2020年2月25日
基金
摘要: 稳定点: 货币基金,纯债基金收益高,混合基金,股票基金 A股: 中国境内发型的股票,看国运.指数: 就是集群大盘:上证指数, 上海前多少家公司,2700点, 你买上证指数, 就等于买前面公司的组合, 这有点类似之前说的美国标准普尔.小盘:中证500,排除上证之后的500家公司的集合.买这种指数, 涨 阅读全文
posted @ 2020-02-25 21:11 神之一招 阅读(126) 评论(0) 推荐(0)
微服务架构图
摘要: 大概的意思, 微服务 上边只是一个简单的架构, 类似数据支撑等, 可能还有很多别的方面, 比如访问文件的 等等. 另外, 现在又有新的了. 服务网格: 下一代微服务标准, service mesh, 代表解决方案 istio 阅读全文
posted @ 2020-02-25 21:04 神之一招 阅读(2299) 评论(0) 推荐(0)
前后端分离部署方式
摘要: 例如 vue , 这种前后端分离的框架如何部署 1. 前后端一起部署, 前端打包成静态文件后, copy 到后端项目中,然后部署后端项目。 如果选择这种方式, 需要把dist文件夹里的内容, 一样的 copy 到 resource/static 文件夹下. 这种静态资源不会被 spring secu 阅读全文
posted @ 2020-02-25 20:18 神之一招 阅读(12757) 评论(0) 推荐(1)
07服务器 web server 配置安全
摘要: Web server 我们关注亮点: Web server 本身安全 Web server 是否提供了可使用的安全功能 Apache 安全 检查 apache 的 module 安装情况,根据最小权限原则,应该尽可能的减少不必要的 Module, 对于使用的 Module, 应检查其对应版本是否存在 阅读全文
posted @ 2020-02-25 16:18 神之一招 阅读(233) 评论(0) 推荐(0)
06服务器 Web框架安全
摘要: 现在 Web 都是框架, 而且更新飞快. MVC 层: 在 View 层可以解决 XSS 问题, XSS 是HTML 页面在服务器渲染时, 注入了恶意的 HTML 代码导致的. CSRF 防御方案: 在 session 中绑定 token, 如果不能保存到服务器端的 session 中,可以替代为保 阅读全文
posted @ 2020-02-25 16:10 神之一招 阅读(212) 评论(0) 推荐(0)
05服务器 访问控制
摘要: 权限的问题,都可以归为 访问控制。 在正常情况下,管理后台的页面应该只有管理员才能够访问,但这些系统未对用户访问权限进行控制,导致任意用户只要构造出了正确的 URL, 就能够访问到这些页面。所以,只是把这些页面“藏起来”是不行的,攻击者惯用伎俩是使用一部包含了很多后台路径的字典,把这些“藏”起来的页 阅读全文
posted @ 2020-02-25 15:36 神之一招 阅读(433) 评论(0) 推荐(0)
04 服务器 认证 & 授权
摘要: 将明文密码经过哈希后(MD5 或者 SHA-1) 再保存到数据库中, 是目前比较普遍的做法. 登录时验证密码的过程仅仅是验证用户提交的"密码"的哈希值,与保存在数据库中“密码”的哈希值是否一致。但是,目前黑客们广泛使用一种破解 MD5 后密码的方法:彩虹表.(即收集尽可能多的明文密码和明文对应的MD 阅读全文
posted @ 2020-02-25 12:01 神之一招 阅读(301) 评论(0) 推荐(0)
03服务器 文件上传漏洞
摘要: 文件上传漏洞,指用户上传了一个可执行脚本, 并通过此脚本获得了服务端命令的能力。 需要满足条件: 上传的文件能够被 Web 容器解释执行,所以文件上传后所在的目录是 Web 容器所覆盖到的路径 用户能够通过Web访问到这个文件, 如果文件上传了,但是用户无法通过Web访问,或者无法使得Web容器解释 阅读全文
posted @ 2020-02-25 11:13 神之一招 阅读(282) 评论(0) 推荐(0)
02服务器安全-注入攻击
摘要: 注入攻击的本质是: 把用户输入的数据当做代码执行. 这有两个条件: 用户能够控制输入 原本程序要执行的代码,拼接了用户输入数据 例如: var sql = "select * from OrdersTable where ShipCity = '"+ShipCity+"'; 如果用户输入了city名 阅读全文
posted @ 2020-02-25 10:58 神之一招 阅读(352) 评论(0) 推荐(0)
01 安全基础
摘要: ARP (Address Resolution Protocal), 当被攻击服务器向网络发送网关IP地址的MAC请求(ARP请求)时, 攻击者会抢先返回伪造的ARP应答,来冒充网关,从而截获所有与服务器的通信内容,ARP攻击有一个限制条件,就是要和被攻击的服务器在同一个物理网段内. 钓鱼攻击: 创 阅读全文
posted @ 2020-02-25 09:51 神之一招 阅读(251) 评论(0) 推荐(0)