安全
ouyang-web之路
这个作者很懒,什么都没留下…
展开
-
MySQL事务
1. 事务的基本介绍 1. 概念: * 如果一个包含多个步骤的业务操作,被事务管理,那么这些操作要么同时成功,要么同时失败。 2. 操作 1. 开启事务: start transaction; 2. 回滚:rollback; 3. 提交:commit 3. 例子: CREATE TABLE account ( id INT PRIMARY KEY AUTO_INCREMENT, NAME VARCHAR(10), bala转载 2020-11-27 15:39:32 · 97 阅读 · 0 评论 -
漏洞:会话固定攻击(session fixation attack)
什么是会话固定攻击?会话固定攻击(session fixation attack)是利用应用系统在服务器的会话ID固定不变机制,借助他人用相同的会话ID获取认证和授权,然后利用该会话ID劫持他人的会话以成功冒充他人,造成会话固定攻击。看下面Session Fixation攻击的一个简单例子:image整个攻击流程是:1、攻击者Attacker能正常访问该应用网站;2、应用网站服务器返回一个会话ID给他;3、攻击者Attacker用该会话ID构造一个该网站链接发给受害者Victim;4-5、转载 2020-08-17 07:32:20 · 382 阅读 · 0 评论 -
Nginx中使用Lua编程--转
1.简介OpenResty,也被称为“ngx_openresty”,是一个以Nginx为核心同时包含很多第三方模块的Web应用服务器。借助于Nginx的事件驱动模型和非阻塞IO,可以实现高性能的Web应用程序。 OpenResty不是Nginx的分支,它只是一个软件包。主要有章亦春维护。OpenResty默认集成了Lua开发环境,而且提供了大量组件如Mysql、Redis、Memcached等...转载 2019-07-08 10:11:01 · 794 阅读 · 0 评论 -
nginx安全优化(四)降权
使用普通用户启动Nginx1.1让Nginx服务使用普通用户默认情况下,Nginx的Master进程使用的是root用户,Worker进程使用的是Nginx指定的普通用户,使用root用户跑Nginx的Master进程有两个最大的问题管理权限必须是root,这就使得最小化分配权限原则遇到难题使用root跑Nginx服务,一旦网站出现漏洞,用户就可以很容易获得服务器的root权限1.2...原创 2019-06-10 17:21:14 · 768 阅读 · 0 评论 -
nginx安全优化(三)
11.fastcgi相关参数调优(配合PHP引擎动态服务)fastcgi参数是配合Nginx向后请求PHP动态引擎服务的相关参数,要想较好的理解相关的参数细节,需要对前面章节介绍的Nginx Fastcgi客户端配合php-fpm(fastcgi服务端)的原理十分熟悉,具体的逻辑图此处讲解的参数均为Nginx Fastcgi客户端向后请求PHP动态引擎服务(php-fpm(fastcgi服...原创 2019-06-10 14:19:32 · 333 阅读 · 0 评论 -
nginx 安全优化(二)
4.优化绑定不同的Nginx进程到不同的CPU上默认情况Nginx的多个进程有可能跑在某一个或某一核的CPU上,导致Nginx进程使用硬件的资源不均,因此尽可能地分配不同的Nginx进程给不同的CPU处理,达到充分有效利用硬件的多CPU多核资源的目的在优化不同的Nginx进程对应不同的CPU配置时,四核CPU服务器的参数配置参考如下:worker_processes 4;worke...原创 2019-06-10 14:05:51 · 716 阅读 · 0 评论 -
nginx 安全优化(一)
1.Nginx软件版本信息隐藏 1.1 调整参数隐藏Nginx软件版本信息 例如: crul -I 10.0.0.7 结果: HTTP/1.2 200 OK Server:nginx/1.6.3 #<==这里很清晰的爆露了Web版本号(1.6.3)以及软件名称ngin...原创 2019-06-10 13:49:00 · 797 阅读 · 0 评论