- 博客(20)
- 收藏
- 关注
RSS订阅原创 【记录/Nginx】Server磁盘空间不足引发的BUG
由于上面第一次更新的数据size过大,所以每次更新都会试图写入到临时文件中,但是因为磁盘空间不足,所以发生error。测试时用的数据size小于缓冲区size,故而没有触发error。如果request body的size大于设定的缓冲区size(client_body_buffer_size),就会将其写入到临时文件中。4. 拓展:接下来还需要根据系统实际情况,重新设定一下Nginx的client_body_buffer_size比较好。但是很奇怪,换一条数据测试发现并没有打印类似的err log。
2023-04-20 13:17:46
525
原创 【docker login报错】x509: cannot validate certificate for IP地址 because it does not contain any IP SANs
原因如果服务器名称是 IP 地址,还会检查证书的Subject Alternative Name(SAN),因此需要创建一个包含此名称的证书。否则,docker login 时会报如下错误:Error response from daemon: Get https://x.x.x.x/v2/: x509: cannot validate certificate for x.x.x.x because it doesn't contain any IP SANs解决方法在证书中生成x509
2022-05-10 09:23:18
7968
原创 【笔记】NTFS权限
概述设置NTFS权限,实现不同用户访问不同的权限文件系统文件系统即在外部存储设备上组织文件的方法(磁盘格式化时可手动选择文件系统类型)常见的文件系统:FAT #windows NTFS #windows EXT(1,2,3)#Linux常见NTFS文件系统特点1. 提高磁盘读写性能2. 可靠性加密文件系统 访问控制列表Acess Control List(设置权限)3. 磁盘利用率支持压缩 支持磁盘配额(对不同的用户限制磁盘使用空间)4. 支持单个文件大于4
2021-08-06 16:34:18
209
原创 【笔记】服务器远程管理(Windows)
通过远程桌面连接(RDP:远程桌面协议)端口号:3389实现步骤:配置网络,实现客户机与服务器可以互通(ping通) 服务开启允许远程连接:桌面右键属性→远程设置→选中允许 客户机上:开始→运行→输入mstsc 打开远程连接工具 在mstsc工具上输入服务器的ip并点击确定 输入服务器的账号及密码注)如果是非管理员账户登录,需要在服务器上赋予用户远程桌面连接的权限(加入到远程桌面内置组Remote Desktop Users中即可)通过Telnet连接端口号:23注)因为t
2021-08-05 14:33:57
141
原创 【笔记】用户管理(Windows)
每个用户都有自己唯一的SID(安全标识符)windows的系统管理员administrator的UID是500,普通用户的UID从1000开始内置账户给人使用的账户:administrator #管理员账户(无法删除) guest #来宾账户(无法删除)计算机服务组件相关的系统账号:system #系统账户 == 权限至高无上 local services #本地服务账户 == 权限等于普通账户 network services #网络服务账户 == 权限等于普通用户配置文件
2021-08-05 13:57:59
934
原创 【笔记】批处理编写
批处理文件格式:.bat@echo off : 放在第一行,用于屏蔽执行过程pause:用于暂停批处理的执行器并给出提示信息,然后由用户决定是继续执行还是终端执行。goto:跳转到指定标签执行,例(一个定时关机小程序)@echo off:starttitle Timed shutdown applet v1.0clsecho ================================echo 1. Timed shutdownecho 2. Cancel timed sh
2021-08-05 12:31:22
88
原创 【笔记】IP地址详解
局域网:一般称为内网但局域网的构成:交换机,网线,PC交换机:用来组件内网的局域网的设备IP地址:一段32位的二进制的网络编码,转化为10进制,就是IP地址。IP地址格式:X.X.X.X X的范围:0-255(整数)IP地址构成:网络位+主机位(网络位相同的IP地址为同一网段)注)在一个局域网里面,所有IP必须在同一网段中才能互相通信子网掩码: 用来确定IP地址的网络位子网掩码如何确认网络位:与255对应的数字是网络位,与0对应的数字是主机位三种子网掩码:25..
