- 博客(47)
- 收藏
- 关注
RSS订阅转载 owaps 十大安全风险漏洞
OWASP(Open Web Application Security Project - 开放式 Web 应用程序安全项目)基金会是一家国际组织,其使命是推进安全软件事业。作为其活动的一部分,OWASP 发布了一份关于 Web 应用程序最严重安全漏洞的报告,根据来自世界各地的安全专家小组的意见,按顺序进行了排列。OWSAP 十大安全风险包括以下类别:注入失效的身份认证和会话...
2019-08-31 20:16:00
391
转载 ubuntu搭建apollo3.5开源仿真环境搭建教程 (已经调通为了查看相关依赖环境重新安装一遍截图实时持续进行技术文档更新)...
Ubuntu14+apollo3.5安装教程(最新ubuntu19系统搭建环境教程、debug、技术支持、系统维护、依赖包难题远程解决联系作者)流程:1安装ubuntu14系统2安装git-lfs 3下载apollo3.5源码4安装docker5下拉apollo镜像6进入docker7编译镜像8启动Dreamview9打开we...
2019-05-14 16:01:00
367
转载 gan 生成神经网络学习
依赖于贝叶斯学派的方法使用博弈论的思维限制在一个受限的程度中进行将模型分解为条件分布的方式趋势详细的模型结构对于真实的数据的一种重构,通过隐含的方式进行压缩数据。G通过噪声生成样本 之后交给判别器。不断的计算均衡,达到稳定状态,G产生的内容,D判别的程度降到最低少于二分之一。宏观逻...
2019-05-09 09:09:00
246
转载 apollo3.5搭建教程(调试成功)
作者调试3.5 成功,最新版系统完整调试过程正在整理中,需要详细调整文档与技术支持邮箱a18235212571ubunutu 19 搭建细节【图文教程】https://blog.csdn.net/weixin_42453374/article/details/90235898git官方文档link:git官方文档Dock...
2019-04-17 16:02:00
200
转载 【线上】apollp仿真开放平台(一)
https://azure.apollo.auto/?locale=zh-cn功能概览正式测试的时候记得使用公司邮箱发送申请激活仿真服务、在这里可以查看详细的入门介绍创建场景之后就可以进行dome测试了运行测试后可以在例行任务中进行数据查看更多教程期待之后教程转载于:https://ww...
2019-04-09 16:30:00
171
转载 20181125 XGBoost 学习笔记
1.背景关于xgboost的原理网络上的资源很少,大多数还停留在应用层面,本文通过学习陈天奇博士的PPT地址和xgboost导读和实战地址,希望对xgboost原理进行深入理解。2.xgboost vs gbdt说到xgboost,不得不说gbdt。了解gbdt可以看我这篇文章地址,gbdt无论在理论推导还是在应用场景实践都是相当...
2018-11-25 09:52:00
104
转载 学习记忆循环神经网络心得
如有缪误欢迎指正GRU结构向前传播 心得(欢迎指正)当遗忘门等于0的时候当前信息抛弃 之前记忆前传当遗忘门等于1 的时候之前记忆抛弃 当前信息前传当遗忘门的值为0和1之间的时候 调控前传的记忆与信息的比例QAQQ:LSTM与GRU 的区别A: LSTM 数据量大的时候选用A: GRU 结构相对简单,但是训练...
2018-11-17 11:27:00
297
转载 jQuery 插件的 0day利用至少三年
黑客在至少三年时间里利用一个流行 jQuery 插件的 0day 漏洞植入 Web shells 控制存在漏洞的 Web 服务器。这个插件是jQuery File Upload,其作者为德国开发者 Sebastian Tschan aka Blueimp,它是 GitHub 平台上仅次于 jQuery 框架本身第二受欢迎的 jQuery 项目,被整合到数以百计的项目中。 Akam...
