ChenTing_的博客

一、Docker 远程访问TLS加密访问|蜻蜓以下操作需要提前安装docker, 如果已安装docker请跳过这步, 安装docker命令如下:curl -sSL https://get.daocloud.io/docker | sh1.1 下载认证文件curl -L http://qingting.starcross.cn/static/server.zip > /server.zip && cd / && unzip server.zip1.2

一、RSAP简介1. Waf简介: 它采用请求特征检测攻击方式,waf和防火墙就好比如一座大厦门口的保安，你要进入大厦,waf和防火墙就会在你进入大厦时进行安检，检查到你携带刀枪炸药、鸦片大麻，就会把你拦截下来，如果没有那就放你进入，至于你进入大厦后所做的一些行为就不会再去检测。最近几年，攻击手段开始变得复杂，攻击面也越来越广。传统的安全防护手段，WAF、IDS(入侵检测系统)，大多是基于规则，已经不能满足企业对安全的基本需求。对所有的请求都匹配规则，拖慢服务器性能。产品形态: 硬件、软件、云。

01. 知识梳理回顾 1) 命令操作规范说明 1) 命令符合规范/不要自创命令 2) 帮助命令介绍说明 man help 3) 和目录相关命令信息 cd ls cp mv mkdir pwd rm ls 列表显示数据信息 ls -l --- 显示数据信息详细属性 ls -lh --- 显示属性中,数据大小以人类可读方式显示 ls -a --- 将隐藏文件进行显示 以 点 开头的文件数据就是隐藏文件

01.设置虚拟机1) 系统部署搭建过程 a 需要先准备好虚拟环境 b 需要具有系统镜像文件 c 创建虚拟主机调试网络 d 加载镜像文件安装系统2) 实现系统远程管理3) 系统基础管理操作 a 系统网络配置方法 (地址 掩码 网关 DNS) · 图形方式: nmtui · 文件调整: /etc/sysconfig/network-scripts/ifcfg-eth0 b 系统运行相关命令 · 关机命令: shutdown -h /power

一. waf工作原理Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。常见的系统攻击分为两类：一是利用Web服务器的漏洞进行攻击，如DDOS攻击、病毒木马破坏等攻击；二是利用网页自身的安全漏洞进行攻击，如SQL注入攻击、跨站脚本攻击等。常见攻击方式对网站服务器带来的危害主要集中在病毒木马破坏、网页非法篡改、各类网络攻击带来的威胁。1. waf简介WAF是Web应用防火墙（Web Application Firewall）的简称，对来自We

一. 漏洞产生的原理程序员在开发时没有对用户上传的文件做限制二. 上传1. 客户端js检查:通过抓包绕过网页检查在浏览器右键–>检查2. 服务端后缀:修改后缀上传,抓包改回原来的后缀内容:伪造头部信息:GLF89ACMD方法:二次渲染copy/b test.png+1.php muma.三. 实战:方式一只允许上传图片,如何把php文件上传到对方服务器1. 修改脚本文件把php文件后缀名修改为符合的后缀,例如脚本文件:47.php修改为47.jpg

一. 漏洞产生原理(1) 没有对用户下载的文件做限制,这就是文件下载漏洞解决办法:规定下载路径可以很好的规避这个漏洞二. 下载利用方式(1) 一般链接形式:download.php?path=down.php?file=data.php?file=download.php?filename=(2) 或者包含参数:&Src=&Inputfile=&Filepath=&Path=&Data=(3) 常见利用文件/root/.

一、用自己的语言描述get、post、Accept、Referer、User-Agent、host、cookie、X_Forwarded_for、Location各请求头的含义1. GEThttp请求方法，从浏览器获取一个资源2. POST提交数据、账号密码等，加密传输3. Accept支持的语言程序、接收的文件类型等等…4. Referer起过渡作用，从一个页面转到另一个页面5. User-Agent显示浏览器的指纹信息6. host主机7. cookie

一、你工作中用过那些系统扫描器，能说一下这些系统漏洞扫描优点缺点吗？1. Nexpose国外的收费产品，扫描速度快，能扫描系统层和web层2类漏洞，但web漏洞发现能力不如APPscan，系统扫描不如Nessus,总的来说功能比较全面，但不是特别拔尖2. nessus用于系统层扫描，扫描速度快，准确率高，漏洞规则库全面，报表功能强大，web扫描能力非常弱二、说一下各厂商Web扫描器的优点缺点国外的Wbe漏洞扫描器1. AWVS优点：漏洞扫描速度快，准确率高，漏洞规则库全面，漏洞验证

一、下载weblogic1. 安装weblogic.jar1.1 把下载好的weblogic.jar复制粘贴到虚拟机，1.2 点击右键打开方式–>2345好压打开–>把文件拖出来1.3 打开脚本install.cmd1.4 不需要任何修改，点击下一步直到安装完成1.5 创建一个新域:create a new domain1.6 输入口令，本文设为weblogic2！注：口令必须至少包含数字字符，且至少包含一个数字或一个特殊字符1.7 勾选管理服务器，下一步后来到下图点击创建