后端架构/服务器综合论坛 今日: 0|主題: 1287|排名: 19 

关于Domain-Protect Domain-Protect是一款功能强大的子域名安全保护工具，可以帮助广大研究人员更好地保护自己的网站抵御子域名接管攻击。该工具支持实现以下两个目标： 扫描一个AWS组织中的Amazon Route53，并获取存在安全问题的域名记录，然后尝试执行域名接管检测; 可以通过Domain Protect for GCP检测Go ...

关于BruteLoops BruteLoops是一款功能强大且协议无关的在线密码安全检测API，广大研究人员可以使用BruteLoops来实现在线密码猜解，以检查用户所使用的密码是否安全，或识别密码中的安全问题。 BruteLoops针对身份验证接口提供了密码爆破猜解功能，代码库中提供了一个模块化的使用示例，并演示了如何使用BruteLoops ...

nodejs一般是当成一条用户命令执行的，当用户断开客户连接，运用也就停了，很烦人。如何让nodejs应用当成服务，在后台执行呢？ 最简单的办法：# nohup node app.js &但是，forever能做更多的事情，比如分别记录输出和错误日志，比如可以在js中作为api使用。# npm install forever -g #安装 # forever start app.js #启动 # ...

使用jps命令查看java进程，经常出现类似"3135 -- process information unavailable"，有两种情况，第一种：3135这个PID存在，原因为当前ID为其他用户启动，该用户没有查看权限。第二种：3135这个PID不存在。 jps命令process information unavailable # jps 631 Jps 3135 -- process information unavailable 24351 Bootstra ...

由于公司机房和办公环境是在一起的，默认情况下公司出口IP是禁止80/443访问【运营商侧有限制】。目前采用的是阿里云进行中转，即将开发环境的域名解析到阿里云，然后通过Nginx反向代理到公司出口非80端口。开发环境部分接口涉及到第三方回调和校验，所以完全禁止开发环境对外网访问不现实。 目前合理的需求如下： ...

前言 广告业务是属于多读少写的模型，写操作由后台运营人员发起，读操作由用户客户端发起。此文是讨论HTTP读接口的灰度方案，总体层次架构如图1所示。 魅族广告HTTP灰度 - 01 该系统有以下几个特点： (1) RPC调用服务化，实现了High Availability与Load Balance策略； (2) 网关层具有简单过载保护、参数校验、转发请求等 ...

关于PortBender PortBender是一款功能强大的TCP端口重定向工具，该工具允许红队研究人员或渗透测试人员将一个TCP端口(例如445/TCP)的入站流量重定向到另一个TCP端口(例如8445/TCP)。PortBender项目包含了一个渗透测试脚本，可以帮助研究人员将该工具与Cobalt Strike进行集成。但是，由于该工具是基于一个反射型DLL实 ...

目录 3种有效方法保障服务器数据的安全 数据备份的意义就在于，当受到网络攻击、病毒入侵、电源故障或者操作失误等事故的发生后，可以完整、快速、简捷、可靠地恢复原有系统，在一定的范围内保障系统的正常运行。一些对备份数据重视程度较低的企业，一旦服务器数据出现突然丢失或者损坏，往往会悔莫及。在数据备份方面， ...

保持 用终端登录远程开发机coding，应该是大多数程序猿年复一年的工作，但悲剧的是终端会你跟美女测试聊天的一瞬间断开了，所幸的是ssh提供了连接保持 命令ServerAliveInterval，只需要新建文件~/.ssh/config并输入如下命令即可：ServerAliveInterval 60这样ssh会每60秒发送一个KeepAlive请求，保证终端不会因为超时空闲而 ...

软硬链接的区别在这里就不在阐述了。说一下删除目录软链接需要特别注意的地方： 系统环境：Linux Test.com 3.10.0-327.el7.x86_64 #1 SMP Thu Nov 19 22:10:57 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux 实验环境：在root 目录下创建一个测试目录 1 ,并在该目录下创建一个2.txt 的文件，写入内容 1.txt:[root@server ~]# mk ...