2018-10-23 12:04:00
146
转载 VestaCP中国用户遭到大量DDOS攻击
VestaCP是一款强大的vps控制面板,是由俄罗斯的人编写的VPS主机控制面板,支持中文,支持Apache、Nginx、Bind、Exim、Dovecot、vsftpd、MySQL等,提供可视化的网站管理面板,非常适合多用户使用。最近几个月,托管控制面板解决方案VestaCP的众多用户收到了服务提供商的警告,他们的服务器使用了异常的带宽。我们现在知道这些服务器实际上...
2018-10-22 11:29:00
487
转载 ZooKeeper设置ACL权限控制
ZooKeeper设置ACL权限控制ZK的节点有5种操作权限:CREATE、READ、WRITE、DELETE、ADMIN 也就是 增、删、改、查、管理权限,这5种权限简写为crwda(即:每个单词的首字符缩写)注:这5种权限中,delete是指对子节点的删除权限,其它4种权限指对自身节点的操作权限身份的认证有4种方式:world:默认方式,相当于全世界都能访问auth:...
2018-10-17 17:23:00
106
转载 linux rsync 指定用户名和密码的方式同步
rsync 客户端 172.17.0.29rsync 服务端 --daemon 方式运行 172.17.0.31 备份端以下首先说明服务端的安装情况:1 检查是否安装rsync rpm -qa rsync rsync-3.0.6-12.el6.x86_64 如果没有安装进行yum 安装即可 yum install -y rsy...
2018-10-17 16:43:00
962
转载 关于Apache HTTPD 2.2.15的部分漏洞修复建议
关于Apache HTTPD 2.2.15的部分漏洞修复建议修复Apache HTTP Server畸形Range和Range-Request选项处理远程拒绝服务漏洞该漏洞有如下几种修补方法方式1:升级Apache httpd至2.2.21及以上版本方式2:可以从官网下载补丁包,重新打包编译Apache。方式3:...
2018-10-17 15:13:00
1236
转载 AutoMapper官方文档(二)【升级指南】
初始化您现在必须使用Mapper.Initialize或new MapperConfiguration()来初始化AutoMapper。如果您希望保持静态使用,请使用Mapper.Initialize。如果你有很多的Mapper.CreateMap调用,把它们移动到一个Profile,或者Mapper.Initialize,在启动时调用一次。例如在这里看到。Profile...
2018-10-17 14:09:00
196
转载 openssl升级
1、查看操作系统版本:cat /etc/redhat-releaseRed Hat Enterprise Linux Server release 5.4 (Tikanga)2、查看当前系统openssl软件包版本信息rpm -qa |grep opensslopenssl-devel-0.9.8e-12.el5openssl-0.9.8e-12.el5...
2018-10-17 13:50:00
149
转载 MongoDB如何无缝版本升级
如何无缝对MongoDB集群版本升级 2.8以下 升级需要做什么 数据备份 非常重要 用于数据回滚 下载目标版本Binary Mongos mongod2.8以上升级类型 Upgrade MonoDB instance 单个Mongodb实例升级 步...
2018-10-17 13:37:00
133
转载 mysql在线升级更新步骤
mysql在线升级更新步骤MySQL问题:mysql使用软件包安装,如何实现在线更新,而不需要拷贝数据库解决:使用mysql的in-place upgrade进行更新,本次更新为5.6.40版本,原数据库文件在/alidata/server下面方法:首先最好先备份一下数据库,防止更新失败可以还原(当然更新成功就不需要了)mysqldump -u ro...
2018-10-17 12:04:00
392
转载 手动升级kubernetes集群
手动升级kubernetes集群在我最开始写作本书的时候,kubernetes刚发布1.6.0版本,而kubernetes基本按照每三个月发布一个大版本的速度迭代,为了使用新特性和只支持新版本kubernetes的配套软件,升级kubernetes就迫在眉睫,在此我们使用替换kubernets的旧的二进制文件这种暴力的方式来升级测试集群,若升级生产集群还望三思。另外,自kuber...
