腾讯云开发者社区-腾讯云

开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

性能与架构

专栏作者

597

文章

1145824

阅读量

116

订阅数

Log4j爆核弹级漏洞，公司炸锅了...

apache javascript 网络安全安全 java

昨晚一直到现在技术圈可谓是炸锅了，所有人都在关注着一个漏洞：Apache Log4j 2 远程代码执行。该漏洞一旦被攻击者利用会造成严重危害。

2021-12-13

4780

服务器变矿机，老板差点把我开除了。。。

区块链安全 tcp/ip 容器镜像服务其他

近期遇到了一次我们自建 Kubernetes 集群中某台机器被入侵挖矿的情况，后续也找到了原因，所幸只是用来挖矿……

2021-11-02

8890

不要把 JWT 用作 session

json 网络安全安全

现在很多人使用 JWT 用作 session 管理，这是个糟糕的做法，下面阐述原因，有不同意见的同学欢迎讨论。

2020-02-10

8320

使用 cURL 测量网站响应时间

网站 dns http 安全

内容整理自：https://blog.cloudflare.com/a-question-of-timing/，其中还有 chrome 的测量方式，有兴趣的朋友可以看一下。

2018-11-30

1.8K0

Nginx 配置文件安全分析

nginx 安全 json

简介 Gixy 是一个 Nginx 配置文件的分析工具，主要目标是防止由于不当的配置带来的安全问题 Gixy 是进行静态分析，只需要指定配置文件的路径，不需要启动任何环境使用示例配置文件 t.co

2018-04-04

1.1K0

Redis 实现接口访问频率限制

云数据库 Redis 安全 lua

为什么限制访问频率做服务接口时通常需要用到请求频率限制 Rate limiting，例如限制一个用户1分钟内最多可以范围100次主要用来保证服务性能和保护数据安全因为如果不进行限制，服务调用者可以随意访问，想调几次就调几次，会给服务造成很大的压力，降低性能，再比如有的接口需要验证调用者身份，如果不进行访问限制，调用者可以进行暴力尝试使用 Redis 来实现通过 Redis 可以方便的实现频率限制功能，下面介绍两种不错的方法（1）方案1 - Lua脚本思路把限制逻辑封装到一个Lua脚本中，调用

2018-04-04

3.6K0

[安全] mysqldump 备份的后门

云数据库 SQL Server 安全

1. 简介 mysqldump 是备份 MySQL 数据库的常用工具，其中会包含创建表、删除表、插入数据这些数据库操作的语句而黑客可能会利用 mysqldump 来黑掉你的系统，在 dump 文件被导入时就会执行黑客设置好的 SQL 语句或者 shell 命令 2. 实验场景假设 1）黑客已经获得了应用的访问权，可以执行任意的 SQL，例如你使用了 Wordpress 等开源系统，就很有可能被黑客搞定 2）黑客具有 CREATE TABLE 权限，这也不难，很多开源系统的安装教程中都不会注意这点，可

2018-04-04

1.5K0

Nginx 限制IP并发数

前几天介绍了CC攻击及其防护方法，其中有一个方法是限制同一个IP的并发请求数量，以防止来自同一IP的大量高并发攻击我的服务器一直没有配置这个限制，今天实验了一下，下面是配置过程配置示例 li

2018-04-03

3.6K0

Redis 实现安全队列

云数据库 Redis 安全数据结构 nat

Redis的列表数据结构可以让我们方便的实现消息队列例如用 LPUSH（BLPUSH）把消息入队，用 RPOP（BRPOP）获取消息绝大部分的情况下，这些操作都是没问题的，但并不能保证绝对安全当 LPOP 返回一个元素给客户端的时候，会从 list 中把该元素移除，这意味着该元素就只存在于客户端的上下文中，如果客户端在处理这个返回元素的过程崩溃了，那么这个元素就永远丢失了如何解决？ redis 有一个 RPOPLPUSH (或者其阻塞版本的 BRPOPLPUSH）命令命令格式 RPO

2018-04-03

1.3K0

web安全 - CSP

CSP 全名内容安全策略（Content Security Policy）主要用来防御：XSS CSP 基本思路定义外部内容引用的白名单例如页面中有个按钮，执行的动作源于 http://a.com/x.js，但如果被攻击的话，有可能执行的是 http://b.com/x.js 浏览器可以下载并执行任意js请求，而不论其来源 CSP 的作用就是创建一个可信来源的白名单，使得浏览器只执行来自这些来源的资源，而不是盲目信任所有内容，即使攻击者可以找到漏洞来注入脚本，但是因为来源不包含在白

