本文分享的Writeup是作者在测试一些目标服务相关的负载均衡或CDN应用时发现的错误配置型漏洞,这些漏洞有些发生服务端犄角旮旯的响应消息中,可能很少会引人注意,我们一起来看看。
在 IE 中处理重定向时有一个有趣的错误,它可以将任意字符插入到 Host 标头中。假设您有以下 http 响应:
我对GitHub的主要测试方法为,下载试用版的GitHub Enterprise,然后用我写的脚本把它反混淆(deobfuscate),然后观察GitHub的 Rails 代码查看是否有一些奇怪的行为或漏洞。从安全开发的角度来说,GitHub的的代码架构做得非常好,虽然我能偶而发现一两个由应用逻辑处理导致的小bug,但最终都不会导致大的安全问题,而且整个代码的运行权限较低,根本无从下手。看来GitHub做的滴水不漏,天衣无缝。但尽管如此,我还是想方设法绞尽脑汁地发现了GitHub的一些有趣漏洞,其中就包括它的一个OAuth授权验证绕过漏洞。
Vue3 已经更新到 RC9,正式发布在即,其中让人倍加关注的重大更新:组装式 API (Composition API) 到底是什么,相比 Vue2 又有什么优势呢?
由于单位的安全要求,原有的一个应用由互联网区域机房搬迁至内网机房,然后业务系统走内网进行访问。新服务器是网管给重新做的,CentOS 8.1 + Oracle 19c,我把数据库、应用都迁移到新服务器上之后,发现莫名其妙的卡顿,一开始我以为是内网的问题,没有在意,但后来发现,每次都是规律性的卡顿,表现为:第一次访问或者隔几分钟第一次访问的时候,会卡顿10秒,然后就恢复正常速度,页面秒开。如果停几分钟不访问,再次打开时,还是会卡顿10多秒。
某日收到工单,用户反馈在6.8.2版本的kibana中,对在Discovery中查询到的数据想导出到CSV文件,点击"生成CSV"按钮无响应,如下图所示:
每隔几个月就会出现一篇文章表明:CSS并不是真正的编程语言。以编程语言的标准来说,CSS过于困难。使用这门语言会很有创造性:
日常我们开发时,会遇到各种各样的奇奇怪怪的问题(踩坑o(╯□╰)o),这个常见问题系列就是我日常遇到的一些问题的记录文章系列,这里整理汇总后分享给大家,让其还在深坑中的小伙伴有绳索能爬出来。 同时在这里也欢迎大家把自己遇到的问题留言或私信给我,我看看其能否给大家解决。
next.js 首页标榜的 12 个特性之一就是 API routes,简单的说就是可以 next.js 直接写 node 代码作为后端服务来运行。因此我们可以直接使用 next.js 直接维护一个全栈项目,听起来很香的样子。
上周在工作中遇到一个问题,挺有意思,这里记录一下。上周在工作中遇到一个问题,挺有意思,这里记录一下。标题起的很唬人,这个问题差点引发血案,花哥还是很严谨的一个人,后面备注了almost....
2022年9月2日, 成都在做大规模核酸检测的时候,核酸码崩了,导致很多一线工作人员翘“脚”以盼(图片来源于网络):
ClickHouse 优秀的读写处理性能,丰富强大的函数支持,以及灵活的 SQL 查询,支撑了微博广告监控系统的百亿流量请求和复杂业务需求。
本文介绍了ElasticSearch 亿级数据检索案例,关于如何通过优化ES实现几十亿的数据查询秒级响应的效果。
前几天,接到研发同事反馈,内网通过 Nginx 代理下载 OSS 的大文件时,老是会断,而在服务器上下载时却很正常,非常奇怪。原本以为可能和 VPN 有关,经确认排除嫌疑。彷徨了许久,最后发现是 Nginx Buffer 的锅。下面就来聊聊这个问题是怎么发生的。
今天我公司需要让我把a.com网站的内容和对方网站的内容弄的一样,但是我不想把对方网站的程序再给a.com安装一份,于是想到了反向代理,我在宝塔后台添加一个反向代理如下:
询问了对方的技术人员,他说我传的内容是空的,这就奇怪了,我后台明明已经接收到“浙江”这个值了。
Fyrox 是一个功能丰富、可用于生产的通用 2D/3D 游戏引擎,其采用 Rust 编写,并带有场景编辑器,能帮助你进行高效的开发。
大家好,我是 ConardLi。今天带大家来解读一个比较权威的 JavaScript 年度报告,我们一起来看看今年的 JavaScript 到底是什么样子。
