- 博客(26)
- 资源 (1)
- 收藏
- 关注
RSS订阅原创 权限控件与安全
以下内容学习自 <白帽子讲Web安全>权限控制:某个主体(subject)对某个客体(object)进行某些操作,而系统对这个操作的限制就是权限控制在一个安全系统中,确定主体的身份叫认证,而客厅是一种资源,是主体发起请求的对象。主体对客体的操作中,主体不能无限制的对客体进行操作,所以,主体能够做什么,就是权限。权限可以区分为不能的能力,比如Linux系统中,对文件的读,写,执行能力,在Web应用中,根据访问客体的不同,常用的访问控制包括:"基于URL的访问控制,“基于方法(method)的访
2020-05-31 15:37:25
190
原创 接口并发测试常见的并发问题
这里写自定义目录标题接口并发测试常见的并发问题新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入接口并发测试常见的并发问题你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdow
2020-05-26 13:24:27
2513
原创 单点登录与安全
以下内容学习自<<白帽子讲Web安全>>单单登录的英文全称是Single Sign On,简称SSO。它希望用户只登录一次,就可以访问所有系统,从用户无疑让用户使用更加的方便,从安全的角度看,SSO把风险集中在单点上,这样做有好处也有坏处SSO的优点在风险集中化,如果每个系统各自实现登录功能,由于各系统的产品需求,应用环境,开发工程师水平有差异,登录功能的安全标准难以统一,SSO解决了这个问题,它把用户登录的过程集中在一个地方,这样可以使用多因素认证或者将安全设计交给可靠的第三方
2020-05-24 15:27:14
1708
原创 Session与认证
以下内容学习自<<白帽子讲Web安全>>密码与证书等认证方式,通常用于登录过程,等来完成后,用户访问网站的页面,不可能每次都使用密码认证一次,因此认证成功后,就需要替换一个对用户透明的凭证,这个凭证就是SessionID当用户登录完成后,在服务端会创建一个新的会话(Session),会话中保存用户的状态和相关信息,服务器维护所有在线用户的Session,此时的认证,只需要知道是哪个用户在浏览当前的页面即可,为了告诉服务器需要使用哪个Session,浏览器需要把当前用户持有的Ses
2020-05-23 20:27:03
277
1
原创 单因素认证与多因素认证
以下内容学习自白帽子讲WEB安全单因素认证指只有一种认证方式,而多因素认证指有多种认证方式通常单因素认证使用密码认证,但对于很多重要的系统来说,为了增强安全性,需要使用多因素认证,大多数的网上银行和网上支付平台都会采取双因素认证或者多因素认证,除了支付密码,手机动态口令,数字证书,宝令,支付盾,第三方认证都可以用于用户认证,这些不同的验证方式相互结合,可以使认证方式更加安全,密码不是唯一的认证方式,即使丢失了密码,也能有效保护账户的安全...
2020-05-23 19:51:12
2266
原创 认证,授权与密码认证方式
以下内容学习自白帽子讲WEB安全几乎每个系统都有认证管理,认证与授权是两码事,认证是目的是认出登录的人是谁,而授权是决定登录的人可以做什么事情,授权是取决与认证的认证的目的是为了识别到正确的人,而识别的依据是可以是密码,指纹,虹膜,人脸等,认证实际是哪个是一个验证凭证的过程如果只有一个凭证,则成为"单因素认证",如有多个凭证,则称为"多因素认证",一般来说,多因素认证的强度高于单因素认证,但是多因素认证的体验比单因素认证差一些密码认证密码是最常见的认证方式,但密码认证是比较弱的方式,目前并没有一个
2020-05-23 19:40:26
876
原创 Siege测试结果中文解释
Transactions: 事务数,在siege里面认为是总的请求数量Availability: 有效的请求数,在siege为请求执行的成功率,它的计算公式为:Successful transactions/TransactionsElapsed time: 经过的时间,即从第一个请求开始到最后一个请求结束的总时间Data transferred: 数据传输,即所有请求传输的数据总量,包含headers和contentResponse time: .
