![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
安全
文章平均质量分 88
zl1zl2zl3
这个作者很懒,什么都没留下…
展开
-
糟糕!服务器被植入挖矿木马,CPU 飙升200%。。。
线上服务器用的是某讯云的,欢快的完美运行着Tomcat,MySQL,MongoDB,ActiveMQ等程序。突然一则噩耗从前线传来:网站不能访问了!此项目是我负责,我以150+的手速立即打开了服务器,看到Tomcat挂了,然后顺其自然的重启,启动过程中直接被killed,再试试数据库,同样没成功多次尝试甚至重启机器无果。机智的我打了个top,出现以下内容:这是谁运行的程序?不管三七二十一先杀掉再说,因为它就是Tomcat等程序启动不了的元凶。然而并没有什么卵用,过一会再看那个东西又跑出来转载 2020-09-04 09:12:38 · 383 阅读 · 0 评论 -
假如有人把支付宝所有存储服务器炸了,我们在里边的钱是不是都丢了?
作者:净整些没用的来源:https://www.zhihu.com/question/350997893/answer/875003181把支付宝存储炸了到底会发生什么?那要看你怎么炸,我们看看最低配的金融信息系统是什么样的网上找的图,不是很贴切但是比较容易看懂一般的金融信息至少是两地三中心的系统。两地三中心指的是,在同城做两个数据中心,关系是热备份或者双活双活指的是,你炸了一个,还有一个。两个同时工作,几乎没有影响。热备份指的是,你炸了一个,我可以把服务切到另一个数.转载 2020-09-01 16:57:27 · 461 阅读 · 0 评论 -
触目惊心,超过 8000+ 漏洞 Redis 暴露在云端!
本文授权转载自:FreeBuf.COM参考来源:trendmicro,由Kriston编译研究人员在云端发现约8000个不安全的Redis,这些Redis未使用TLS加密且未设密码保护。Redis设计之初是在受信任环境中使用,如果允许其在互联网或物联网中使用,攻击者会利用不安全的Redis服务器来发起攻击,例如SQL注入,跨站攻击,恶意文件上传、远程代码执行等。什么是Redis?Redis全称为Remote Dictionary Server,是一种开源内存数据存储结构,常用在数据库.转载 2020-07-16 09:01:11 · 188 阅读 · 0 评论 -
原来不只是fastjson,这个你每天都在用的类库也被爆过反序列化漏洞!
在《fastjson到底做错了什么?为什么会被频繁爆出漏洞?》文章中,我从技术角度分析过为什么fastjson会被频繁爆出一些安全漏洞,然后有人在评论区发表"说到底就是fastjson烂…"等言论,一般遇到这种评论我都是不想理的。但是事后想想,这个事情还是要单独说一下,因为这种想法很危险。一旦这位读者有一天当上了领导,那么如果他负责的项目发生了漏洞,他还是站出来说"都怪XXX代码写的烂…",这其实是非常可怕的。工作久了的话,就会慢慢有种感觉:代码都是人写的,是人写的代码就可能存在漏洞,这个是永远转载 2020-07-13 11:30:24 · 297 阅读 · 0 评论 -
fastjson到底做错了什么?为什么会被频繁爆出漏洞?
fastjson大家一定都不陌生,这是阿里巴巴的开源一个JSON解析库,通常被用于将Java Bean和JSON 字符串之间进行转换。前段时间,fastjson被爆出过多次存在漏洞,很多文章报道了这件事儿,并且给出了升级建议。但是作为一个开发者,我更关注的是他为什么会频繁被爆漏洞?于是我带着疑惑,去看了下fastjson的releaseNote以及部分源代码。最终发现,这其实和fastjson中的一个AutoType特性有关。从2019年7月份发布的v1.2.59一直到2020年6月份发布的转载 2020-07-06 13:34:53 · 362 阅读 · 0 评论 -
这 10 行比较字符串相等的代码给我整懵了,不信你也来看看!
先直接上代码:booleansafeEqual(Stringa,Stringb){if(a.length()!=b.length()){returnfalse;}intequal=0;for(inti=0;i<a.length();i++){equal|=a.charAt(i)^b.charAt(i);}returnequal==0;}上面的代码是我根...转载 2020-06-28 10:06:46 · 312 阅读 · 0 评论 -
如何在7分钟内黑掉40家网站?
晚上在Hackernoon上看到这篇网站安全的文章,翻译一下,分享给大家。作者:Georgios Konstantopoulos翻译有删节和修改我的一个朋友告诉我,他的网站上发现了一个XSS漏洞,他想让我深入地看看。我向他申请了正式的许可,这样我可以在这个网站和服务器上做完整的渗透测试。(码农翻身注:这一步非常重要,注意法律风险)为了保护隐私,我用http:...转载 2019-12-25 19:25:19 · 788 阅读 · 0 评论 -
微服务架构如何保证安全性?
