腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
返回腾讯云官网
性能与架构
专栏作者
举报
597
文章
1145824
阅读量
116
订阅数
订阅专栏
申请加入专栏
全部文章
数据库
云数据库 SQL Server
其他
云数据库 Redis
sql
linux
编程算法
分布式
javascript
缓存
容器镜像服务
容器
存储
微服务
nginx
java
api
node.js
https
zookeeper
安全
网络安全
kafka
微信
css
spring
http
开源
html
负载均衡
json
apache
mongodb
系统架构
负载均衡缓存
网站
nosql
github
小程序
git
架构设计
shell
对象存储
php
kubernetes
压力测试
hbase
lua
打包
图像处理
hadoop
jvm
dns
数据结构
python
angularjs
jquery
mapreduce
访问管理
html5
ssh
spring boot
tcp/ip
rabbitmq
nat
区块链
bootstrap
ecmascript
消息队列 CMQ 版
es 2
gulp
grep
cdn
spring cloud
大数据
windows
ruby
go
.net
react
android
access
ide
maven
搜索引擎
unix
ubuntu
文件存储
腾讯云测试服务
人工智能
微信小程序音视频
grunt
自动化
运维
mybatis
单元测试
rpc
数据分析
网站建设
比特币
ios
regex
vue.js
ajax
嵌入式
oracle
memcached
postgresql
mvc
svn
jar
tomcat
lucene/solr
日志服务
NAT 网关
API 网关
电商
sass
webpack
yarn
移动开发
serverless
黑客
爬虫
hive
正则表达式
gui
面向对象编程
jdbc
hashmap
决策树
openstack
npm
kotlin
markdown
dubbo
ddos
jenkins
socket编程
uml
数据处理
sas
dart
raft
Elasticsearch Service
app
base64
client
data
facebook
gzip
instagram
int
it
local
mysql
nagios
netty
plugins
png
registry
server
service
src
view
程序员
监控
面试
软件工程
软件开发
事务
调试
搜索文章
搜索
搜索
关闭
Log4j爆核弹级漏洞,公司炸锅了...
apache
javascript
网络安全
安全
java
昨晚一直到现在技术圈可谓是炸锅了,所有人都在关注着一个漏洞:Apache Log4j 2 远程代码执行。该漏洞一旦被攻击者利用会造成严重危害。
dys
2021-12-13
478
0
服务器变矿机,老板差点把我开除了。。。
区块链
安全
tcp/ip
容器镜像服务
其他
近期遇到了一次我们自建 Kubernetes 集群中某台机器被入侵挖矿的情况,后续也找到了原因,所幸只是用来挖矿……
dys
2021-11-02
889
0
不要把 JWT 用作 session
json
网络安全
安全
现在很多人使用 JWT 用作 session 管理,这是个糟糕的做法,下面阐述原因,有不同意见的同学欢迎讨论。
dys
2020-02-10
832
0
使用 cURL 测量网站响应时间
网站
dns
http
安全
内容整理自:https://blog.cloudflare.com/a-question-of-timing/,其中还有 chrome 的测量方式,有兴趣的朋友可以看一下。
dys
2018-11-30
1.8K
0
Nginx 配置文件安全分析
nginx
安全
json
简介 Gixy 是一个 Nginx 配置文件的分析工具,主要目标是防止由于不当的配置带来的安全问题 Gixy 是进行静态分析,只需要指定配置文件的路径,不需要启动任何环境 使用示例 配置文件 t.co
dys
2018-04-04
1.1K
0
Redis 实现接口访问频率限制
云数据库 Redis
安全
lua
为什么限制访问频率 做服务接口时通常需要用到请求频率限制 Rate limiting,例如限制一个用户1分钟内最多可以范围100次 主要用来保证服务性能和保护数据安全 因为如果不进行限制,服务调用者可以随意访问,想调几次就调几次,会给服务造成很大的压力,降低性能,再比如有的接口需要验证调用者身份,如果不进行访问限制,调用者可以进行暴力尝试 使用 Redis 来实现 通过 Redis 可以方便的实现频率限制功能,下面介绍两种不错的方法 (1)方案1 - Lua脚本 思路 把限制逻辑封装到一个Lua脚本中,调用
dys
2018-04-04
3.6K
0
[安全] mysqldump 备份的后门
云数据库 SQL Server
安全
1. 简介 mysqldump 是备份 MySQL 数据库的常用工具,其中会包含 创建表、删除表、插入数据 这些数据库操作的语句 而黑客可能会利用 mysqldump 来黑掉你的系统,在 dump 文件被导入时就会执行黑客设置好的 SQL 语句或者 shell 命令 2. 实验 场景假设 1)黑客已经获得了应用的访问权,可以执行任意的 SQL,例如你使用了 Wordpress 等开源系统,就很有可能被黑客搞定 2)黑客具有 CREATE TABLE 权限,这也不难,很多开源系统的安装教程中都不会注意这点,可
dys
2018-04-04
1.5K
0
Nginx 限制IP并发数
nginx
安全
前几天介绍了CC攻击及其防护方法,其中有一个方法是限制同一个IP的并发请求数量,以防止来自同一IP的大量高并发攻击 我的服务器一直没有配置这个限制,今天实验了一下,下面是配置过程 配置 示例 li