2020-05-21 13:38:27
427
原创 Session-based authentication
###Session-based authentication####Session定义:参考https://dzone.com/articles/broken-authentication-and-session-management-partSession将用户信息将服务器端保存,服务器会生成Session d,通常,浏览器会将Session id 作为cookie储存并发送到服务器。基于session身份认证方案参考资料:https://www.cnblogs.com/xiangkejin/
2020-05-21 13:35:53
404
原创 Linux内存体系
####Linux 虚拟内存体系参考地址https://www.cnblogs.com/guazi/p/6853046.html虚拟内存是计算机系统内存管理的一种技术。它使得应用程序认为它拥有连续的可用的内存(一个连续完整的地址空间),而实际上,它通常是被分隔成多个物理内存碎片,还有部分暂时存储在外部磁盘存储器上,在需要时进行数据交换SWAP(意思是“交换”、“实物交易”)分区是Linux的交换分区。它的功能就是在内存不够的情况下,操作系统先把内存中暂时不用的数据,存到硬盘的交换空间,腾出内存来让别的
2020-05-21 13:35:02
84
原创 JWT的工作原理
JWT的工作原理参考地址:https://www.cnblogs.com/cjsblog/p/9277677.htmlhttps://jwt.iohttps://baijiahao.baidu.com/s?id=1608021814182894637&wfr=spider&for=pc什么是JWTJWT: JSON Web token 用于json对象在各方之间安全的传输信息,它是安全可被信任的,因为它是数字签名的。JWT是目前最流行的跨域身份验证解决方案JWT应用场景
2020-05-21 13:34:25
343
原创 Jmeter 组件作用简述
Jmeter 组件作用简述测试计划 Test PlanJMETER脚本的根节点,用来包含测试任务,一个测试计划中至少包含一个线程组线程组 Thread(User)定义了一个虚拟用户池,所有的用户都执行同样的测试脚本采样器 Sampler采样器是JMETER测试的基本单元,用户可以用它向服务器发一个特定的请求,如HTTP,FTP等,采样器会在超时前等待服务器的响应逻辑控制器 Logic Controller用户通过逻辑控制器来控制脚本的执行顺序,以便测试能按照用户期望的顺序和
2020-05-21 13:33:43
211
原创 Jmeter 函数学习
Jmeter 函数学习__base64Decode Base64位解码函数,可以解码经过base64编码后的字符串调用方法 ${__base64Decode(YWFhYQ==,test)}前面的参数表示需要解码的字符串,后面的表示将解码结果保存到参数test中__base64Encode Base64位编码函数,可以将字符串进行base64编码调用方法 ${__base64Encode(aaaa,test)}前面参数表示需要编码的字符串,后面参数表示将解码结果保存到参数test中_
2020-05-21 13:32:06
1367
原创 TCP 的 3次握手与四次挥手
本文参考链接:https://blog.csdn.net/sssnmnmjmf/article/details/68486261)TCP3次握手在TCP/IP协议中,TCP协议提供可靠的连接服务,采用三次握手建立一个连接.第一次握手:建立连接时,客户端发送syn包(syn=j)到服务器,并进入SYN_SEND状态,等待服务器确认;第二次握手:服务器收到syn包,必须确认客户的SYN(ack=j+1),同时自己也发送一个SYN包(syn=k),即SYN+ACK包,此时服务器进入SYN_RECV状态;
2020-05-21 13:31:12
82
原创 HTTP协议
HTTP协议页面加载过程浏览器输入url地址,浏览器通过url寻找对应的IPa:浏览器有缓存,使用浏览器缓存的DNS记录b: 浏览器没有缓存,查看本地hosts文件中和系统缓存中(使用库函数gethostbyname)是否存在记录,如有则使用hosts文件或系统缓存中中的解析记录c:hosts文件中和系统缓存没有对应DNS解析及,则向DNS服务器发送一条DNS查询请求,如DNS缓存中有记录则返回缓存中的记录,如无缓存,则DNS服务器通过递归查找找到最新的解析记录浏览器向服务器发送一个
2020-05-21 13:17:39
136
原创 HTTP请求与响应
以下参考https://www.w3.org/Protocols/rfc2616/rfc2616-sec5.htmlHTTP RequestHTTP请求包含以下格式:Request-Line 请求行从客户端到服务器的请求消息在消息的第一行中包括要应用到资源的方法、资源的标识符和正在使用的协议版本。Request-Line以方法标记开头,后跟Request-URI和协议版本,以CRLF结尾。元素由空格SP字符分隔。Request-Line = Method SP Request-URI SP H
2020-05-21 13:16:27
129
原创 HTTP返回码含义
以下解释参考https://en.wikipedia.org/wiki/List_of_HTTP_status_codesHTTP状态返回码含义200 : 200 OK 成功的HTTP请求的标准响应。实际的响应将取决于所使用的请求方法。在GET请求中,响应将包含与请求资源对应的实体。在POST请求中,响应将包含描述或包含操作结果的实体201: 201 Created 他的请求已经实现,创建了一个新的资源301: Moved Permanently 这个请求和所有将来的请求都应该指向给定的
2020-05-21 13:15:57
464
原创 FIREFOX下导入Jmeter证书
FIREFOX下导入证书解决的问题:在使用jemter录制时出现网站不受信任而打不开的情况,导入证书后,可以正常录制导入证书的步骤打开火狐浏览器-设置点击选中弹框中的高级-查看证书-导入打开文件选择框后,选中jmeter-bin目录下的证书勾选信任,确定导入...
