网站安全
关注
分享
扫一扫
宁无竹
这个作者很懒,什么都没留下…
展开
-
我们来做一个不可破解的验证码
我们先来分析一下市面上的验证码1、明显漏洞验证码有明显漏洞的验证码 一般是根本就不明白验证码是用来干什么的程序员设计出来,可能是产品设计上有个验证码,好,那我实现一个,或者是外包公司实现功能即可,根本不管客户死活下面是一个案例给用户一个数学运算,然后求结果, 结果这个数学运算,用字符的形式输出到页面上,而不是保存成一张图片,这种验证码,形同虚设2、数字,字母,中文验...原创 2019-12-05 12:00:28 · 781 阅读 · 0 评论 -
如何设计一个健壮而且厉害防爬策略
0.首先你得有一个能扛住爬虫的可以计算黑白名单的数据库,当然我们选择redis,单台 qps 达到20000+,杠杠的,然后你得在不影响业务的情况下来验证爬虫,我们可以通过异步读取nginx的access.log进行校验,前台只需要在关键的功能点判断一下ip是否在黑名单即可1. 同一个ip在某个功能点一秒两次请求算爬虫,将ip加入黑名单,防住大部分的爬虫2 .截取一段请求列表,如果某一个u...原创 2018-01-08 21:50:41 · 472 阅读 · 0 评论 -
linux中了minerd之后完全清理过程
一不小心装了一个redis服务,开了一个全网的默认端口,一开始以为这台服务器没有公网ip,结果发现之后悔之莫及啊某天发现cpu load高的出奇,发现一个minerd进程 占了大量cpu,google了一下,发现自己中招了第一步1.立即停止redis服务,修改端口权限,增加密码措施2.按照网上的资料 删除 crontab 里的两个内容sudo rm原创 2016-08-08 15:58:32 · 3346 阅读 · 0 评论 -
记一次带宽跑满服务器卡死事故处理
1.突然网站打不开2.检查带宽情况,发现带宽跑满,考虑是cdn大量回源的问题3.ssh 艰难登上服务器,重启nginx4.网站恢复,检查log,发现大量 同段的ip请求网站的一些冷门文件,这些文件都没有被cdn缓存{"remote_addr":"140.205.253.185","host":"file.reco.cn","time":"09/Sep/2015:16:06:05 +原创 2015-09-09 16:14:32 · 1802 阅读 · 0 评论 -
为什么不要在android或者ios上直连mysql或者sqlserver之类的数据库(跳大神)
许多同学 都有直连这些数据库的想法,如果我说了以下二个问题之后你还想直连,那我也没办法数据库是一个服务端最重要的部分,也是最脆弱的部分,更是最敏感的部分如果直连会造成如下问题1.安全问题,你的连接数据库的账号密码 暴露给了客户端,这样很容易被抓到,无论是android的反编译,还是抓包,都很容易得到这个信息,而且如果需要直连,数据库势必要监听0.0.0.0,,这原创 2014-07-20 13:23:03 · 3762 阅读 · 3 评论 -
总是有人想在android上直连mysql,是猴子请来的逗比吗?
总是有人想在android上直连mysql,都是是猴子请来的逗比吗?原创 2014-07-02 10:55:09 · 1525 阅读 · 2 评论 -
观察accesslog,提醒一下大家可能会犯错的漏洞
不需要多说什么,多注意吧原创 2014-04-08 15:44:14 · 1235 阅读 · 0 评论 -
mysql注入#号注释的问题,我忍不住要提醒一下
最近无意中看了几篇教程关于mysql注入的,写到字符型注入漏洞,需要添加#号来注释掉后边可能出错的语句,难道你们不知道在地址栏里写#号是不起作用的,得写成%23才成?负责人点成不成,测试一下ok?不要带坏别人?原创 2014-03-31 13:51:14 · 2239 阅读 · 1 评论 -
最近盯着accesslog看,发现许多奇怪的东东
1.spider,各式各样的spider,就像海里的游鱼有大的,有小的2.各类探测http代理的spider,比如这种日志60.173.14.85 - - [03/Sep/2013:09:59:25 +0800] "GET http://www.qq.com/ HTTP/1.1" 200 612 "-" "Mozilla/4.0 (compatible; MSIE 4.01;原创 2013-09-03 11:50:42 · 1256 阅读 · 0 评论 -
研究了下apache的漏洞CVE-2012-0053
发一个大cookie过去,最新版本的,竟然显示了个\n嘛意思 干嘛不直接删掉Your browser sent a request that this server could not understand.Size of a request header field exceeds server limit.Cookie/n原创 2013-08-23 15:38:31 · 2130 阅读 · 0 评论 -
同步到第三方网站的设计架构
经常要做到分享到其他网站的情况,新浪,renren,qq空间,豆瓣等等如果不好好设计,就会变得越来越乱这里简述一下我的设计过程,以及如何解决由于最先只涉及到新浪微博,所以上来下载新浪的sdk,绑定的时候,取sina的登陆url然后设置个回调地址,将token存到数据库分享的时候,从数据库中去得token,然后调sdk的update将内容分享到新浪微博,ok,原创 2013-08-05 12:06:33 · 1731 阅读 · 0 评论 -
探讨一下关于在线播放阻止用户下载你的MP3的问题
我们知道,你是没办法杜绝用户下载你的MP3的(你可以完全杜绝?求大神指点)只要你的MP3可以在用户那里播放,那么播放的数据,自然会缓存到用户那我们如何阻止普通的小白用户下载的呢?正常的下载方法,只要搞个http包监听,基本chrome firebug都自带,很容易就得到这个下载链接如何让这个下载链接不能被再次下载?1.用动态脚本返回你的mp3流,原创 2013-07-11 16:05:52 · 1421 阅读 · 0 评论 -
401钓鱼,最近很火
通过一个需要401验证的图片,浏览器会自动弹出验证窗口,达到钓鱼的目的(图片我复制来的)大家小心了,原创 2013-01-25 14:58:33 · 1576 阅读 · 0 评论 -
不想被跨站,但是又想用富文本的一个过滤函数,求绕过
/** * 过滤html代码中可能存在的js * */ public static function no_xss($html_string) { //第一步过滤script标签 $reg1 = "/]*>/i"; //忽略大小写 while(preg_match($reg1,$html_string)) {原创 2012-11-09 17:09:26 · 1066 阅读 · 0 评论 -
php网站入侵又添加新途径
那就是最近很多网站,框架爆出的 preg_replace正则的e参数,代码:preg_replace("/(.+)/e","\\1","phpinfo();");如果加了e参数的话,第二个参数得到的匹配结果将会被当作php代码执行!!!!!而且,第一个参数的正则是可以用\0截断的,也就是说,如果第一个参数引入一个外部变量的话,我们还可以自己把正则加个e参数原创 2012-06-05 10:32:25 · 1429 阅读 · 0 评论