dys
2018-04-03
3.6K
0
Redis 实现安全队列
云数据库 Redis
安全
数据结构
nat
Redis的列表数据结构可以让我们方便的实现消息队列 例如用 LPUSH(BLPUSH)把消息入队,用 RPOP(BRPOP)获取消息 绝大部分的情况下,这些操作都是没问题的,但并不能保证绝对安全 当 LPOP 返回一个元素给客户端的时候,会从 list 中把该元素移除,这意味着该元素就只存在于客户端的上下文中,如果客户端在处理这个返回元素的过程崩溃了,那么这个元素就永远丢失了 如何解决? redis 有一个 RPOPLPUSH (或者其阻塞版本的 BRPOPLPUSH)命令 命令格式 RPO
dys
2018-04-03
1.3K
0
web安全 - CSP
安全
CSP 全名 内容安全策略(Content Security Policy) 主要用来防御:XSS CSP 基本思路 定义外部内容引用的白名单 例如 页面中有个按钮,执行的动作源于 http://a.com/x.js,但如果被攻击的话,有可能执行的是 http://b.com/x.js 浏览器可以下载并执行任意js请求,而不论其来源 CSP 的作用就是创建一个可信来源的白名单,使得浏览器只执行来自这些来源的资源,而不是盲目信任所有内容,即使攻击者可以找到漏洞来注入脚本,但是因为来源不包含在白
dys
2018-04-03
1.5K
0
服务器被入侵的教训
安全
今天一台服务器突然停了,因为是阿里云的服务器,赶紧去阿里云查看,发现原因是阿里云监测到这台服务器不断向其他服务器发起攻击,便把这台服务器封掉了 明显是被入侵做为肉鸡了 处理过程 (1)查看登陆的
dys
2018-04-03
2.3K
0
模拟利用Redis入侵系统
云数据库 Redis
安全
黑客
ssh
昨天的文章写了系统被黑过程,原因是redis安全配置没做好,让黑客轻松通过redis设置了ssh免密码登陆,从而成功入侵 对这个攻击过程有点好奇,就查了下相关资料,弄清楚了攻击思路 基本思路 黑客在自己的机器中生成 ssh 的公钥/私钥,需要把公钥放到攻击目标机器中,通过连接到目标机器的redis,把私钥内容保存到redis,然后修改redis的数据文件名称、保存位置,这样就完成了,简单而且巧妙 具体实现 先简单看下ssh免密码登陆原理 例如 A 想要免密码登陆 B A 生成公钥/私钥,并把公
dys
2018-04-03
1.1K
0
linux防火墙iptables工作原理
linux
安全
防火墙对于系统安全至关重要,iptables则是防火墙的管理工具 iptables帮助我们定义各种验证规则,实现对网络的验证控制 数据包的传输过程 数据包来到防火墙后,传输过程会经历一系列验证链
dys
2018-04-03
1.8K
0
如何保证redis的安全?
云数据库 Redis
数据库
安全
redis的作者的理念是‘简洁为美’,所以并没有为redis设计复杂的安全配置 redis需要运行在安全的环境下,要做好redis外部的安全工作,例如不使用redis的默认端口、配置防火墙保护redis、web应用访问redis时做好安全检查等 redis本身的安全配置主要有: (1)信任IP绑定 指定可以访问redis的IP,防止外部访问 配置方法 在 redis.conf 中修改 bind 项,默认是关闭的,需要去掉前面的 #,修改后面的ip地址,例如 bind 192.168.1.100 10.0.0
dys
2018-04-03
937
0
web安全 - 文件上传漏洞
安全
文件上传本身是互联网中最为常见的一种功能需求,所以文件上传漏洞攻击是非常常见,并且是危害极大的 常见安全问题 1) 上传文件是Web脚本语言,服务器的Web容器解释并执行了用户上传的脚本,导致代码执行 2) 上传文件是Flash的策略文件crossdomain.xml,黑客用以控制Flash在该域下的行为 3) 上传文件是病毒、木马文件,黑客用以诱骗用户或者管理员下载执行 4) 上传文件是钓鱼图片或为包含了脚本的图片,在某些版本的浏览器中会被作为脚本执行,被用于钓鱼和欺诈 常见的攻击方式就是攻击
dys
2018-04-03
1.3K
0
微信微博都在使用的OAuth2是什么原理
微信
安全
现在开放平台非常流行,例如微信开放平台、微博开放平台等,开放平台都涉及用户授权问题,OAuth2就是目前的主流授权解决方案 OAuth2是什么 OAuth(Open Authorization,开放授权)是为用户资源的授权定义了一个安全、开放及简单的标准,第三方无需知道用户的账号及密码,就可获取到用户的授权信息 OAuth在"客户端"与"服务提供商"之间,设置了一个授权层,"客户端"不能直接登录"服务提供商",只能登录授权层,以此将用户与客户端区分开 来,"客户端"登录授权层是使用令牌(token),
dys
2018-04-02
1.1K
0
Web安全 - 跨站请求伪造攻击CSRF
安全
跨站请求伪造攻击,简称CSRF(Cross-site request forgery),CSRF通过伪装来自受信任用户的请求实现攻击 CSRF的原理 CSRF主要是通过诱骗已经授权的用户执行攻击者想要
dys
2018-04-02
801
0
Web安全-跨站脚本攻击XSS
安全
xss表示Cross Site Scripting(跨站脚本攻击),它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在xss攻击中,通过插入恶意
dys
2018-04-02
1.3K
0
没有更多了
社区活动
腾讯技术创作狂欢月
“码”上创作 21 天,分 10000 元奖品池!
立即发文
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档