数据魔术师在这里祝愿大家新年快乐,身体安康。我们的指导老师秦虎教授,现在虽然在武汉疫区,但是仍然坚持督促小编们去学习,继续做一些公众号的内容去分享。供大家在这个假期好好提升自我。
前言 天黑之后就在图书馆玩一个爬虫,就是那个开源的爬虫 -- scrapy!早几天就搭建了一个Redis集群服务器,于是就将爬取的数据存储于Redis数据库。 Redis数据库集群搭建 | 实践篇 ---- Scrapy Scrapy是一个为了爬取网站数据,提取结构性数据而编写的应用框架。 可以应用在包括数据挖掘,信息处理或存储历史数。Scrapy 使用 Twisted这个异步网络库来处理网络通讯,架构清晰,并且包含了各种中间件接口,可以灵活的完成各种需求。 ---- 目的 目标是学校图书馆的热榜书
算下来我有一段时间没写CDN了,但是我们的视频直播点播服务器能够进行CDN网络分发,所以我几乎每天都会接触到这方面的东西。
说明: 我在本机中添加域名模拟,假设是主机直接配置也能够使用。我用的tomcat是apache-tomcat-7.0.42
Tomcat的所有配置都放在conf文件夹之中,里面的server.xml文件是配置的核心文件。
SSO系统就是解决分布式环境下登录问题的,本质上是解决分布式环境下Session共享问题。
一、JSP 1. 概述 * 当浏览器请求对应的JSP 时 ,JSP 经过转义形成对应的java文件,java文件 经过编译 链接 形成 .class 文件。.class 文件会用来创建 servlet 对象 这个对象就可以提供动态html响应。 2. JSP语法 ① 声明区 * <%! 在类中方法外,属于成员位置 %> ② 表达式 * <%= 这里输出到页面,在 service 方法中 %> ③ 代码块--- 代码片段 * <% 在 service 方法中 %> ④ JS
信息收集对于渗透测试前期来说是非常重要的,因为只有我们掌握了目标网站或目标主机足够多的信息之后,我们才能更好地对其进行漏洞检测。正所谓,知己知彼百战百胜!
运行平台:Windows 10 Python版本:Python 3.6.1 Scrapy版本:Scrapy 1.4.0 IDE:Sublime text3 浏览器:chrome
1. JSP中Cookie的读写 Cookie的本质是一个键值对,当浏览器访问web服务器的时候写入在客户端机器上,里面记录一些信息。Cookie还有一些附加信息,比如域名、有效时间、注释等等。 下面是一个jsp中写入读取Cookie的测试:在顶级域名中写入Cookie,在子域名中读取,目的是实现一个分布系统的单点登录。 两个jsp中读写代码如下: 写入: <% Cookie cookie = newCookie("write","cookie_write"); cookie.setComment
一、真实IP:核心点在CDN上,CDN的存在是为了使用户的网络体验效果更佳,CDN是可以存放一些动态/静态页面的,但是价钱也会更高,同时可以部署WAF等,寻找的真实IP的思路就是绕过CDN,那么绕过CDN又有很多种方式: step1确定是否存在CDN,很简单,使用不同地方的 ping 服务,查看对应 IP 地址是否唯一,如果不唯一则极有可能是使用了CDN。 ping测试网站: 超级ping 爱站ping 国外ping有些网站不会在国外设置CDN 全球ping step2 绕过方式 1、查看网站的DNS历史解析记录,然后IP反查看能否解析出域名。也许目标很久之前没有使用CDN,所以可能会存在使用 CDN 前的记录 。 DNS解析 2、可能只会对主站或者流量大的子站点做了 CDN,而很多小站子站点又跟主站在同一台服务器或者同一个C段内,此时就可以通过查询子域名对应的 IP 来辅助查找网站的真实IP。 3、www有cdn,无3w没有cdn。 4、邮件服务器,通过对目标网站注册或者RSS订阅,查看邮件,寻找邮件头中的邮件服务器IP,ping这个邮件服务器域名,可以获得真实IP。 5、Nslookup查询看域名的NS记录、MX记录、TXT记录等很可能指向真实IP或C段服务器。
百度搜索引擎与谷歌搜索引擎相比,百度搜索搜到的结果确实要比谷歌少了不少,通过谷歌语法做信息搜集,我们自然少不了留存一些谷歌镜像站,但是有些时候搜索中文网站相关信息时,百度搜索也许会有意想不到的信息,下面先推荐一些正在维护的谷歌镜像站。
为了监控到各业务的访问质量,基于LB层的Nginx日志,实现LB层到Real Server之间访问请求的响应时间(即upstream_response_time)及HTTP状态码(即upstream_status)的监控及报警。操作记录如下:
2.5.3. Session 的 Cookie 域处理 环境 User -> Http2 CDN -> Http2 Nginx -> proxy_pass 1.1 -> Tomcat 背景,默认情况下 tomcat 不会主动推送 Cookie 域,例如下面的HTTP头 Set-Cookie: JSESSIONID=8542E9F58C71937B3ABC97F002CE039F;path=/;HttpOnly 这样带来一个问题,在浏览器中默认Cookie域等于 HTTP_HOST 头(www.
