将数据泄露风险降至最低的简单五步框架
数据依然成为企业运行的血液,其每次互动时从客户那里收集信息,并以此提高效率、提高敏捷性并提供更高水平的服务。数据收集越多、越重要,大数据环境下,数据自然成为黑客眼馋的目标。
随着时间一天天过去,证据越来越多显示数据越来越重要,对数据的攻击越来越频繁。根据国外有关报道,在过去几个月中,我们看到了 ...
如何使用NetworKit对大型网络进行安全分析
关于NetworKit
NetworKit是一款针对高性能网络安全分析的开源工具,该工具旨在帮助广大安全研究人员分析具备数千到数十亿条边界的大型网络。为了实现这个目标,该工具实现了非常高效的图形算法,其中许多算法是并行的,以利用多核架构来计算网络分析的标准度量。NetworKit专注于功能方面的可扩展性和全面性,而Netwo ...
快速漂亮的找出Linux下的大文件
磁盘空间不足,需要尽快释放出可用空间,优先找出一些没用的大文件,linux没有提供现成的命令,我们可以使用find命令来完成
找出磁盘大于100MB文件
# find / -type f -size +100000k | xargs ls -lh | awk '{ print $9 ": " $5 }'
./ibdata1: 10M
./www_ttlsa_com/ttlsa_postmeta.MYD: 316M
./www_ttlsa_com/ttlsa_posts.MY ...
Linux命令压缩/优化JPG/PNG图片
为什么要优化图片
想象一下,如果TTLSA每篇文章图片都是1M,一篇文章有10个图片,你看一篇文章是一种什么体验。不仅仅体验差,TTLSA的CDN流量也是蹭蹭蹭的往上涨,涨的是流量,掉的是钱。一个图片100k和1MB的现实的效果差不多,为什么不用100K呢
如何优化图片
有如下几种方法
打开大图,QQ截屏然后保存下来
ngx_pagespeed ...
如何使用Domain-Protect保护你的网站抵御子域名接管攻击
关于Domain-Protect
Domain-Protect是一款功能强大的子域名安全保护工具,可以帮助广大研究人员更好地保护自己的网站抵御子域名接管攻击。该工具支持实现以下两个目标:
扫描一个AWS组织中的Amazon Route53,并获取存在安全问题的域名记录,然后尝试执行域名接管检测;
可以通过Domain Protect for GCP检测Go ...
BruteLoops:协议无关的在线密码安全检测API
关于BruteLoops
BruteLoops是一款功能强大且协议无关的在线密码安全检测API,广大研究人员可以使用BruteLoops来实现在线密码猜解,以检查用户所使用的密码是否安全,或识别密码中的安全问题。
BruteLoops针对身份验证接口提供了密码爆破猜解功能,代码库中提供了一个模块化的使用示例,并演示了如何使用BruteLoops ...
forever让nodejs应用后台执行
nodejs一般是当成一条用户命令执行的,当用户断开客户连接,运用也就停了,很烦人。如何让nodejs应用当成服务,在后台执行呢?
最简单的办法:# nohup node app.js &但是,forever能做更多的事情,比如分别记录输出和错误日志,比如可以在js中作为api使用。# npm install forever -g #安装
# forever start app.js #启动
# ...
jps出现– process information unavailable解决方法
使用jps命令查看java进程,经常出现类似"3135 -- process information unavailable",有两种情况,第一种:3135这个PID存在,原因为当前ID为其他用户启动,该用户没有查看权限。第二种:3135这个PID不存在。
jps命令process information unavailable
# jps
631 Jps
3135 -- process information unavailable
24351 Bootstra ...
开发环境下如何进行安全加固呢
由于公司机房和办公环境是在一起的,默认情况下公司出口IP是禁止80/443访问【运营商侧有限制】。目前采用的是阿里云进行中转,即将开发环境的域名解析到阿里云,然后通过Nginx反向代理到公司出口非80端口。开发环境部分接口涉及到第三方回调和校验,所以完全禁止开发环境对外网访问不现实。
目前合理的需求如下:
...
魅族广告业务HTTP接口的灰度方案
前言
广告业务是属于多读少写的模型,写操作由后台运营人员发起,读操作由用户客户端发起。此文是讨论HTTP读接口的灰度方案,总体层次架构如图1所示。
魅族广告HTTP灰度 - 01
该系统有以下几个特点:
(1) RPC调用服务化,实现了High Availability与Load Balance策略;
(2) 网关层具有简单过载保护、参数校验、转发请求等 ...
