11 2017 档案
摘要:首先我们先目睹下微信报警的效果 接下来我们正式开始操作。 一:注册企业微信。 打开企业微信注册:http://work.weixin.qq.com 根据以上提示填入相应的内容,然后注册即可。 二:登录企业微信。 使用刚注册时的微信扫描登录企业微信。 三:企业认证 登录到企业微信后,可上传企业的工商营
阅读全文
摘要:最近做了个静态网站,用的是web服务器是tomcat,当服务器配置好,能用ip地址访问以后,接下来就是使用域名访问的配置了。 我们公司使用的阿里云的ECS,域名配置个二级域名,解析到刚配置好的这台服务器的ip即可。 接下来重点讲下如何配置Tomcat,来使用域名访问站点。 1.修改端口号 首先,访问
阅读全文
摘要:现在的中小型企业服务器大多是云比较多,因此,可能会面临着服务器ping不通,或者是端口telnet不通的情况,但是服务器上的服务仍然是正常的情况,这个时候我们就要考虑是不是云上配置了访问规则了。废话不多说,下面我们以阿里云为例来说明: 阿里云在购买主机的时候会有加入安全组的选项,因此对于访问规则,访
阅读全文
摘要:连接到 远程桌面会话主机(RD 会话主机) 服务器的每个用户或计算设备必须拥有远程桌面授权服务器颁发的有效远程桌面服务客户端访问许可证 (RDS CAL)。 为了确保 RD 会话主机 服务器可以与远程桌面授权服务器联系,以便为客户端请求 RDS CAL,需要在 RD 会话主机 服务器上执行下列操作:
阅读全文
摘要:(一) Windows server 2012服务器远程桌面登录时出现错误提示:“由于没有远程桌面授权服务器可以提供许可证,远程会话被中断。请跟服务器管理员联系。”此时可以使用“mstsc /admin /v:目标ip”来强制登录服务器,但只能是管理员身份。 按照网上说的某种方法,删除注册表以下项:
阅读全文
摘要:公司架构:公司架构有5套,主机都是阿里云的ecs,基本上都是SLB做前端负载均衡,后端Tomcat,后接RDS数据库。 业务需求:需要将公司现有网站指向一个二级域名,建立一个新的静态网站,将域名指向现在公司的主网站域名。。 部署思路:对于这个需求可以建立一个新的二级域名project,将公司现有的网
阅读全文
摘要:一.swap交换分区 Swap分区在系统的物理内存不够用的时候,把硬盘空间中的一部分空间释放出来,以供当前运行的程序使用。那些被释放的空间可能来自一些很长时间没有什么操作的程序,这些被释放的空间被临时保存到Swap分区中,等到那些程序要运行时,再从Swap分区中恢复保存的数据到内存中。 用于当物理内
阅读全文
摘要:2. OpenVPN介绍说明2.1 openvpn的加密通信原理过程 OpneVPN使用TLS加密是通过使用公开密钥(非对称密钥,加密解密使用不同的key,一个称为Public key,另一个是Private key)对数据进行加密的,对于TLS传输的工作原理,这里暂且先不介绍。对于OpenVPN使
阅读全文
摘要:“couldn't connect to host” 这样的错误可能是主机不可到达,或者端口不可到达。 ping OK只代表主机可以到达。 端口不可到达可能是由于HTTP 服务器未启动或者监听在其他端口入8080上了。 还有一个可能是防火墙没开放80端口的访问权限
阅读全文
摘要:iptables简介 iptables是基于内核的防火墙,功能非常强大,iptables内置了filter,nat和mangle三张表。 filter负责过滤数据包,包括的规则链有,input,output和forward; nat则涉及到网络地址转换,包括的规则链有,prerouting,post
阅读全文
摘要:世界第一黑客凯文•米特尼克在《欺骗的艺术》中曾提到,人为因素才是安全的软肋。很多公司在信息安全上投入重金,最终导致数据泄露的原因却在人本身。你可能想象不到,对黑客来说,通过网络远程渗透破解获得数据,可能是最为麻烦的方法。一种无需电脑网络,更注重研究人性弱点的黑客手法正在兴起,这就是社会工程学攻击。
阅读全文
摘要:近期,公司购买的阿里企业邮箱,由于域名被别人实名认证了,在续费的时候出现了一些小麻烦,于是想到真的续费不了就自建个邮件服务器,咨询了朋友后,特意总结一下两种方案的优缺点。供各位参考。 至于如何选择自建邮件服务器还是第三方提供的邮件服务还要看公司具体使用人数,以及功能的需求,如果是1000用户以下外包
阅读全文
摘要:Nginx 本文主要针对公司的Nginx负载均衡配置进行解释,配置文件在最下方。因为公司没有使用PHP,所以NGINX里面并没有太多facgi模块相关优化 NGINX.CONF user worker_processes 1 句法: worker_processes number | auto; 2
阅读全文
摘要:背景信息:以下情况是在CentOS 6.9的系统中查看的,其它Linux发行版类似 1.入侵者可能会删除机器的日志信息,可以查看日志信息是否还存在或者是否被清空,相关命令示例: [root@hlmcen69n3 ~]# ll -h /var/log/* -rw . 1 root root 2.6K
阅读全文
摘要:https://zhangge.net/ 张戈博客 http://www.devopsedu.com/ develop学院 http://blog.oldboyedu.com/ 老男孩 http://oldboy.blog.51cto.com/2561410/1862041 老男孩51CTO博客博文
阅读全文
