置顶推荐

跟铁匠来一起学网络安全

跟铁匠来一起学网络安全

前言 铁匠运维网 团队决定整理一套入门的基础知识,希望喜欢网络安全的朋友们更快的熟悉并掌握网络安全,这里没有太多理论,有的只是干货!以下是学习路线,文章会持续更新(欢迎收藏哟^_^),在学习的过程中遇到任何问题,可以加我们的QQ群:375650204!网络安全,一直是我最喜欢的一门技术, 这里呢,我把我平时,整理出来的笔记,文档,分类好发表出来。方便来查阅,有问题的,可以随时联系我。一起为梦想奋斗

1年前 (2016-09-02) 浏览: 1213 评论: 0
跟铁匠来一起学Linux

跟铁匠来一起学Linux

题记     铁匠运维网 团队决定整理一套入门的基础知识,希望喜欢Linux的朋友们更快的熟悉并掌握Linux,这里没有太多理论,有的只是干货!以下是学习路线,文章会持续更新(欢迎收藏哟^_^),在学习的过程中遇到任何问题,可以加我们的QQ群:375650204! 写给那些想成为Linux高手的人们:http://www.tiejiang.org/6725.html 一:下载你需要的ISO安装镜像

1年前 (2016-09-02) 浏览: 1152 评论: 0

网络安全工程师 + 更多

14
以CVE-2016-6516为例深入分析内核Double Fetch型漏洞利用方法

以CVE-2016-6516为例深入分析内核Double Fetch型漏洞利用方法

今年安全顶会USENIX Security 2017上的一篇文章[1]将内核double fetch型漏洞带入大众视野。Double fetch型漏洞属于竞争类漏洞,能造成内核越界访问或缓冲区溢出,从而导致内核崩溃、提权、信息泄露等严重后果。文章[1]采用静态模式匹配的方法从Linux内核中发掘了6个未知的double fetch型漏洞并提出防御策略,但并没有对其利用方法做详细描述。本文针对dou

7
安全专家发现5款最流行编程语言中的漏洞

安全专家发现5款最流行编程语言中的漏洞

没有不漏的锅,如果底层的编程语言如果出现问题,顶层的应用程序还能幸免于难吗? 这周在 Black Hat Europe 2017 安全会议上,一名安全研究员公开了几款目前非常流行的解释型编程语言中出现的漏洞。这些编程语言上存在的问题,可能让运用这些语言开发的应用程序因此也很容易遭受攻击。  这项研究的作者是 IOActive 的高级安全顾问 Fernando Arnaboldi。这位专家表示他使用

34
某音乐类App评论相关API的分析及SQL注入尝试

某音乐类App评论相关API的分析及SQL注入尝试

关键字:APIfen、工具使用、sql注入 涉及工具/包:Fiddler、Burpsuite、Js2Py、Closure Compiler、selenium、phantomjs、sqlmap 摘要: 记录分析某音乐类App评论相关API的过程,以及一些工具/包的基本使用(部分工具对最后尝试没有影响,但在其它场景或许有用),最后结合sqlmap进行注入尝试。本文对于sql注入没有深入展开(水平不够…

29
学会挖洞系列之JSON Hijacking漏洞挖掘

学会挖洞系列之JSON Hijacking漏洞挖掘

现在越来越多的大公司开始建立自己的安全应急响应中心,以用来发现并修复自己的漏洞,接下来我们就来说一下如何去挖这些src的漏洞。 这次介绍的是一个比较简单的JSON Hijacking漏洞的挖掘,通过学习这篇文章我们可以了解到Hi jacking漏洞的原理,如何挖掘该漏洞,挖掘过程中的一些小技巧以及修复此类漏洞的一些方法。首先我们要先了解一些JSON Hijacking漏洞的相关知识点。 1、jso

14
如何让你的服务屏蔽Shodan扫描

如何让你的服务屏蔽Shodan扫描

1. 前言 在互联网中,充斥着各种各样的网络设备,shodan等搜索引擎提供给了我们一个接口,让我们可以在输入一些过滤条件就可以检索出网络中相关的设备。 对于我们的一些可能有脆弱性或者比较隐私的服务,为了抵御hacker通过shodan对其进行快速渗透,我们必然有这样的想法:能否让类似shodan这些搜索引擎没法扫描到我,让我这个设备在shodan的搜索结果中不出现,但同时不影响正常用户的访问?