PortBender:一款功能强大的TCP端口重定向工具
关于PortBender
PortBender是一款功能强大的TCP端口重定向工具,该工具允许红队研究人员或渗透测试人员将一个TCP端口(例如445/TCP)的入站流量重定向到另一个TCP端口(例如8445/TCP)。PortBender项目包含了一个渗透测试脚本,可以帮助研究人员将该工具与Cobalt Strike进行集成。但是,由于该工具是基于一个反射型DLL实 ...
3种有效方法保障服务器数据的安全
目录
3种有效方法保障服务器数据的安全
数据备份的意义就在于,当受到网络攻击、病毒入侵、电源故障或者操作失误等事故的发生后,可以完整、快速、简捷、可靠地恢复原有系统,在一定的范围内保障系统的正常运行。一些对备份数据重视程度较低的企业,一旦服务器数据出现突然丢失或者损坏,往往会悔莫及。在数据备份方面, ...
Linux之ssh连接保持与重用
保持
用终端登录远程开发机coding,应该是大多数程序猿年复一年的工作,但悲剧的是终端会你跟美女测试聊天的一瞬间断开了,所幸的是ssh提供了连接保持 命令ServerAliveInterval,只需要新建文件~/.ssh/config并输入如下命令即可:ServerAliveInterval 60这样ssh会每60秒发送一个KeepAlive请求,保证终端不会因为超时空闲而 ...
删除目录软链接注意事项
软硬链接的区别在这里就不在阐述了。说一下删除目录软链接需要特别注意的地方:
系统环境:Linux Test.com 3.10.0-327.el7.x86_64 #1 SMP Thu Nov 19 22:10:57 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux
实验环境:在root 目录下创建一个测试目录 1 ,并在该目录下创建一个2.txt 的文件,写入内容 1.txt:[root@server ~]# mk ...
kafka的使用—系统保卫战
前言
最近有个需求,在不同的系统中做数据同步。我们是java+mysql、他们是c#+sqlserver。需求是sqlserver提出的,并且他们提出要实时,并且要我们主动推数据给他们。他们接口都提供好了,说要我们对数据库表操作的时候调用他们的接口把数据传他们。咋看没有什么事,不就是一个接口的调用么。仔细想想,这样对我们的系统影响 ...
如何使用lazyCSRF在Burp Suite上生成强大的CSRF PoC
关于lazyCSRF
lazyCSRF是一款功能强大的Burp Suite插件,该工具可以帮助广大研究人员生成功能强大的CSRF(跨站请求伪造) PoC。Burp Suite是一个拦截HTTP代理,是执行Web应用程序安全测试的强大工具。引入lazyCSRF之后,Burp Suite就可以直接生成CSRF PoC了。
在此之前,我比较喜欢使用的是“Generate CSRF PoC”, ...
如何挖掘Apache2中的CVE-2021-41773漏洞以保护Web服务器的安全
关于ScaRCE框架
ScaRCE是一个专门针对漏洞CVE-2021-41773的漏洞挖掘框架,该工具可以帮助广大研究人员在漏洞扫描或渗透测试过程中,识别出公开站点中的CVE-2021-41773漏洞。
CVE-2021-41773漏洞主要影响的是Apahce 2 Web服务器,而ScaRCE通过扫描识别的方法找到目标Web服务器中的漏洞之后,将能够在目标Web服务器( ...
通过受限bash创建只读用户
受限bash
如果 bash 以 rbash 为程序名启动或者命令行参数有 -r 选项,则启动的这个 shell 会在某些功能上受限制.具体表现为如下操作都不能做:
通过 cd 来改变工作目录
设置或取消环境变量: SHELL, PATH, ENV, BASH_ENV
命令名中不能包含目录分隔符 ‘/’
包含有 ‘/’ 的文件名作为内置命令 ‘.’ 的参数
hash 内置 ...
Apache Log4j2漏洞是怎么回事 Apache Log4j2漏洞怎么修复
近日Apache Log4j2出现漏洞导致我的世界杯黑客攻击,不少玩家都受到了不同程度的影响,而这一切的起因都是因为Apache Log4j2漏洞。怎么才能修复Apache Log4j2漏洞呢?来看看吧!
Apache Log4j2漏洞是怎 么回事
Apache Log4j是一个基于Java的日志记录工具,是Apache软件基金会下的一个开源项目。而此次出现漏洞的Ap ...
Log4j史诗级漏洞,我们这些小公司能做些什么?
事件背景
12月10日,看到朋友圈中已经有人在通宵修改、上线系统了。随即,又看到阿里云安全、腾讯安全部门发出的官方报告:”Apache Log4j2存在远程代码执行漏洞“,且漏洞已对外公开。
看到相关消息,马上爬起来把所有项目的日志系统过滤一遍,还好老项目采用的log4j,新项目采用的logback,没有中招。随后就看到 ...