摘要:Form(表单)对于每个WEB开发人员来说,应该是再熟悉不过的东西了,可它却是页面与WEB服务器交互过程中最重要的信息来源。 虽然Asp.net WebForms框架为了帮助我们简化开发工作,做了很完美的封装,让我们只需要简单地使用服务端控件就可以直接操作那些 HTML表单元素了。但我认为了解一些基
阅读全文
摘要:1.前后台参数类型不一致 上图错误提示就是客户端发送的请求不能找到你的具体的页面或者地址,这是Spring MVC抛出的错误,这样我们就要进行参数的检查,一定是JSP提交的参数和Controller里面的参数不一致(有很多种情况,比如我的问题), 我的JSP代码: 在这里我的这个字段是叫做 "id"
阅读全文
摘要:常用http状态码: 200 - OK,服务器成功返回网页 - Standard response for successful HTTP requests. 301 - Moved Permanently(永久跳转),请求的网页已永久跳转到新位置。 - This and all future re
阅读全文
摘要:1:环境变量 2.内存参数设置 3 .目录权限设置 改变文件目录权限的方法:执行下面命令,设置所有的tomcat安装下的文件和目录,可以保证执行,但是不是很安全。 1. 设置tomcat上级目录/opt所有用户都有读写执行权限: chmod 777 [tomcat的上级目录] 2. 设置tomcat
阅读全文
摘要:1.jdk版本与Tomcat版本不一样。 2.数据库服务器配置不足 3.程序内部错误 4.jdk和Tomcat的版本位数,端口占用 5.部署WAR文件过大Tomcat7报HTTP Status 500异常 在%安装目录%\webapps\manager\WEB-INF文件夹下用打开web.xml配置
阅读全文
摘要:我们讲到servlet可以理解服务器端处理数据的java小程序,那么谁来负责管理servlet呢?这时候我们就要用到web容器。它帮助我们管理着servlet等,使我们只需要将重心专注于业务逻辑。 什么是web容器? servlet没有main方法,那我们如何启动一个servlet,如何结束一个se
阅读全文
摘要:JDK和JRE是Java开发和运行工具,其中JDK包含了JRE,但是JRE是可以独立安装的,它们在Java开发和运行的时候起到不同的作用~ 1.JDK JDK是Java Development Kit的缩写,是Java的开发工具包,主要包含了各种类库和工具,当然也包含了另外一个JRE.。那么为什么要
阅读全文
摘要:Apache Struts2 作为世界上最流行的 Java Web 服务器框架之一,3 月 7 日带来了本年度第一个高危漏洞——CVE编号 CVE-2017-5638 。其原因是由于 Apache Struts2 的 Jakarta Multipart parser 插件存在远程代码执行漏洞,攻击者
阅读全文
摘要:给Nginx服务降权,用lol用户跑Nginx,给开发及运维设置普通账号,只要和lol同组即可管理Nginx,该方案解决了Nginx管理问题,防止root分配权限过大。 开发人员使用普通账户即可管理Nginx及站点以下程序问题。采取项目负责制制度,谁负责项目维护出了问题谁负责。 1. 更改nginx
阅读全文
摘要:对于任何降权的操作都是为了更好的保护自己的服务器免受危害,所以我们使用Tomcat也不了外,也需要进行降权操作。因为当 Tomcat以系统管理员身份或作为系统服务运行时,Java运行时取得了系统用户或系统管理员所具有的全部权限。这样一来,Java运行时就取得了所有文件夹中所有文件的全部权限。 如果黑
阅读全文
摘要:“SQL注入”是一种利用未过滤/未审核用户输入的攻击方法(“缓存溢出”和这个不同),意思就是让应用运行本不应该运行的SQL代码。如果应用毫无防备地创建了SQL字符串并且运行了它们,就会造成一些出人意料的结果。本篇译文由zer0Black翻译自《SQL Injection Attacks by Exa
阅读全文
摘要:XSS的分类 非持久型 非持久型XSS也称反射型XSS。具体原理就是当用户提交一段代码的时候,服务端会马上返回页面的执行结果。那么当攻击者让被攻击者提交一个伪装好的带有恶意代码的链接时,服务端也会立刻处理这段恶意代码,并返回执行结果。如果服务端对这段恶意代码不加过滤的话,恶意代码就会在页面上被执行,
阅读全文
摘要:目前主流过滤XSS的三种技术 过滤 过滤,顾名思义,就是将提交上来的数据中的敏感词汇直接过滤掉。例如对"<script>"、"<a>"、"<img>"等标签进行过滤,有的是直接删除这类标签中的内容,有的是过滤掉之类标签中的on事件或是'javascript'等字符串,让他们达不到预期的DOM效果。
阅读全文
摘要:以Java的视角来聊聊SQL注入 原创 2017-08-08 javatiku Java面试那些事儿 在大二就接触过sql注入,之前一直在学习windows逆向技术,认为web安全以后不是自己的从业方向,所以当时也就没有深入研究。工作多年来,本人也一直从事安全开发相关工作,随着Java的市场份额越来
阅读全文
摘要:一、location用法总结 location可以把不同方式的请求,定位到不同的处理方式上. 1.location的用法 location 的匹配顺序是“先匹配正则,再匹配普通”。 矫正: location 的匹配顺序其实是“先匹配普通,再匹配正则”。我这么说,大家一定会反驳我,因为按“先匹配普通,
阅读全文