原作 Melanie Ehrenkranz Root 编译自 Gizmodo 量子位 出品 | 公众号 QbitAI 加拿大预防自杀协会的数据显示,在加拿大,每天几乎有11个人自杀。 为了降低自杀率,提前给情绪低落的人提供精神方面的帮助,这个月加拿大政府启动了一个结合AI研究并预测国内的自杀率的试行项目。 由加拿大公共健康中心牵头,和一家AI公司Advanced Symbolics联手合作,把16万个社交账户上PO的内容都过一遍,找出那些讨论自杀的用户有什么样的共同点。 Advanced Symbolic
某一天,我在使用 docker 的时候遇到个奇怪的问题,在容器里面发起 https 请求报了个错。 经过测试发现在容器里面发起的所有 https 请求都报错,即使是 curl 发起 https 请求也报错。 而 http 请求却能正常发起请求。
相信大家在面试的时候可能会被问到这个问题。今天我其实就是讲述下我知道的一些简单的优化方式,可以帮助大家在面试的过程中得到点基础分数。
在前一篇关于越权漏洞(IDOR)的分享中,我们谈了一些用户功能处存在的隐患点,今天再来聊聊另一个最近发现的IDOR漏洞,出于保密原因,文中提及的目标网站我们以xyz.com代替,漏洞获得厂商$3,650的奖励。
WEB API的应用场景非常丰富,例如:将已有系统的功能或数据开放给合作伙伴或生态圈;对外发布可嵌入到其他网页的微件;构建前后端分离的WEB应用;开发跨不同终端的移动应用;集成公司内部不同系统等等。在上述场景里,你可能是WEB API的使用者,也可能是设计者,但你知道如何评判WEB API的优劣吗?
最近业务方反馈线上 Nginx 经常会打出一些『奇怪』的 access 日志,奇怪之处在于这些日志的 request_time 值总是正好 upstream_response_time 的值大5秒,于是我就帮他们查看了一下导致这个问题的原因,本文记录一下最终调查的结论以及过程。
本文转载:http://blog.csdn.net/playing9c/article/details/7471918
最近项目测试遇到个奇怪的现象,在测试环境通过 Apache HttpClient 调用后端的 HTTP 服务,平均耗时居然接近 39.2ms。可能你乍一看觉得这不是很正常吗,有什么好奇怪的?其实不然,我再来说下一些基本信息,该后端的 HTTP 服务并没有什么业务逻辑,只是将一段字符串转成大写然后返回,字符串长度也仅只有 100 字符,另外网络 ping 延时只有 1.9ms 左右。因此,理论上该调用耗时应该在 2-3ms 左右,但为什么平均耗时 39.2ms 呢?
最近项目测试遇到个奇怪的现象,在测试环境通过 Apache HttpClient 调用后端的 HTTP 服务,平均耗时居然接近 39.2ms。可能你乍一看觉得这不是很正常吗,有什么好奇怪的?其实不然,我再来说下一些基本信息,该后端的 HTTP 服务并没有什么业务逻辑,只是将一段字符串转成大写然后返回,字符串长度也仅只有 100 字符,另外网络 ping 延时只有 1.9ms左右。因此,理论上该调用耗时应该在 2-3ms 左右,但为什么平均耗时 39.2ms 呢?
简言之,ZebraBI 是 BI 的 BI,精确地讲,Zebra BI is the BI which on top of Power BI。对于老伙伴肯定已经非常清楚,对于新朋友,可能还不太清楚,那请关注我们的国庆档,会给大家带来 BI 方法论的重要分享。
一天,发现服务器上 80 端口不能正常访问了, 无论怎么都是 404 page not found 。这就奇怪了。
AI技术正值蓬勃发展之际,相信大家也听过见过不少AI产品,天上飞的、地上跑的、水里游的,无奇不有,无所不包。
中,我们分别讨论了大小端模式和Cache对于移植代码的影响。那么本文,我们再从内存序理解一下对于移植代码的影响,尤指底层代码或操作系统代码。
建立微服务的真正道路是事件驱动,这是一个有着DDD, CQRS, Event-sourcing, event streaming, complex-event processing(CEP) 等背景以及丰富JavaEE技术经验的架构师的认识,他经历了从传统整体型monolith到微服务架构之转变,细节技术涉及从容器技术 (Docker, Kubernetes) 到JVM层 (Spring Boot 和 WildFly Swarm)到应用架构(事件, 命令, 流streaming, 原始事件, 聚合, 聚合根, 事务, CQRS, 等等),他会在六月的Red Hat Summit演讲上详细陈述。 