17
2345联盟通过流氓软件推广挖矿工具, 众多用户电脑沦为“肉鸡”

2345联盟通过流氓软件推广挖矿工具, 众多用户电脑沦为“肉鸡”

一、 概述 12月1日,”火绒安全实验室”发出警报,一款名为”云计算”的软件,正通过各种流氓渠道大肆推广,该软件除了把用户电脑当”肉鸡”进行挖矿外,没有任何其他功能,是一种纯粹的挖矿工具(生产”零币”)。而被植入”云计算”软件的电脑,则沦为挖矿的”肉鸡”,大量系统资源被侵占,出现速度变慢、发热等异常现象。 “云计算”软件由2345公司旗下的”2345王牌技术员联盟”进行推广,众多流氓软件通过该”联

16
Java反序列化漏洞从无到有

Java反序列化漏洞从无到有

之前听别人讲解反序列化的漏洞听的晕乎乎的,刚脆就趁着周末研究一下反序列化漏洞,并且搭建实战环境实际操作了一把,明白了之后发现之前听的迷糊更多是因为对于反序列漏洞思路不够清晰,明白了反序列的流程之后,反序列化漏洞很好理解。 下面的内容,我将详细论诉反序列化漏洞的利用思路。 序列化的过程 这里梳理一下正常的序列化的流程,将一个类进行序列化存储成二进制文件,然后再将该文件进行反序列化生成对象。 首先新建

36
如何恢复受损伤的硬盘?

如何恢复受损伤的硬盘?

使用修复软件、找专业硬盘维修厂商,没有那么难。 我们都有硬盘受损的经历。比如,多次强制断电、读写时没有正常插拔、有强烈摔碰、或者被雷劈了。 你在用电脑读写硬盘时突然拔出,有可能造成分区表损坏。所以一般来讲,用户都知道推出硬盘时,要点击电脑右键“安全弹出”。从纯技术角度看,如果异常断电,且时间恰好可能会导致磁盘磁头在写完数据后回摆时,不能正常归位,多次发生会导致磁头异常,确实存在磁盘无法正常读写的概

系统运维工程师 + 更多

IT运维笔记:操卖白粉的心,赚卖白菜的钱!

IT运维笔记:操卖白粉的心,赚卖白菜的钱!

2017-12-13 27 ℃  0
 0 

本文故事场景纯属虚构,人物皆为化名,除此之外都是实在干货。 本文以叙事形式浓缩了很多运维场景、技术与总结。作者探讨了:项目管理、云计算架构、高效会议管理、网络安全管理、运维自动化架构设计、项目团队管理、两地三中心架构、人员管理、运维架构体系规划、运维感悟等等与运维密切相关的典型案例及场景。 项目管理及云计算架构 今天周五,多云雾霾,我到了单位,接杯水瞅了瞅窗外,云遮雾罩,有种做梦的感觉,不知为啥眼

LVS介绍及工作原理图解

LVS介绍及工作原理图解

  一、LVS简介 LVS是Linux Virtual Server的简称,也就是Linux虚拟服务器,是一个由章文嵩博士发起的自由软件项目,官方站点是:http://www.linuxvirtualserver.org 现在LVS已经是Linux标准内核的一部分,在Linux2.4内核以前,使用LVS时必须重新编译内核以支持LVS功能模块,但是从Linux2.4内核心之后,已经完全内置

如何在Linux系统中通过用户组来管理用户

如何在Linux系统中通过用户组来管理用户

本教程可以了解如何通过用户组和访问控制表(ACL)来管理用户。 当你需要管理一台容纳多个用户的 Linux 机器时,比起一些基本的用户管理工具所提供的方法,有时候你需要对这些用户采取更多的用户权限管理方式。特别是当你要管理某些用户的权限时,这个想法尤为重要。比如说,你有一个目录,某个用户组中的用户可以通过读和写的权限访问这个目录,而其他用户组中的用户对这个目录只有读的权限。在 Linux 中,这是

实现基于LVS负载均衡集群的电商网站架构

实现基于LVS负载均衡集群的电商网站架构

背景 随着业务的发展,网站的访问量越来越大,网站访问量已经从原来的1000QPS,变为3000QPS,网站已经不堪重负,响应缓慢,面对此场景,单纯靠单台LNMP的架构已经无法承载更多的用户访问,此时需要用负载均衡技术,对网站容量进行扩充,来解决承载的问题。scale out? scale up? 技术说明 集群(cluster)技术是一种较新的技术,通过集群技术,可以在付出较低成本的情况下获得在性

Nginx搭建高可用,高并发的WCF集群教程

Nginx搭建高可用,高并发的WCF集群教程

很多情况下基于wcf的复杂均衡都首选zookeeper,这样可以拥有更好的控制粒度,但zk对C# 不大友好,实现起来相对来说比较麻烦,实际情况下,如果你的负载机制粒度很粗糙的话,优先使用nginx就可以搞定,既可以实现复杂均衡,又可以实现双机热备,以最小的代码量实现我们的业务,下面具体分享下。 一:准备的材料 1. 话不多说,一图胜千言,图中的服务器都是采用vmware虚拟化,如下图: 三台win

kafka 、 zookeeper 集群(二)

kafka 、 zookeeper 集群(二)