网络安全已成为每个企业都面临的关键问题。几乎每天都有关于黑客如何窃取公司数据的头条新闻。为了开发安全的软件并远离头条新闻,企业需要解决各种安全问题,包括硬件的物理安全性、传输和静态数据加密、身份验证、访问授权以及修补软件漏洞的策略,等等。无论你使用的是单体还是微服务架构,大多数问题都是相同的。本文重点介绍微服务架构如何影响应用程序级别的安全性。应用程序开发人员主要负责实现安全性的四个不...转载 2019-06-05 15:43:12 · 3188 阅读 · 0 评论 -
波音737事故,软件化要不要“背锅”?
作者 | 小智、徐川两次惨痛空难后再看波音的软件化之路:它曾满载荣光,如今备受质疑。事件回顾3 月 10 日,埃塞俄比亚航空公司一架波音 737 MAX 8 客机在飞往肯尼亚途中坠毁。机上有 149 名乘客和 8 名机组成员,无人生还。据报道,此次失事的是一架全新的波音飞机,四个月前才交付给该航空公司。这是波音 737 MAX 8 半年内出现的第二起严重事故。(第一起为 2...转载 2019-03-20 10:48:35 · 787 阅读 · 0 评论 -
黑客是如何发现女朋友出轨的,痛心的经历!
作者丨未知http://www.codeceo.com/article/hecker-girlfriend.html作为一个不合格的乌云白帽子,下边只是冰山一角吧。但如果你是异地,那这也许是最好的教材。事情一开始是这样,我和GF异地接近一年了,GF有两个号码,有一个是我给她买的,另一个是自己买的。有一天我突然感觉我俩每天的日常通话时间越来越短,从一开始每天半小时左右下降到了隔两...转载 2019-03-01 10:32:17 · 1319 阅读 · 2 评论 -
黑客为什么不攻击支付宝?
作者 | 史中来源 | 浅黑科技(ID:qianheikeji)“支付宝被黑客搞了!!!”女票发给我一段视频。中哥我虎躯一震,这么大的事儿居委会咋没通知我??赶紧打开视频。我去,这是黑客吗?谁来解释一下,明明是黑客,为神马穿得这么白,连脸都是白的。。。还有,你带着那个面具敲代码,能看清鬼啊?这是在练盲打么??闭着眼睛攻击支付宝,是为了表现一种蔑视和侮辱么???...转载 2019-02-23 15:24:58 · 2586 阅读 · 1 评论 -
10 种保护 Spring Boot 应用的绝佳方法
Spring Boot大大简化了Spring应用程序的开发。它的自动配置和启动依赖大大减少了开始一个应用所需的代码和配置量,如果你已经习惯了Spring和大量XML配置,Spring Boot无疑是一股清新的空气。Spring Boot于2014年首次发布,自那以后发生了很多变化。安全性问题与代码质量和测试非常相似,已经日渐成为开发人员关心的问题,如果你是开发人员并且不关心安全性,那么也许...转载 2018-11-08 08:24:40 · 4579 阅读 · 0 评论 -
WEB攻击手段及防御第1篇-XSS
概念XSS全称为Cross Site Script,即跨站点脚本攻击,XSS攻击是最为普遍且中招率最多的web攻击方式,一般攻击者通过在网页恶意植入攻击脚本来篡改网页,在用户浏览网页时就能执行恶意的操作,像html、css、img都有可能被攻击。像前不久微信貌似就中招,好像是在朋友圈发送一个带有脚本的链接,然后通过点击该链接就会弹出一个提示,虽然没有造成什么影响,但这是XSS...转载 2018-11-08 08:23:16 · 461 阅读 · 0 评论 -
WEB攻击手段及防御第3篇-CSRF
概念CSRF全称即Cross Site Request forgery,跨站点请求伪造,攻击者通过跨站点进行伪造用户的请求进行合法的非法操作,其攻击手法是通过窃取用户cookie或服务器session获取用户身份,在用户不知情的情况下在攻击者服务器模拟伪造用户真实的请求。 防御手段既然是跨站点攻击,所以防御的手段无非是识别请求的来源是否合法。 防御的手段一...转载 2018-11-07 08:56:32 · 245 阅读 · 0 评论 -
Linux系统安全加固设置详细教程
1、如果是新安装系统,一、对磁盘分区应考虑安全性:1)根目录(/)、用户目录(/home)、临时目录(/tmp)和/var目录应分开到不同的磁盘分区;2)以上各目录所在分区的磁盘空间大小应充分考虑,避免因某些原因造成分区空间用完而导致系统崩溃;2、对于/tmp和/var目录所在分区,大多数情况下不需要有suid属性的程序,所以应为这些分区添加nosuid属性;方法一:修改/et...转载 2018-11-01 09:12:44 · 7603 阅读 · 0 评论