随笔分类 - 039_安全
摘要:一、请求如下域名可以直接dump应用的堆栈内存,假如服务的监听端口为8080 curl https://127.0.0.1:8080/actuator/heapdump 二、请求如下域名可以直接看出服务本身是否正常,会把服务本身使用的中间的状态全部列出来,比如MySQL/redis等等,比如链接re
阅读全文
摘要:一、华为云 (1) 账户被尝试破解,攻击源IP被拦截 若30秒内,账户暴力破解次数达到5次及以上,或者3600秒内,账户暴力破解次数达到15次及以上,HSS就会拦截该源IP,禁止其再次登录,防止主机因账户破解被入侵,请及时确认该源IP是否为可信IP。 约束与限制 Linux操作系统 使用鲲鹏计算Eu
阅读全文
摘要:背景 之前工作的经历,前面技术团队的APP使用了SSL-PINNING,服务器SSL证书到期前,测试环境更换证书,在更换配置OK后,发现APP停止服务了。所有的请求全部都失败。 后来查到是APP使用了SSL-PINNING。 也就是SSL-PINNING证书到期后会导致APP拒绝服务。 改进 1.
阅读全文
摘要:一、 (1) 线上收到一个crlf 注入的漏洞. 同时启用80和443才会暴露,配置如下: (2) rewrite / https://$host$uri permanent; 改成 rewrite / https://$host$request_uri permanent; 就可以解决。
阅读全文
摘要:一、进坑过程如下 拿wget举例: 这种warning单独处理下吧.已经提示很明显了 二、总结 三、遗留问题处理 (1)diagnosis (2)multi-version question
阅读全文
摘要:一、 以下命令可以获取nginx域名的证书 二、
阅读全文