前言 最近有个需求，在不同的系统中做数据同步。我们是java+mysql、他们是c#+sqlserver。需求是sqlserver提出的，并且他们提出要实时，并且要我们主动推数据给他们。他们接口都提供好了，说要我们对数据库表操作的时候调用他们的接口把数据传他们。咋看没有什么事，不就是一个接口的调用么。仔细想想，这样对我们的系统影响 ...

关于lazyCSRF lazyCSRF是一款功能强大的Burp Suite插件，该工具可以帮助广大研究人员生成功能强大的CSRF(跨站请求伪造) PoC。Burp Suite是一个拦截HTTP代理，是执行Web应用程序安全测试的强大工具。引入lazyCSRF之后，Burp Suite就可以直接生成CSRF PoC了。 在此之前，我比较喜欢使用的是“Generate CSRF PoC”， ...

关于ScaRCE框架 ScaRCE是一个专门针对漏洞CVE-2021-41773的漏洞挖掘框架，该工具可以帮助广大研究人员在漏洞扫描或渗透测试过程中，识别出公开站点中的CVE-2021-41773漏洞。 CVE-2021-41773漏洞主要影响的是Apahce 2 Web服务器，而ScaRCE通过扫描识别的方法找到目标Web服务器中的漏洞之后，将能够在目标Web服务器( ...

受限bash 如果 bash 以 rbash 为程序名启动或者命令行参数有 -r 选项，则启动的这个 shell 会在某些功能上受限制．具体表现为如下操作都不能做： 通过 cd 来改变工作目录 设置或取消环境变量： SHELL， PATH， ENV， BASH_ENV 命令名中不能包含目录分隔符 ‘/’ 包含有 ‘/’ 的文件名作为内置命令 ‘.’ 的参数 hash 内置 ...

近日Apache Log4j2出现漏洞导致我的世界杯黑客攻击，不少玩家都受到了不同程度的影响，而这一切的起因都是因为Apache Log4j2漏洞。怎么才能修复Apache Log4j2漏洞呢？来看看吧！ Apache Log4j2漏洞是怎 么回事 Apache Log4j是一个基于Java的日志记录工具，是Apache软件基金会下的一个开源项目。而此次出现漏洞的Ap ...

事件背景 12月10日，看到朋友圈中已经有人在通宵修改、上线系统了。随即，又看到阿里云安全、腾讯安全部门发出的官方报告：”Apache Log4j2存在远程代码执行漏洞“，且漏洞已对外公开。 看到相关消息，马上爬起来把所有项目的日志系统过滤一遍，还好老项目采用的log4j，新项目采用的logback，没有中招。随后就看到 ...

不仅可以记录到击键信息，而且包括终端下的输出信息[root@Centos log]# wget http://www.i0day.com/exp/Linux/sh2log-1.0.tgz --2013-01-07 05:16:56-- http://www.i0day.com/exp/Linux/sh2log-1.0.tgz Resolving packetstorm.foofus.com... 64.71.188.242 Connecting to packetstorm.foofus.com|64.71.188.242|:80... conn ...

目录前言1.SSL证书不是来自公认的证书颁发机构(CA)2.数字证书信任链配置错误3.证书的域名匹配程度不完整4.证书已经过了有效期5.客户端不支持SNI协议前言今天在这里主要总结一下使用SSL的过程中遇到的坑(注意事项)。SSL是什么东西？很多人认为SSL证书就是拿回来安装上就可以使用的。后来发现其实不然，我们还需要去了解SSL证 ...

在本周一的电话简报中，网络安全和基础设施安全局(CISA)局长 Jen Easterly 告诉行业领导者，近期曝光的 Apache Log4j 漏洞破坏力即便不是最严重的，但也是她整个职业生涯中遇到的最严重漏洞之一。她表示：“我们预计该漏洞将被复杂的行为者广泛利用，我们只有有限的时间来采取必要的措施，以减少损害的可能性。该问题 ...

根据Security Affairs网站最新消息，Log4j库中的Log4Shell漏洞公开披露前，至少已经被攻击利用了一周之多。黑客组织也早已滥用该漏洞，大肆部署恶意软件。 漏洞存在很多可攻击点 漏洞披露后，NetLab 360研究人员声称，其公司旗下的Anglerfish和Apacket蜜罐已经被试图使用Log4Shell漏洞的网络攻击击中。经过研究 ...