一、zookeeper集群安装 要求: zookeeper的 jdk 要 6以上 zookeeper生产环境版本为 3.4.8 1.首先编辑/etc/hosts 在5台都加入: 10.0.50.10 zk-kafka01 10.0.50.11 zk-kafka02 10.0.50.12 zk-kafka03 10.0.50.13 zk-kafka04 10.0.50.14 zk-kafka05 2

数据存储管理员 + 更多

10
MySQL数据库root账户密码忘记两种处理方法

MySQL数据库root账户密码忘记两种处理方法

方法1: 1.停止MySQL服务 # kill `cat /var/run/mysqld/mysqld.pid` 或者 # pkill mysqld 2.创建一个密码赋值语句的文本文件 # vi mysql-init ALTER USER 'root'@'localhost' IDENTIFIED BY 'MyNewPass!6'; 在加载授权表之前重置密码。 3.使用—init-file选项启动

34
Redis 和 Memcached 的区别大吗?只选一个做缓存我们该选哪个?

Redis 和 Memcached 的区别大吗?只选一个做缓存我们该选哪个?

了解过两者的同学有那么个大致的印象: 1、redis与memcached相比,比仅支持简单的key-value数据类型,同时还提供list,set,zset,hash等数据结构的存储; 2、redis支持数据的备份,即master-slave模式的数据备份; 3、redis支持数据的持久化,可以将内存中的数据保持在磁盘中,重启的时候可以再次加载进行使用等等。 这似乎看起来redis比memcach

24
MongoDB数据库入门的5个简单步骤

MongoDB数据库入门的5个简单步骤

对于希望使用MongoDB的组织,学习如何可以压倒:哪里,你是怎么开始使用这个强大的数据库?随着数据库的普及,IT领导者需要清楚地了解其基础以及更好的使用技巧。 对于希望使用分布式文件存储的数据库MongoDB的组织来说,如何开始使用这个强大的数据库是其所面临的挑战。随着数据库的普及,IT领导者需要对其基础有一个清晰的了解以及更好的使用技巧。 以下是确保成功应用MongoDB数据库的五个简单步骤。

49
别不相信 大数据已经侵入到你生活的方方面面

别不相信 大数据已经侵入到你生活的方方面面

大数据这个词,几乎每天都会听到。不过谈到这个词的,要么是科技公司介绍新技术、要么是专家学者介绍未来发展趋势,对于普通人来说,似乎在我们的印象中只是“很大一堆数据”而已,与我们的生活似乎没有太大的关系,该上班上班、该吃饭吃饭、该逛街逛街、该旅行旅行,似乎这种看不见摸不着的东西,距离我们还很遥远。 其实对我们普通人来说,大数据并不只是简单的“很大一堆数据”,如果这些数据被充分分析、利用,那么就可以通过

37
redis数据库安全设置

redis数据库安全设置

0x01 redis 实际应用价值,其实跟memcached的功用本质上差不太多,只是redis可持久存储,数据类型支持也比较丰富,能更好的应对更复杂的业务: 性能强悍 并发超十万 数据类型丰富 支持主从复制 支持持久化存储 ... 0x02 安装配置 redis: # wget http://download.redis.io/releases/redis-4.0.1.tar.gz # tar

十分钟看懂MongoDB攻防实战

十分钟看懂MongoDB攻防实战

2017-09-28 73 ℃
 0 

开发人员如今在越来越多地使用NoSQL数据库来应对各种应用。与SQL注入相比,NoSQL攻击方法知之甚少,不太常见。本文重点介绍针对于NoSQL数据库的攻击,通过MongoDB漏洞攻击Web应用程序。 初识 MongoDB 在介绍 MongoDB 漏洞之前,我们应该先了解这个数据库。在各大知名的web项目中都有应用 NoSQL 数据库,其中 MongoDB 是时下最流行的NoSQL数据库。此外,M

项目开发工程师 + 更多

2017-12-12 22 ℃   0
 0 

C语言是编程语言的祖母,但是随着一代一代的编程语言长大,所以祖母也是会拍在沙滩上的,很多小小伙伴应该都会学过或者了解C语言,因为软件系的会教嘛,但是Python我想很多人都没学过,下面小编给大家介绍下,C语言和Python一起混合编程会产生什么不一样的火花吧! 在Mac OS X 下的编译命令同上 产生可执行文件后,直接运行,结果为输出 1 2 Hello Python! Python库函数PyR

如何用Python编写信息收集之子域名收集脚本

0×00 前言 任务: 使用脚本借助搜索引擎搜集网站子域名信息。 准备工具: python安装包、pip、http请求库:requests库、正则库:re库。 子域名是相对于网站的主域名的。比如百度的主域名为:baidu.com,这是一个顶级域名,而在顶级域名前由"."隔开加上不同的字符,比如zhidao.baidu.com,那么这就是一个二级域名,同理,继续扩