2020-05-21 13:15:19
388
1
原创 CPU及进程
CPU及进程什么是进程进程是处理中执行的实例,内核调动各种资源来满足进程的需求所有运行在linux下的进程都由task_struct这个结构体来管理,task_struct也被称为进程描述符,进程描述符中描述了进程运行所需要的信息,包括进程的id,进程的属性以及构建进程的资源每个进程都有自己的生命周期,如创建,执行,终止和删除进程一般的生命周期如下图所示一个进程(父进程)创建一个新进程(子进程),父进程使用名为fork()的调用,当fork被调用时,它会为子进程获得一个进程描述符,并且设置
2020-05-21 13:14:44
1265
原创 AJAX学习
AJAXAJAX = 异步 javaScript和XML通过在后台与服务器进行少量数据交换,AJAX 可以使网页实现异步更新。这意味着可以在不重新加载整个网页的情况下,对网页的某部分进行更新AJAX实例<html><head><!--实现脚本的代码 --><script type="text/javascript">function loadXMLDoc(){ document.write("Hello World!")}<
2020-05-21 13:13:43
118
1
原创 雅虎23条
雅虎23条参考https://developer.yahoo.com/performance/rules.html#num_httpMinimize HTTP Requests 减少HTTP请求最终用户响应时间的80%用于前端。大部分时间都在下载页面中的所有组件:图像,样式表,脚本,Flash等。减少组件数量反过来减少了呈现页面所需的HTTP请求数量减少HTTP请求的方法组合文件: 将所有脚本组合到单个脚本中来减少HTTP请求数量的方法,并且类似地将所有CSS组合到单个样式表中C
2020-05-21 13:12:35
125
原创 性能测试概念
性能测试概念性能测试分类1. 负载测试通过不断加压,直到性能指标达到预期或者某个资源饱和需要在给定的测试环境选,还要结合业务场景测试一般用于了解系统的性能容量2. 压力测试系统在资源饱和详情下,检查系统的处理能力一般用于测试系统的稳定性3. 并发测试模拟用户并发访问(同时对系统加压)时,是否存在死锁或性能问题4. 配置测试通过调整软件/硬件环境配置,找到系统各项资源的最优分配5. 可靠性测试系统在一定压力下,持续运行一段时间,查看系统是否稳定并发用户
2020-05-21 13:09:33
123
原创 使用wrk压测,找到最大qps
使用wrk进行压测运行simple_server,进入服务器wrk目录下使用命令进行第一次压测```./wrk -c 10 -t 8 -d 60 http://localhost:3456/ping``qps为5618.33.增加并发数到20,使用命令./wrk -c 20 -t 8 -d 60 http://localhost:3456/pingqps为5774.344.增加并发数到30,使用命令./wrk -c 30 -t 8 -d 60 http://localhost:34
2020-05-21 13:06:27
1936
原创 安装wrk过程记录
安装wrkwrk是一款开源的性能测试工具,它的一个很好的特性就是能用很少的线程压出很大的并发量, 原因是它使用了一些操作系统特定的高性能 I/O 机制, 比如 select, epoll, kqueue 等安装wrk安装make工具sudo apt-get install make安装 gcc编译环境sudo apt-get install build-essential安装完成后,从Git上下载wrk源码git clone https://github.com/wg/wrk.g
2020-05-21 13:05:18
134
原创 安装AZ SZ工具和siege实战练习记录
siege实战练习1、使用siege对多个页面进行加压步骤1:在本地添加一个txt文件,文件命名:urls.txt,并放在SecureCRT设置的文件目录下步骤2:在服务器上创建一个文件夹用来存放文件,命令:mkdir seigetext,创建文件夹后使用命令cd seigetext 进入文件夹目录下步骤3:上传urls.txt文件,命令 rz,弹出文件选择框,选择文件后点击上传步骤4:执行 seige命令 siege -c 5 -t 1M -f urls.txt --log=re
2020-05-21 13:00:30
404
原创 文件上传漏洞及解决方法
以下内容来自白帽子讲web安全文件上传漏洞指用户上传了一个可执行的脚本文件,并通过此脚本文件获得了执行服务器端命令的能力文件上传后常见的安全问题1.上传的文件是web脚本语言,服务器的web容器解释并执行了用户上传的脚本 导致代码执行2.上传文件是flash的策略文件 crossdomain.xml,黑客用以控制Flash在该域下的行为3.上传文件是病毒,病毒文件,黑客用以诱骗用户或者管理员下载执行4.上传文件是钓鱼图片或为包含了脚本的图片,在某些版本的浏览器中会被作为脚本执行,被用于钓鱼和欺诈
2020-05-17 17:24:43
2394
原创 服务器端应用安全-SQL注入攻击
注入攻击是Web安全领域中最常见的攻击方式,注入攻击的本质是将用户输入的数据当做代码执行,这里有2个关键的条件,第一个是用户能够控制输入,第二个是原本要执行的代码,拼接了用户输入的数据1.SQL注入var Shipcity;Shipcity = Request.from("ShipCity");var sql = "select * from OrdersTable where ShipCity = '"+ ShipCiry + " '"正常情况下,假如用户输Beijing,那么SQL语句会执
2020-05-12 21:02:34
209
支付宝的性能测试
2015-08-07
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人