后端架构/服务器综合论坛 今日: 0|主题: 1284|排名: 21 

关于PortBender PortBender是一款功能强大的TCP端口重定向工具，该工具允许红队研究人员或渗透测试人员将一个TCP端口(例如445/TCP)的入站流量重定向到另一个TCP端口(例如8445/TCP)。PortBender项目包含了一个渗透测试脚本，可以帮助研究人员将该工具与Cobalt Strike进行集成。但是，由于该工具是基于一个反射型DLL实 ...

目录 3种有效方法保障服务器数据的安全 数据备份的意义就在于，当受到网络攻击、病毒入侵、电源故障或者操作失误等事故的发生后，可以完整、快速、简捷、可靠地恢复原有系统，在一定的范围内保障系统的正常运行。一些对备份数据重视程度较低的企业，一旦服务器数据出现突然丢失或者损坏，往往会悔莫及。在数据备份方面， ...

保持 用终端登录远程开发机coding，应该是大多数程序猿年复一年的工作，但悲剧的是终端会你跟美女测试聊天的一瞬间断开了，所幸的是ssh提供了连接保持 命令ServerAliveInterval，只需要新建文件~/.ssh/config并输入如下命令即可：ServerAliveInterval 60这样ssh会每60秒发送一个KeepAlive请求，保证终端不会因为超时空闲而 ...

软硬链接的区别在这里就不在阐述了。说一下删除目录软链接需要特别注意的地方： 系统环境：Linux Test.com 3.10.0-327.el7.x86_64 #1 SMP Thu Nov 19 22:10:57 UTC 2015 x86_64 x86_64 x86_64 GNU/Linux 实验环境：在root 目录下创建一个测试目录 1 ,并在该目录下创建一个2.txt 的文件，写入内容 1.txt:[root@server ~]# mk ...

前言 最近有个需求，在不同的系统中做数据同步。我们是java+mysql、他们是c#+sqlserver。需求是sqlserver提出的，并且他们提出要实时，并且要我们主动推数据给他们。他们接口都提供好了，说要我们对数据库表操作的时候调用他们的接口把数据传他们。咋看没有什么事，不就是一个接口的调用么。仔细想想，这样对我们的系统影响 ...

关于lazyCSRF lazyCSRF是一款功能强大的Burp Suite插件，该工具可以帮助广大研究人员生成功能强大的CSRF(跨站请求伪造) PoC。Burp Suite是一个拦截HTTP代理，是执行Web应用程序安全测试的强大工具。引入lazyCSRF之后，Burp Suite就可以直接生成CSRF PoC了。 在此之前，我比较喜欢使用的是“Generate CSRF PoC”， ...

关于ScaRCE框架 ScaRCE是一个专门针对漏洞CVE-2021-41773的漏洞挖掘框架，该工具可以帮助广大研究人员在漏洞扫描或渗透测试过程中，识别出公开站点中的CVE-2021-41773漏洞。 CVE-2021-41773漏洞主要影响的是Apahce 2 Web服务器，而ScaRCE通过扫描识别的方法找到目标Web服务器中的漏洞之后，将能够在目标Web服务器( ...

受限bash 如果 bash 以 rbash 为程序名启动或者命令行参数有 -r 选项，则启动的这个 shell 会在某些功能上受限制．具体表现为如下操作都不能做： 通过 cd 来改变工作目录 设置或取消环境变量： SHELL， PATH， ENV， BASH_ENV 命令名中不能包含目录分隔符 ‘/’ 包含有 ‘/’ 的文件名作为内置命令 ‘.’ 的参数 hash 内置 ...

近日Apache Log4j2出现漏洞导致我的世界杯黑客攻击，不少玩家都受到了不同程度的影响，而这一切的起因都是因为Apache Log4j2漏洞。怎么才能修复Apache Log4j2漏洞呢？来看看吧！ Apache Log4j2漏洞是怎 么回事 Apache Log4j是一个基于Java的日志记录工具，是Apache软件基金会下的一个开源项目。而此次出现漏洞的Ap ...

事件背景 12月10日，看到朋友圈中已经有人在通宵修改、上线系统了。随即，又看到阿里云安全、腾讯安全部门发出的官方报告：”Apache Log4j2存在远程代码执行漏洞“，且漏洞已对外公开。 看到相关消息，马上爬起来把所有项目的日志系统过滤一遍，还好老项目采用的log4j，新项目采用的logback，没有中招。随后就看到 ...