今天分析了几款网站爬虫开源工具,其主要作用是辅助安全测试人员,测试网站功能,发现网站漏洞,本着学习的原则,通过阅读源码的方式来学习其核心技术,从而有助于我们自身编写相关脚本,在实际的工作中应用它来提升工具效率。
分享是快乐的,也见证了个人成长历程,文章大多都是工作经验总结以及平时学习积累,基于自身认知不足之处在所难免,也请大家指正,共同进步。
主要用于页面包含,导入页面的资源文件,格式为:<%@ include file="top.jsp" %>
然后就遇到了一些配置上的问题,比如说https的设置啦,还有就是什么缓存配置、防盗链之类的。这段时间正好理顺了一下思路,记录一下。
会话技术:Cookie(客户端),Session(服务端)。一次会话中包含多次请求和响应直到一端断开,在一次会话范围内多次请求间共享数据。 Cookie由服务器发送给客户端使用,供客户端多次使用。服务端:创建Cookie(Cookie对象的构造函数传入Cookie信息)、发送Cookie(response.addCookie方法传入参数),接收Cookie(getCookies)。 idea的Settings-->File and Code Templates-->Web-->Java code templates下可以修改Servlet Annoteated Class自动生成的代码以方便自定义自动生成。 服务器发送cookie保存在,响应头的set-cookie下的参数被客户端获取。当客户端再次请求数据时,请求头中的cookie字段添加了之前获取的cookie。 一次请求可以发送多个cookie键值对(多个Cookie对象通过addCookie方法添加),cookie默认在浏览器关闭时被销毁,可设置持久化存储到硬盘时间(Cookie的setMaxAge方法传入整数秒设定存活时间,0为删除,负数为默认方式) cookie在tomcat8之后支持中文数据(直接使用,但特殊字符仍需编码),在tomcat8之前需要编码(可以使用URLEncoder.encode方法decode解码)。cookie范围,默认情况下tomcat服务器多个项目的cookie不能共享(只能在当前虚拟目录下共享),可以使用setPath方法设置为/则可以共享。 不同的tomcat服务器直接的cookie也可以共享,使用setDomain(String path),设置一级域名,则可以在指定一级域名下共享。 浏览器下的cookie大小有限制(4kb,20个),用于存储少量,不太敏感的数据(不安全)。可以用于网页离线的信息设置和同步(不登录情况下的网页偏好设置)。
最近做的一个系统,做完之后发现命名有些不够规范,所以想要规范一下命名,这样才能使项目目录更规范与整齐,网上发现该详细的命名规范博文.但是有些命名规范已经有些不在适合,参考该博文的基础上,进行了修改.
1.打开conf下nginx.conf 在最后一个 } 前插入 include proxy.conf; 2.新建文件 proxy.conf ,进行如下配置
HTTP 协议有 HTTP/1.0 版本和 HTTP/1.1 版本。HTTP1.1 默认保持长连接(HTTP persistent connection,也翻译为持久连接),数据传输完成了保持 TCP 连接不断开(不发 RST 包、不四次握手),等待在同域名下继续用这个通道传输数据;相反的就是短连接。
*本文原创作者:shentouceshi,本文属FreeBuf原创奖励计划,未经许可禁止转载 为了提高工作效率,最近写了几款渗透测试类的工具,在这里给大家分享一下。 工具一:小米范web查找器:快速扫描端口并识别web应用 工作原理: 快速端口扫描。 对开放的端口快速识别http/https。 如果识别到为http/https,则抓取首页title、Server头,响应头。 如果端口非http/https,则通过socket方式抓取其banner信息。 功能及特性: 1、工具内置浏览器插件,另外针对开放端口
最近在了解边缘计算,发现我们经常听说的CDN也是边缘计算里的一部分。那么说到CDN,好像只知道它中文叫做内容分发网络。那么具体CDN的原理是什么?能够为用户在浏览网站时带来什么好处呢?解决这两个问题是本文的目的。
CDN全称叫做“Content Delivery Network”,中文叫内容分发网络。
建设网站域名怎么注册?这是很多新手在进行网站建设时比较疑惑,也比较迫切想要知道的一个问题。
EL 的全称是Expression Language 是一种表达式语言,该语言主要用于替换jsp页面中java的代码。
你做了一个Java Web,但你可能正苦于不知如何让别人访问,自己又懒得搭建服务器搞,“花生壳”这个软件正好适用。“花生壳”能够提供内网穿透,让所有人都能访问到你本地启动的java Web项目
很多网站都会使用Cookie。例如,Google会向客户端颁发Cookie,Baidu也会向客户端颁发Cookie。那浏览器访问Google会不会也携带上Baidu颁发的Cookie呢?或者Google能不能修改Baidu颁发的Cookie呢?