2018-10-17 11:23:00
173
转载 更新Docker容器
更新Docker容器使用 Docker 安装了 Redmine之后,已经过了很久了,这几天在维护服务器时,发现 Redmine 的版本也升级了。就想着也升级一下容器吧。先说下大体思路:升级 Docker Image关闭就容器,并删除之重新开启新的容器,这样才能使用新的代码升级数据库升级 Docker Image升级Image很简单,...
2018-10-17 11:20:00
188
转载 struts2升级到Struts 2.3.15.1的步骤
struts2升级到Struts 2.3.15.1的步骤最近struts安全问题影响很大啊,iteye上面也有新闻:Apache Struts团队6月底发布了Struts 2.3.15版本,由于该版本被发现存在重要的安全漏洞,因此该团队今天发布了Struts 2.3.15.1安全更新版本。新闻地址:http://www.it...
2018-10-17 11:05:00
145
转载 黑客论坛上出售高达3500万份2018年选民记录
黑客论坛上出售高达3500万份2018年选民记录就在中期前几周,来自19个州的选民信息已经出现在黑暗网络上。研究人员发现,在19个州的一个受欢迎的黑客论坛上发现了多达3500万条选民记录。Anomali Labs和英特尔471的研究人员周一表示,他们发现黑暗网络通信提供大量待售的选民数据库 - 包括有价值的个人身份信息和选民历史。...
2018-10-16 10:49:00
113
转载 【译】雄迈摄像头爆出Mirai僵尸网络
熊麦中心在中国杭州的渲染。资料来源:xiongmaitech.com2016年底,世界目睹了Mirai的强大破坏力,Mirai是一种强大的僵尸网络应变,由物联网(IoT)设备(如DVR和IP摄像头)推动,这些设备通过出厂默认密码和其他不良安全设置上线。安全专家很快发现,大多数受Mirai感染的设备主要由熊迈(又名杭州雄迈科技有限公司)和少数其他中国科技公司组...
2018-10-15 20:46:00
1016
转载 【SSRF】SSRF漏洞攻击与防御
0x01 概述SSRF(Server-side Request Forge, 服务端请求伪造)。由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务。0x02 SSRF的危害扫内网向内部任意主机的任意端口发送精心构造的PayloadDOS攻击(请求大文件,始终保持连接Keep-Alive Alwa...
2018-10-12 13:09:00
239
转载 SSRF 服务端请求伪造
SSRF 服务端请求伪造SSRF 简介¶SSRF,Server-Side Request Forgery,服务端请求伪造,是一种由攻击者构造形成由服务器端发起请求的一个漏洞。一般情况下,SSRF 攻击的目标是从外网无法访问的内部系统。漏洞形成的原因大多是因为服务端提供了从其他服务器应用获取数据的功能且没有对目标地址作过滤和限制。攻击者可以利用 SSRF 实现的攻击...
2018-10-12 13:06:00
370
转载 代码注入漏洞
代码注入维基百科,自由的百科全书跳到导航跳到搜索代码注入(Code injection)是一种肇因于处理非法数据的计算机臭虫应用。代码注入可被攻击者用来导入代码到某特定的计算机程序,以改变程序的运行进程或目的。代码注入攻击的结果可以是灾难性的。例如说:代码注入可作为许多计算机蠕虫繁殖的温床。目录1概说及例子2代码注入的用途...
2018-10-12 09:27:00
766
转载 文件包含漏洞
文件包含漏洞产生的原因:通过引入文件时,用户可控,没有严格的检验,或是被绕过,操作一些敏感文件,导致文件泄露和恶意代码注入当包含文件在服务器本地上,就形成本地文件包含,当包含的文件在第三方服务器是,就形成可远程文件包含。常见的漏洞代码if (isset($_GET[page])) {include $_GET[page];} else {include "...
2018-10-12 09:11:00
179
转载 任意文件上传
1.1 漏洞描述上传漏洞这个顾名思义,就是攻击者通过上传木马文件,直接得到WEBSHELL,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。导致该漏洞的原因在于代码作者没有对访客提交的数据进行检验或者过滤不严,可以直接提交修改过的数据绕过扩展名的检验。1.2 漏洞危害 1)可以得到WEBSHELL 2)上传木马文件,可以导致系统瘫痪...
