RHEL/CentOS通用性能优化、安全配置参考
摘要:RHEL/CentOS通用性能优化、安全配置参考 本文的配置参数是笔者在实际生产环境中反复实践总结的结果,完全适用绝大多数通用的高负载、安全性要求的网络服务器环境。故可以放心使用。 若有异议,欢迎联系zhangxugg@163.com探讨。 提示:强烈建议使用RHEL 5.6/CentOS 5.6及
阅读全文
posted @ 2018-02-27 10:49
PHP的SQL注入攻击的技术实现以及预防措施
摘要:最近在折腾 PHP + MYSQL 的编程。了解了一些 PHP SQL 注入攻击的知识,总结一下经验。在我看来,引发 SQL 注入攻击的主要原因,是因为以下两点原因: 1. php 配置文件 php.ini 中的 magic_quotes_gpc选项没有打开,被置为 off; 2. 开发者没有对数据
阅读全文
posted @ 2018-02-27 10:27
Linux服务器,PHP的10大安全配置实践
摘要:PHP被广泛用于各种Web开发。而当服务器端脚本配置错误时会出现各种问题。现今,大部分Web服务器是基于Linux环境下运行(比如:Ubuntu,Debian等)。本文例举了十大PHP最佳安全实践方式,能够让您轻松、安全配置PHP。 PHP安全性设置提示: 1. 减少PHP内置模块 为了增强性能和安
阅读全文
posted @ 2018-02-27 10:24
JSONP 安全攻防技术(JSON劫持、 XSS漏洞)
摘要:关于 JSONP JSONP 全称是 JSON with Padding ,是基于 JSON 格式的为解决跨域请求资源而产生的解决方案。他实现的基本原理是利用了 HTML 里 <script></script> 元素标签,远程调用 JSON 文件来实现数据传递。如要在 a.com 域下获取存在 b.
阅读全文
posted @ 2018-02-27 10:16
运维角度浅谈MySQL数据库优化
摘要:一个成熟的数据库架构并不是一开始设计就具备高可用、高伸缩等特性的,它是随着用户量的增加,基础架构才逐渐完善。这篇博文主要谈MySQL数据库发展周期中所面临的问题及优化方案,暂且抛开前端应用不说,大致分为以下五个阶段: 1、数据库表设计 项目立项后,开发部根据产品部需求开发项目,开发工程师工作其中一部
阅读全文
posted @ 2018-02-27 10:09
PHP远程DoS漏洞深入分析及防护方案
摘要:PHP远程DoS漏洞 4月3日,有人在PHP官网提交PHP 远程DoS漏洞(PHP Multipart/form-data remote dos Vulnerability),代号69364。由于该漏洞涉及PHP的所有版本,故其影响面较大,一经发布迅速引发多方面关注。14日,各种PoC已经在网络上流
阅读全文
posted @ 2018-02-27 10:01
如何使用PDO查询Mysql来避免SQL注入风险?ThinkPHP 3.1中的SQL注入漏洞分析!
摘要:当我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHP的PDO扩展的 prepare 方法
阅读全文
posted @ 2018-02-27 10:00
PHP安全相关的配置
摘要:php.ini 安全配置 (1) 打开php的安全模式 php的安全模式是个非常重要的内嵌的安全机制,能够控制一些php中的函数,比如system(),同时把很多文件操作函数进行了权限控制,也不允许对某些关键文件的文件,比如/etc/passwd,但是默认的php.ini是没有打开安全模式的,我们把
阅读全文
posted @ 2018-02-27 09:58
PHP文件包含漏洞攻防实战(allow_url_fopen、open_basedir)
摘要:摘要 PHP是一种非常流行的Web开发语言,互联网上的许多Web应用都是利用PHP开发的。而在利用PHP开发的Web应用中,PHP文件包含漏洞是一种常见的漏洞。利用PHP文件包含漏洞入侵网站也是主流的一种攻击手段。本文对PHP文件包含漏洞的形成、利用技巧及防范进行了详细的分析,并通过一个真实案例演示
阅读全文
posted @ 2018-02-27 09:56
PDO防 SQL注入攻击 原理分析 以及 使用PDO的注意事项
摘要:我们都知道,只要合理正确使用PDO(PDO一是PHP数据对象(PHP Data Object)的缩写),可以基本上防止SQL注入的产生,本文主要回答以下几个问题: 为什么要使用PDO而不是mysql_connect? 为何PDO能防注入? 使用PDO防注入的时候应该特别注意什么? 一、为何要优先使用
阅读全文
posted @ 2018-02-27 09:54
日志的级别
摘要:- Fatal:网站挂了,或者极度不正常 - Error:跟遇到的用户说对不起,可能有 bug - Warn:记录一下,某事又发生了 - Info:提示一切正常 - debug:没问题,就看看堆栈
阅读全文
posted @ 2018-02-27 09:50
服务器一般达到多少QPS比较好?
摘要:每秒查询率QPS是对一个特定的查询服务器在规定时间内所处理流量多少的衡量标准,在因特网上,作为域名系统服务器的机器的性能经常用每秒查询率来衡量。原理:每天80%的访问集中在20%的时间里,这20%时间叫做峰值时间 公式:( 总PV数 * 80% ) / ( 每天秒数 * 20% ) = 峰值时间每秒
阅读全文
posted @ 2018-02-27 09:48
浙公网安备 33010602011771号