PowerShell 修复 Robocopy的权限问题

最近豆子公司在转移文件服务器,大概有80T的文件需要传送到云端。豆子直接使用了robocopy进行拷贝。因为历史原因,有些文件夹的权限设置比较奇葩,导致豆子的账户也没有权限去访问,这样的结果就是Robocopy里面可能会有几十百甚至上千个文件夹因为权限问题而无法拷贝。 robocopy 命令例子 robocopy c:\source  d:\destination /E /w:30 /r:3 /l

90%程序员面试都用得上的索引优化

多关于索引,分为以下几点来讲解(技术文): 索引的概述(什么是索引,索引的优缺点) 索引的基本使用(创建索引) 索引的基本原理(面试重点) 索引的数据结构(B树,hash) 创建索引的原则(重中之重,面试必问!敬请收藏!) 百万级别或以上的数据如何删除 一、索引的概述 1)什么是索引? 索引是一种特殊的文件(InnoDB数据表上的索引是表空间的一个组成部分),它们包含着对数据表里所有记录的引用指针

PHP代码审计片段讲解(入门代码审计、CTF必备)

关于本项目 代码审计对于很多安全圈的新人来说,一直是一件头疼的事情,也想跟着大牛们直接操刀审计CMS?却处处碰壁: 函数看不懂! 漏洞原理不知道! PHP特性更不知! 那还怎么愉快审计? 不如化繁为简,跟着本项目先搞懂PHP中大多敏感函数与各类特性,再逐渐增加难度,直到可以吊打各类CMS~ 本项目讲解基于多道CTF题,玩CTF的WEB狗也不要错过(^-^)V 题的源码在Github: bowu (

互联网最新资讯 + 更多

2017网络安全标准论坛正式颁布《网站安全认证技术规范》

2017网络安全标准论坛正式颁布《网站安全认证技术规范》


1天前   浏览: 6

2017网络安全标准论坛暨公安部信息安全标准宣贯培训会于12月15日在上海新锦江大酒店举行。本届论坛主题为“网络安全标准与关键信息基础设施保护”,由公安部网络安全保卫局指导,公安部第三研究所(国家网络与信息系统安全产品质量监督检验中心)、上海市信息安全行业协会主办,上海嘉韦思信息技术有限公司承办。会议邀请了信息安全主管部门的领导,行业信息化建设的负责人,大型央企、信息安全领域的权威专家和学者,以及

线下沙龙 + 更多

智能引力 | FIT 2018互联网安全创新大会火热报名

智能引力 | FIT 2018互联网安全创新大会火热报名

人工智能自1956年被几位先驱们首次提出后,历经跌宕起伏,近年来再次迎来大爆发,一场由人工智能带来的产业革命正在到来。当奇点将至,信息安全和人工智能究竟会碰撞出怎样的火花?加持人工智能的安全防御体系,能否提前预知危险,真正做到将威胁扼杀在摇篮中?未来就是现在!FIT 2018互联网安全创新大会,来和我们一起感受「智能引力」。 大会时间:2017年12月14日-15日 大会地点:上海世博园 加空间

 2017-11-19
 49
 0 
智能时代 软件赋能——2017中国软件技术大会

智能时代 软件赋能——2017中国软件技术大会

作为国内顶级软件技术盛会之一,2017中国软件技术大会即将于2017年12月8-9日在北京· 国家会议中心拉开帷幕。 大会主题:智能时代 软件赋能 大会亮点:50多场技术演讲,汇集知名技术大咖、行业企业技术专家、咨询师,站在新兴前沿领域,分享最新技术&感悟实践 、探讨软件赋能、软件创新; 参会群体:1000+软件业技术精英;国内外金融、电信、政府等各行业领域的信息技术部经理、技术总监、开发

 2017-11-9
 23
 0 
2017 Gdevops全球敏捷运维峰会将于广州收官

2017 Gdevops全球敏捷运维峰会将于广州收官

活动传送门:http://gdevops.com/ 去年金秋,Gdevops全球敏捷运维峰会首度登陆广州,当时门票提前几周收盘,场面异常火爆。2017年11月24日,承载着一众运维人的期望,Gdevops全球敏捷运维峰会再次来到了广州,伴着入秋的丝丝凉意,希望给大家带来更多精彩的技术干货分享。Gdevops广州站将继续植根敏捷运维、数据库、架构和运维管理四大板块,深入运维脉络,以最实打实的内容,解

 2017-11-7
 32
 0 

合作伙伴

切换注册

登录

忘记密码 ?

切换登录

注册

扫一扫二维码分享