这里他从自主性与权威性的比较角度来谈论微服务为什么应该是事件驱动,原文见:Why Microservices Should Be Event Driven: Autonomy 首先,我们使用微服务是为了构建一个业务敏捷的IT系统,也就是能跟随业务快速变化的IT系统,这样才能保证我们的业务能力始终保持竞争力。而自治系统是能够相互交互提供业务敏捷,包括如果系统发生问题怎么办?系统如何克服问题?提供业务敏捷和失败容错的系统就是自治autonomy。 自治系统能够独立于彼此演进,因为他们本质上是彼此没有依赖的,改变一个服务A不会强迫系统B改变,包括引起任何其他涟漪影响,如果服务A是服务B依赖的,服务A死了,那么服务B也会死期不远。 那么自治性除了微服务以外,其他方面还需要什么?如果你阅读过http://blog.christianposta.com/microservices/the-real-success-story-of-microservices-architectures/,你会知道不是技术让Netflix和亚马逊的微服务获得成功,而是组织系统结构。 与敏捷系统的相同类型的一些例子包括:开源社区、城市、股票市场、蚂蚁群、成群的鸟类和其他的。它们可以进化,响应react环境,甚至持续在面对巨大的失败,事实上,它们都是属于复杂自适应系统的理论研究领域。这些系统之间的共同点是什么?目标,自治性和对环境的反应。自治意味着 对“事件”的“反应react” 。 当有什么事情发生时,自治者(蚂蚁 人或服务)会做某些事或不做某些事,但是总体来说,是这些发生事情的事件驱动了它们的行为,想想你(作为一个独立自主与自治的人)在一天中做的事情:你醒过来,基于温度穿衣服(事件或事实),你开车和去工作(在停车灯停下来(事件),避免驾驶人发生不正常事件等)。这些都是对事件的回应。你会收到收件箱里的电子邮件,你会回应。你会从你妻子提供的文本中挑选一篇关于家庭的晚餐,等等,我们生活在对事件的反应中。建立在事件的IT系统也可以是同样拥有自主性,可扩展性和弹性应对失败。 从权限到自治自主并拥抱最终一致性 在大多数分布式系统实现中,我们倾向于在一个单一地理空间建立跨不可靠网络的系统,这在很多方面都是坏主意,我们倾向于调用远程对象,驱动它们做某些事情,或者我们调用一个远程服务进行数据查找,如果是购物车服务,我们需要计算购物车中所有商品的最终价格以便支付,这样购物车服务会调用计价服务,计价服务也许会调用计税服务以基于价格根据不同洲税调整最终价格,计税服务也许会调用产品目录服务,货运服务也许会调用库存服务等等,最后也许需要经过一长段调用才会结束,我们正在遵循“authority权限”模式进行数据访问,我们调用那些对数据拥有权限的服务,这有点像共享全局状态,它们也有另外一个理由,因为事务性或ACID需要这样整合在一起调用。 这可能会导致瓶颈。如果服务链中的某些服务不可用,它也会导致其他服务挂起以及级联崩溃性故障。它也可能导致一些奇怪的依赖关系,比如库存服务暴露给税务服务的出数据和航运服务使用的数据会不同。或者它公开了一个单一格式的数据,但其中有很多额外的细节是这两个服务都不真正关心的。 如果我们以不同方式来看这个模型?如果我们颠倒这个模型,我们不再依赖和调用那些对数据拥有权限的服务,而是依赖时间和事件(如同我们现实世界一样)重新理解上下文场景和环境。 我们刚刚从周围环境发现从美国到古巴的航运刚刚推出了一个较低的税收,这是一个发生的事实,我们可以观察和反应,或者忽视不做任何事。 如果我们能了解到对运送到古巴的税收现在已经降低了,那么在我们展示购物车页面时,我们就可以捕捉这样的数据以便未来可能的查询,然后我们可以有更多的自主权,我们可以在我们自己的数据库中存储该信息息或该信的衍生物,这将为我们提供的服务类型进行优化。如果我们必须对我们的服务进行版本的修改,我们就可以把重点放在我们自己的架构和数据上,而不必担心更改时其他相关服务会发生什么。 什么是最终一致性? 响应事件而不是“及时”查询权限系统会让我们更具有自主性,更有容错能力和弹性,
API 设计是微服务设计中非常重要的环节,代表服务之间交互的方式,会影响服务之间的集成。通常来说,一个好的 API 设计需要满足两个主要的目的。
前几天在外边连接家里的设备总是提示离线,最奇怪的是离线时间段集中在某一个时间范围内,一度怀疑是网络不稳定造成的。