2018-10-12 09:01:00
90
转载 改变弱口令威胁,从意识开始
密码策略和工作单本部分介绍密码策略设置,并提供一个工作单,以帮助您定义符合要求的密码策略。注 –要使用默认的密码策略,请参见管理默认密码策略。密码策略设置在目录服务器中指定密码策略时,需要修改或创建包含对象类pwdPolicy(5dsoc)的条目。为特定类型的用户定义密码策略时,需要考虑以下注意事项:当入侵者看上去要尝试破解密码时如...
2018-10-12 08:52:00
324
转载 僵尸网络危害与分类
僵尸网络(Botnet,亦译为丧尸网上、机器人网上)是指骇客利用自己编写的分布式拒绝服务攻击程序将数万个沦陷的机器,即骇客常说的傀儡机或“肉鸡”(肉机),组织成一个个命令与控制节点,用来发送伪造包或者是垃圾数据包,使预定攻击目标瘫痪并“拒绝服务”。通常蠕虫病毒也可以被利用组成僵尸网络。最早的僵尸网络出现在1993年,在IRC聊天网络中出现。1999年后IRC协议的僵尸程序大规模出现。...
2018-10-12 08:31:00
734
转载 对网站的开源代码进行审计
0x00 前言@0r3ak 师傅向我推荐了一款代码审计工具Cobra(wufeifei/cobra),该工具基于Python开发,可以针对多种语言的源代码安全性评估。在测试的过程中,总是不得要领,有一些问题不知道怎么解决,都是又很想了解下这款项目的实现原理。在这一系列的笔记中,将会记录下对 Cobra 的使用体验,以及源码级的分析。0x01 基础环境Ubuntu 16...
2018-10-12 08:20:00
318
转载 如何分析网站弱点
如何分析网站弱点今天我们来谈谈作为一个SEO优化人员该如何去做好自己网站的搜索引擎优化。如果你已经有概念但还不知道该怎么做。那么作者今天就带你去分析网站的弱点。在开始正题之前先跟大家谈一下收录问题,如果收录没有解决的话,那就无从分析网站的弱点了。关于如何解决收录问题,我相信很多人已经有自己独特的方式方法了。我也就不老生常谈了,下面就先说说我自己的方法吧!1、查看服务器日志(1)网站蜘...
2018-10-12 08:16:00
124
转载 如何构建一个入侵检测系统(IDS)
通常来说,一个企业或机构准备进军此领域时,往往选择从基于网络的IDS入手,因为网上有很多这方面的开放源代码和资料,实现起来比较容易,并且,基于网络的IDS适应能力强。有了简单网络IDS的开发经验,再向基于主机的IDS、分布式IDS、智能IDS等方面迈进的难度就小了很多。在此,笔者将以基于网络的IDS为例,介绍典型的IDS开发思路。 根据CIDF规范,我们从功能上将入侵检测系统划...
2018-10-12 08:06:00
854
转载 web网页劫持是如何做到的
前几天看到一篇写js文件反劫持的文章,想起15年主导做百度搜索结果页面反劫持项目做得一些研究,整理成文章,跟大家分享。常见劫持手段按照劫持的方法不同,我将劫持分为下面两类:跳转型劫持:用户输入地址A,但是跳转到地址B注入型劫持:有别于跳转型型劫持,指通过在正常的网页中注入广告代码(js、iframe等),实现页面弹窗提醒或者底部广告等,又分为下面三个小类:...
2018-10-12 07:57:00
126
转载 什么是Web应用防火墙
Web应用防火墙是集web防护、网页保护、负载均衡、应用交付于一体的web整体安全防护设备的一款产品 。Web防火墙产品部署在Web服务器的前面,串行接入,不仅在硬件性能上要求高,而且不能影响Web服务,所以HA功能、Bypass功能都是必须的,而且还要与负载均衡、Web Cache等Web服务器前的常见的产品协调部署。Web应用防火墙主要是对Web特有入侵方式的加强防护...