2018-04-03

1.5K0

服务器被入侵的教训

今天一台服务器突然停了，因为是阿里云的服务器，赶紧去阿里云查看，发现原因是阿里云监测到这台服务器不断向其他服务器发起攻击，便把这台服务器封掉了明显是被入侵做为肉鸡了处理过程（1）查看登陆的

2018-04-03

2.3K0

模拟利用Redis入侵系统

云数据库 Redis 安全黑客 ssh

昨天的文章写了系统被黑过程，原因是redis安全配置没做好，让黑客轻松通过redis设置了ssh免密码登陆，从而成功入侵对这个攻击过程有点好奇，就查了下相关资料，弄清楚了攻击思路基本思路黑客在自己的机器中生成 ssh 的公钥/私钥，需要把公钥放到攻击目标机器中，通过连接到目标机器的redis，把私钥内容保存到redis，然后修改redis的数据文件名称、保存位置，这样就完成了，简单而且巧妙具体实现先简单看下ssh免密码登陆原理例如 A 想要免密码登陆 B A 生成公钥/私钥，并把公

2018-04-03

1.1K0

linux防火墙iptables工作原理

防火墙对于系统安全至关重要，iptables则是防火墙的管理工具 iptables帮助我们定义各种验证规则，实现对网络的验证控制数据包的传输过程数据包来到防火墙后，传输过程会经历一系列验证链

2018-04-03

1.8K0

如何保证redis的安全？

云数据库 Redis 数据库安全

redis的作者的理念是‘简洁为美’，所以并没有为redis设计复杂的安全配置 redis需要运行在安全的环境下，要做好redis外部的安全工作，例如不使用redis的默认端口、配置防火墙保护redis、web应用访问redis时做好安全检查等 redis本身的安全配置主要有：（1）信任IP绑定指定可以访问redis的IP，防止外部访问配置方法在 redis.conf 中修改 bind 项，默认是关闭的，需要去掉前面的 #，修改后面的ip地址，例如 bind 192.168.1.100 10.0.0

2018-04-03

9370

web安全 - 文件上传漏洞

文件上传本身是互联网中最为常见的一种功能需求，所以文件上传漏洞攻击是非常常见，并且是危害极大的常见安全问题 1) 上传文件是Web脚本语言，服务器的Web容器解释并执行了用户上传的脚本，导致代码执行 2) 上传文件是Flash的策略文件crossdomain.xml，黑客用以控制Flash在该域下的行为 3) 上传文件是病毒、木马文件，黑客用以诱骗用户或者管理员下载执行 4) 上传文件是钓鱼图片或为包含了脚本的图片，在某些版本的浏览器中会被作为脚本执行，被用于钓鱼和欺诈常见的攻击方式就是攻击

2018-04-03

1.3K0

微信微博都在使用的OAuth2是什么原理

现在开放平台非常流行，例如微信开放平台、微博开放平台等，开放平台都涉及用户授权问题，OAuth2就是目前的主流授权解决方案 OAuth2是什么 OAuth（Open Authorization，开放授权）是为用户资源的授权定义了一个安全、开放及简单的标准，第三方无需知道用户的账号及密码，就可获取到用户的授权信息 OAuth在"客户端"与"服务提供商"之间，设置了一个授权层，"客户端"不能直接登录"服务提供商"，只能登录授权层，以此将用户与客户端区分开来，"客户端"登录授权层是使用令牌（token），

2018-04-02

1.1K0

Web安全 - 跨站请求伪造攻击CSRF

跨站请求伪造攻击，简称CSRF（Cross-site request forgery），CSRF通过伪装来自受信任用户的请求实现攻击 CSRF的原理 CSRF主要是通过诱骗已经授权的用户执行攻击者想要

2018-04-02

8010

Web安全-跨站脚本攻击XSS

xss表示Cross Site Scripting(跨站脚本攻击)，它与SQL注入攻击类似，SQL注入攻击中以SQL语句作为用户输入，从而达到查询/修改/删除数据的目的，而在xss攻击中，通过插入恶意

2018-04-02

1.3K0

没有更多了

社区活动

腾讯技术创作狂欢月

“码”上创作 21 天，分 10000 元奖品池！

Python精品学习库

代码在线跑，知识轻松学

博客搬家 | 分享价值百万资源包

自行/邀约他人一键搬运博客，速成社区影响力并领取好礼

技术创作特训营·精选知识专栏

往期视频·千货材料·成员作品最新动态