2021-08-04 16:49:15
383
原创 OWASP TOP10(2017)之【XML 外部实体(XXE)】
XML以及XXE漏洞介绍XML是指可扩展标记语言,用来传输和存储数据。XML文档结构包括XML声明,DTD文档类型定义(可选),文档元素。XML的焦点是数据的内容,它把数据从HTML分离,是独立于软件和硬件的信息传输工具。HTML旨在显示信息,XML旨在传输和存储信息。XXE漏洞全称XML External Entity Injection,即XML外部实体注入漏洞。XXE漏洞发生在应用程序解析XML时,没有禁止外部实体的加载,导致客家在恶意外部文件,造成文件读取,命令执行,内网端口扫描,攻击内网网
2021-07-20 17:39:03
327
2
原创 OWASP TOP10(2017)之【不安全的反序列化】
Java的序列化与反序列化反序列化概念:序列化是将java对象转化为字节序列的过程,以便将数据保存在内存,文件或数据库中;反之,反序列化就是将字节序列转化为java对象的过程。序列化条件:只有实现Serializable和Externalizable接口的类的对象才能被序列化。反序列化场景:反序列化操作一般发生在模板文件,网络通信,数据传输,日志格式化或db存储等业务场景中。在代码审计时可关注一下反序列操作函数并判断操作是否可控。例如:ObjectInputStream.readObjectObj
2021-07-20 08:17:02
196
原创 Security Shepherd实战笔记(答案)
记录一下容易错的题目。部分答案可以参考:https://sythonic.github.io/2016/OWASP-Security-Shepherd/https://woj.app/2354.htmlhttps://susiecybersecurity.wordpress.com/category/09_owasp-security-shepherd/Cross Site Scripting Challenge One<img οnerrοr=alert(`lalala`);>
2021-07-14 18:15:32
3704
2
原创 OWASP TOP10(2017)之【安全配置错误】
官方解释OWASP Top 10 2017安全配置错误可以发生在一个应用程序堆栈的任何层面,包括网络服务、平台、Web服务器、应用服务器、数据库、框架、自定义代码和预安装的虚拟机、容器和存储。自动扫描器可用于检测错误的安全配置、默认帐户的使用或配置、不必要的服务、遗留选项等。应用程序可能受到攻击的几种情况:应用程序栈堆的任何部分都缺少适当的安全加固,或者云服务的权限配置错误。应用程序启用或安装了不必要的功能(例如:不必要的端口、服务、网页、帐户或权限)。默认帐户的密码仍然可用且没有更改。错误
2021-07-08 15:33:29
455
原创 OWASP TOP10(2017)之【失效的身份认证】
官方解释OWASP Top 10 2017如果应用程序存在如下问题,那么可能存在身份验证的脆弱性:允许凭证填充,这使得攻击者获得有效用户名和密码的列表。允许暴力破解或其他自动攻击。允许默认的、弱的或众所周知的密码,例如“Password1”或“admin/admin”。使用弱的或失效的验证凭证,忘记密码程序,例如“基于知识的答案”,这是不安全的。使用明文、加密或弱散列密码(参见:A3:2017-敏感数据泄露)。缺少或失效的多因素身份验证。暴露URL中的会话ID(例如URL重写)。在成功
2021-07-07 14:51:52
928
原创 【笔记】Web安全:XSS跨站脚本
XSS:Cross Site Script恶意攻击者利用web页面的漏洞,插入一些恶意代码,当用户访问页面的时候,代码就会执行,这个时候就达到了攻击的目的。这些e'yi'dai
2021-06-14 14:33:22
1387
7
原创 【笔记】Web安全:SQL注入
SQL注入绕过手段前提:如果程序中设置了关键字过滤,但是并没有对关键字的组成进行分析过滤,即只是整体过滤。例如,如设置了union这个过滤关键字,那么我们可以通过一些方式去实现相关的SQL注入绕过过滤,例如UniOn。1.大小写绕过MYSQL是大小写不敏感的,所以我们可以通过改变关键字的大小写来实现绕过,例如UniOn,AnD,OrdEr等。2.双写绕过如果程序设置了出现关键字之后将其替换为空,我们可以使用双写绕过。例如,uniunionon3.编码绕过使用编码工具对内容(U
2021-06-11 15:33:29
168
3
原创 Linux环境创建Docker本地仓库
安装httpd(没有的话)yum -y install httpdhtpasswdコマンドを見つけていないなら、$PATHにusr/binを追加
2021-06-07 16:41:52
378
原创 Docker本地仓库tls漏洞:TLS版本过低
s'dsd问题描述:TLSv1.0/1.1 is enabled and the server supports at least one cipher.解决方案1(失败):按照docker官方文档的描述,可以通过在docker本地仓库的配置文件config.xml中设定允许使用的tls最低版本。官方文档参考链接:Configuring a registry | Docker Documentation在本地做成一个config.xml文件,挂载到docker容器中。例:vim /etc
2021-06-07 16:00:41
1316
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人