我们拥有了自己的域名并且备案了以后,都想要在自己的网站上部署自己的项目,这个时候可以把Tomcat的默认端口改为80,好处是可以直接通过域名访问项目,不用后面带上:8080端口了。但是国内的大环境下,必须域名成功备案后,才可以使用80端口哦!!!下面看修改Tomcat默认端口为80的教程:
LerxCMS最新版本后台在加载模板时存在SSRF漏洞,通过深入利用该漏洞可以通过远程加载指定的模板文件来Getshell~
本文介绍了CDN的基本原理、加速原理、回源问题以及如何进行基本的CDN测试和信息查看。通过介绍CDN的基本原理和加速原理,可以让读者对CDN有更深入的了解,同时通过介绍回源问题和基本CDN测试方法,可以帮助读者更好地使用CDN服务。
JsonP技术 介绍 JsonP 跨域 同源策略 非同源限制以下行为 常见的跨域场景 跨域的解决方案 JsonP的优缺点 Json的使用 搭建应用场景 JsonP实现手动跨域 jsonDemo1的jsp页面(发送跨域请求) jsonDemo2的controller JsonUtils工具类(需要添加相关坐标jackson-databind) 实现自动跨域(SpringMVC对JsonP的支持) jsonDemo1的jsp页面同上 jsonDemo2的controller 介绍 JsonP Jsonp
我们在使用 web 服务器 Tomcat 进行网页部署时,在不配置使用其他 IDE 时(如Eclipse),就需要自己来配置服务器的服务目录,而服务目录的配置又可以细分为若干种,本文就如何配置列举了如下几种方式。希望初学动态页面和 Tomcat 服务器的同学能够对原理有一个自己的理解。我们必须将编写好的 JSP 文件保存到 Tomcat 服务器的某个 Web 服务目录中,只有这样,远程的用户才能通过浏览器访问该 Tomcat 服务器上的 JSP 页面。人们常说的一个网站,实际上就是一个 Web 服务目录。
该JavaWeb学习笔记源自zcc同学,非常善于总结知识的一位同学,可以收藏起来慢慢学习
在goby乱扫的开始,我也是菜弟弟一样,看到什么都没感觉,直到有个师傅提醒了我:这不是Sprint boot框架么,洞这么多还拿不下?
也就是说,从浏览器访问服务器开始,到访问服务器结束,浏览器关闭为止的这段时间内容产生的多次请求和响应,合起来叫做浏览器和服务器之间的一次会话
比如端口扫描、网站的架构、敏感目录、是否存在CDN。子域名(资产收集)收集。做好信息收集工作就可以一步一步找漏洞的所在点了(学基础是时候一定要把原理学好)。
因此一般写jsp或者写项目不会在jps文件中写java代码,会采用MVC的开发模式,而Java代码会使用EL表达式和JSTL标签来代替。
============================================================================================================================
EL(Expression Language)是为了使 JSP 写起来更加简单。表达式语言的灵感来自于 ECMAScript 和 XPath 表达式语言,它提供了在 JSP 中简化表达式的方法,让 JSP 的代码更加简化。
最近在尝试用某种快速姿势刷公益src,看看效率如何,刷了一个星期,快刷吐了,有些机械,但是经验值是真的非常的足,感觉一般刷个两三个星期估计就能升级了。所以各位师傅等级高的不介意尝试此副本,感觉自己少点经验升级的大侠可以去试试,本篇文章可能比较新手化,并且本人文采不怎么好,大佬轻喷。
PentestDB 1 介绍 本项目用于提供渗透测试的辅助工具、资源文件 1.1 辅助工具 提供轻量级的易扩展的工具,可以快速编写exploit、添加漏洞验证/扫描规则、添加指纹规则、爆破规则等;包含以下功能: Exploit系统。易扩展的exploit系统,能够使用API快速编写exploit,能够批量执行exploit 子域名爆破。爆破子域名,使用域传送、DNS爆破、GoogleHacking进行子域名爆破 C段扫描。C段扫描,支持生成html格式输出文件 服务端应用识别。识别CMS类型、Web服
google hacking的简单实现 使用google中的一些语法可以提供给我们更多的信息(当然也提供给那些习惯攻击的人更多他们所想要的.),下面就来介绍一些常用的语法.
今天分享的writeup是一个非常有意思的漏洞,作者在目标网站Tomcat Examples的遗留测试示例中,发现了Cookie Example示例页面显示了主站的所有Cookie信息,可通过其实现Cookie窃取,该漏洞最终收获了四位数$
当有几个项目需要放在云服务器上,直接在nginx配置文件中创建几个虚拟主机,然后需要解析几个二级域名。这种方法比较容易实现些,把所有的java web项目放到一个Tomcat下实现访问。
JSP 技术是以 Java 语言作为脚本语言的,JSP 网页为整个服务器端的 Java 库单元提供了一个接口来服务于HTTP的应用程序。
Http协议是无状态协议,Web服务器没有短期记忆。在有些应用场景(例如:购物车)下,需要跨越多个请求识别同一个客户——客户跟踪,在Web应用中使用Cookie和Session可以做到这一点。
领取专属 10元无门槛券
手把手带您无忧上云