不仅可以记录到击键信息，而且包括终端下的输出信息[root@Centos log]# wget http://www.i0day.com/exp/Linux/sh2log-1.0.tgz --2013-01-07 05:16:56-- http://www.i0day.com/exp/Linux/sh2log-1.0.tgz Resolving packetstorm.foofus.com... 64.71.188.242 Connecting to packetstorm.foofus.com|64.71.188.242|:80... conn ...

NMap，也就是Network Mapper，是Linux下的网络扫描和嗅探工具包。 nmap是在网络安全渗透测试中经常会用到的强大的扫描器。功能之强大，不言而喻。下面介绍一下它的几种扫描命令。具体的还是得靠大家自己学习，因为实在太强大了。 1) 获取远程主机的系统类型及开放端口 nmap -sS -P0 -sV -O <target> 这里的 < target > 可以 ...

目录前言1.SSL证书不是来自公认的证书颁发机构(CA)2.数字证书信任链配置错误3.证书的域名匹配程度不完整4.证书已经过了有效期5.客户端不支持SNI协议前言今天在这里主要总结一下使用SSL的过程中遇到的坑(注意事项)。SSL是什么东西？很多人认为SSL证书就是拿回来安装上就可以使用的。后来发现其实不然，我们还需要去了解SSL证 ...

在本周一的电话简报中，网络安全和基础设施安全局(CISA)局长 Jen Easterly 告诉行业领导者，近期曝光的 Apache Log4j 漏洞破坏力即便不是最严重的，但也是她整个职业生涯中遇到的最严重漏洞之一。她表示：“我们预计该漏洞将被复杂的行为者广泛利用，我们只有有限的时间来采取必要的措施，以减少损害的可能性。该问题 ...

根据Security Affairs网站最新消息，Log4j库中的Log4Shell漏洞公开披露前，至少已经被攻击利用了一周之多。黑客组织也早已滥用该漏洞，大肆部署恶意软件。 漏洞存在很多可攻击点 漏洞披露后，NetLab 360研究人员声称，其公司旗下的Anglerfish和Apacket蜜罐已经被试图使用Log4Shell漏洞的网络攻击击中。经过研究 ...

最近网络上爆发大规模的struts2远程代码执行漏洞。 漏洞说明 漏洞危害 漏洞可以远程执行任意Java代码 危险等级 高危 受影响版本 Struts 2.3.20 - Struts 2.3.28 (2.3.20.2 和 2.3.24.2 除外) CVE CVE-2016-3081 漏洞前提 开启动态方法调用， struts.xml配置 <constant name="struts.enable.Dyna ...

讲师介绍邓伟先生，云计算工程师，4年运维经验，维护超200台服务器，每月产生PB级流量，擅长云平台高可用架构设计、大数据内容分发，公司云计算带头人，与AWS、腾讯云、阿里云深度合作。   大家好，我叫邓伟，一直从事运维工作，今天和大家分享一下我的运维经验。记得我接手第一台服务器的时候，连linux基本命令都不会，通 ...

Log4j 零日安全漏洞(也称为 Log4Shell)，是互联网上破坏力最惊人的漏洞之一。每家互联网公司都在争先恐后地修补这个问题，防止黑客利用它。但是，公司需要时间来修复这个问题。 你无法妥善保护免受 Log4j 攻击 安全研究人员看到数以千计的人试图利用Log4j黑客技术进入计算机系统。而关于这个黑客的最糟糕的事情 ...

最新爆发的Log4j2安全远程漏洞，又称“Log4Shell”，让整个互联网陷入了威胁之中，大量企业和Java项目都在紧锣密鼓的升级更新补丁，还有很多安全研究人员在研究复现和利用以及防范方法，我们今天就来说说相关的常识和进展。 Log4Shell漏洞(正式编号CVE-2021-44228) 归根结底是一个非常简单的JNDI注入漏洞。Log4J在 ...

Crazysales是一家典型的跨境电商企业，以澳洲和英国作为主要目标市场，产品大多数由国内供应商提供。Crazysales不但是Amazon、eBay等大型电商平台上的大卖家，同时在澳洲、新西兰建设有自营电商网站，为广大用户提供完整的网购服务。 由于涉及跨国网络部署，不可避免地需要穿过“万里长城”，因此应用架构相对普通电商网站 ...