2018-10-12 00:23:00
168
转载 绝对保护——黑白名单
在电脑系统里,有很多软件都应用到了黑白名单规则,操作系统、防火墙、杀毒软件、邮件系统、应用软件等,凡是涉及到控制方面几乎都应用了黑白名单规则。黑名单启用后,被列入到黑名单的用户(或IP地址、IP包、邮件、病毒等)不能通过。如果设立了白名单,则只有在白名单中的用户(或IP地址、IP包、邮件等)才能通过。将其含义扩展一步,那么凡有黑名单功能的应用,就会有白名单功能与其对应。例如:在运营体系中...
2018-10-12 00:06:00
276
转载 网络安全常识!上网要注意哪些事项
长期在电脑屏幕前工作,不仅会影响人的视力,还会改变脑电波,给身体带来不利影响。这种不利影响会形成两种有害的脑电波,一神是睡眠性的脑电波,还有一种是快速锯齿脑电波,都会使人失去判断能力,容易使儿童患上痴呆症。一、上网查阅信息时要注意:l、每次在计算机屏幕前工作不要超过1小时。2、眼睛不要离屏幕太近,坐姿要端正。3、屏幕设置不要太亮或太暗。4、适当到户外呼吸新鲜...
2018-10-11 22:57:00
1550
转载 什么是傀儡机
傀儡机编辑傀儡机也叫肉鸡,也就是被黑客远程控制的机器。黑客通过黑客软件对别人进行攻击,如果有人中了这种病毒的话,病毒就会在系统开一个后门,方便黑客在需要的时候对你的计算机进行控制或其他的操作,这时被黑客操纵的计算机就叫傀儡机。傀儡机又名肉鸡定义被黑客远程控制的机器操纵者黑客操纵对象大众的电脑前提电脑中病毒目录1如何...
2018-10-11 22:50:00
598
转载 跳板机是什么
跳板机是什么?跳板机是运维堡垒主机的另个称呼。作为技术或者运维人员应该不会陌生。企业为了服务器的安全,通常所有的ssh连接都是通过跳板机来完成,以便于对ssh连接进行验证和管理。跳板机有哪些作用? 跳板机的安全作用,之前的“运维堡垒主机是什么?有什么作用?”文中曾有详细介绍。跳板机在攻击者手中还有其他的作用: 1、塞满服务器的硬盘 通常,如果...
2018-10-11 22:41:00
1002
转载 什么是DDoS攻击?如何抵御DDos攻击?
什么是DDoS攻击?如何抵御DDos攻击?单纯的土豆2016-05-23安全报道显示2015年DDoS攻击强度创下新纪录,那么DDoS到底是什么呢?了解一些,对产品经理与后台的同事沟通有好处。分布式拒绝服务(DDoS:Distributed Denial of Service)攻击指借助于客户/服务器技术,将多个计算机联合起来作为攻击平台,对一个或多个目标发动DDoS攻...
2018-10-11 22:39:00
403
转载 保护路由器免受DDoS攻击的5个最新绝招
在如今家里所有与互联网连接的设备中,网络路由器仍然绝对是头号攻击目标。Avast Software公司在今年早些时候的一篇博文中说:“大多数互联网路由器(可谓是家庭网络的基础)存在大量安全问题,这让它们很容易被黑客盯上。该博文提到了Tripwire对653名IT专业人员和约1000名远程员工开展的一项调查;调查显示,80%的畅销小型办公室/家庭办公(SOHO)无线路由器存在...
2018-10-11 22:35:00
159
转载 Linux系统Web网站目录和文件安全权限设置
Linux系统Web网站目录和文件安全权限设置查看Linux文件的权限:ls -l 文件名称查看linux文件夹的权限:ls -ld 文件夹名称(所在目录)例如:drwxr-xr-x 2 root root 4096 2009-01-14 17:34 bindrwxr-xr-x 2 root root 4096 2009-01-14 17:34 bin第一个字符代表文件类型。...
2018-10-11 21:59:00
204
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人