《我所理解的RESTful Web API [Web标准篇]》Web服务已经成为了异质系统之间的互联与集成的主要手段,在过去一段不短的时间里,Web服务几乎清一水地采用SOAP来构建。构建REST风格的Web服务是最近两三年风行的潮流,所以很多人以为REST是一个事物。而事实却是:REST自其诞生之日起到现在(2014年)已经有14年了,它为什么叫这么一个“奇怪”的名字呢? 目录 一、为什么叫这个“奇怪”的名字?二、采用URI标识资源 二、采用URI标识资源 三、使
当我们第一次接触到 Java Web 开发,从最原生的 Servlet 方法开始,我们就知道在 doGet() 或者 doPost() 方法有两个形参,分别是 HttpServletRequest 和 HttpServletResponse,这两个参数代表了 web 容器为我们封装的 HTTP 请求和 HTTP 响应。
因为在性能测试过程中,我们经常会遇到响应时间长的情况。在我的性能工程逻辑中,一直在说的一个话题就是响应时间的拆分。但还是有很多人不理解响应时间应该如何拆分到具体的某个主机或某个节点上去。 响应时间的拆分有几个不同的角度。
安全运营中心(SOC)是一种自动化的高效平台,已被众多企业所采纳作为其安全运营的得力助手。但是,在SOC平台的运营过程中,却难免会遇见一些难题。前几日,ISACA网络研讨会成功举行,会议的重点即安全运营中心的治理。本文将会议整理为问答形式,帮助企业获得SOC运营的提示以及了解SOC平台的趋势。
自ChatGPT横空出世以来,围绕GPT的话题只增不减,属于AI+的时代已经悄然来临。科技在进步,人类在发展。近期,各大厂商纷纷推出了自己的产品和服务并在持续的更新迭代优化当中。如,微软的New Bing、谷歌的Bard、百度的文心一言等等。如何使技术落地,结合应用场景开发出更多产品出了,是接下来需要思考研究的问题。
论文地址: http://arxiv.org/pdf/2111.09833v1.pdf
RSA 算法一种常见的非对称加密算法, 常用来对一些在网络上传输的敏感信息进行加密, 本文将概述RSA算法的流程以及一种意想不到的”旁门左道”的攻击方式.
现在有一个 Web 项目,前端是使用 Vue.js 开发的,整个前端需要部署到 K8S 上,后端和前端分开,同样也需要部署到 K8S 上,因此二者需要打包为 Docker 镜像。
相比其他语言,我觉得 JavaScript 的生态系统太奇怪了,实际运行的代码已经不再是开发者编写的 JavaScript,而是各种编译工具最终生成的产物。
Windows 用户体验团队项目管理前总监 Jensen Harris 在 Youtube 上发布的一段视频解释了为什么从 2010 年开始, Windows 上开始听不到开机声音。
欢迎大家回来! 在上一篇文章中,我们介绍了如何导入模块以及如何使用它们。 在本文中,我们将接触对Python黑客来说至关重要的模块:socket。 实质上,套接字模块允许我们制作,维护和使用一个连接,我们可以尝试连接到我们想要的任何端口,连接到我们想要的任何地址,我们也可以使用这些连接来回发送信息。 在本文中,我们将建立一个客户端连接并发送和接收一些数据! 第1步:建立客户端套接字 现在,当我说我们将成为客户端时,我的意思是我们要请求并启动连接,首先,我们需要导入套接字模块,然后我们要创建一个套接字对象。
背景 最近由于业务需求,我参与研发的云产品 CSB 需要对外开放 Open API,原本不是什么难事,因为阿里云内部的 Open API 开放机制已经非常成熟了,根本不需要我去设计,但这次的需求主要是针对一些独立部署的场景,需要自行设计一套规范,那就意味着,需要对 Open API 进行一些规范约束了,遂有此文。 Open API 和前端页面一样,一直都是产品的门面, Open API 不规范,会拉低产品的专业性。在云场景下,很多用户会选择自建门户,对接云产品的 Open API,这对我们提出的诉求便是构
本文主要介绍知乎订单系统后端语言栈的转型升级过程,包括其间踩过的一些坑和遇到的一些问题。一来是想通过本篇文章为其它应用服务转型提供借鉴经验,二来是总结对于订单系统的理解。鉴于文字功底不足,对于业务理解不充分的地方,欢迎留言交流。文章大纲如下:
原作 KYLE HYATT Root 编译自 Cnet 量子位 出品 | 公众号 QbitAI 打自动驾驶概念火起来之后,差不多每天都能听到自动驾驶技术有新突破的新闻。 无需质疑,未来自动驾驶能改善社
领取专属 10元无门槛券
手把手带您无忧上云