- 博客(103)
- 资源 (8)
- 收藏
- 关注
RSS订阅原创 [CVE-2014-8959] phpmyadmin任意文件包含漏洞分析(图文)
0x01 漏洞描述phpmyadmin是一款应用非常广泛的mysql数据库管理软件,基于PHP开发,这个漏洞有些年头了,看离别歌大佬的博文,感觉有点意思,找来实践一下。任意文件包含漏洞(CVE-2014-8959)影响版本为4.0.1-4.2.12:0x02 补丁分析在文件libraries/gis/pma_gis_factory.php中对$type_lower多加了个判断。作者...
2020-05-09 09:01:39
2025
1
原创 JAVA审计学习笔记
前言:代码审计涉及知识面较广,一方面要提高自身代码掌控的能力,另一方面要多总结一些常用的高效审计技巧。自动化的工具给出可能存在的缺陷清单,人工审计弥补工具的不足。工具准备:IDEA、Eclipse、Sublime Text、Fortify SCA(基于源代码)、Findbugs(基于字节码)工作环境:1.甲方公司审计专岗,一般项目数量都比较多,有自己定制的SDL规范扫描...
2020-04-24 08:16:40
728
原创 域渗透提权入门练习(MS14-068)
一、漏洞说明微软在2014年11月18日发布了一个紧急补丁,修复了一个影响全部版本Windows服务器的严重漏洞。该补丁用于解决Microsoft Windows Kerberos KDC漏洞(CVE-2014-6324),该漏洞允许黑客提升任意普通用户权限成为域管理员(Domain Admin)身份。也就是说,你在一台普通域用户的机器上利用这个漏洞,那么这个域用户就变成域管理员权限,然后,该域...
2020-04-09 22:32:02
537
原创 Asciinema终端SSH录屏神器使用
参考文献:https://yq.aliyun.com/articles/625453(asciinema终端录屏神器使用及过坑)参考文献:https://zhuanlan.zhihu.com/p/28423868(教你使用 asciinema 录制命令行操作)参考文献:http://www.51testing.com/html/32/n-4463232.html?nomobile=1 (Lin...
2020-04-07 20:43:26
720
转载 在个人隐私方面做得比Google好的搜索引擎——DuckDuckGo
From1:https://blog.csdn.net/inter_peng/article/details/53223455From2:https://blog.csdn.net/freeking101/article/details/83626206 作为习惯了使用Google进行资料查询的我来说,如果没有Google,真的感觉很难受。纵使找了一些可以翻墙的软件,但无奈还是经常...
2020-03-23 22:42:55
558
原创 SVN版本控制注意事项
在学生时代,经常会有两三个人共同完成一个软件的开发,每个人都在修改、添加、删除着自己本地硬盘上的代码,当他们把这些代码汇总起来时,汇总的工作需要非常小心,这只是两三人的小团队。在小团队时我们用GIT或者SVN基础功能就可以帮助我们做好版本控制,还不需要使用分支创建和合并功能。在职场中,我们经常是一边开发一边发布,迭代会很频繁,经常会有新功能开发到一半,旧功能爆出Bug要修复。这时不得不先把手上的代...
2020-03-12 19:33:47
352
原创 面试题-全排列输出其所有的排列方式的两种解法
我丢下C语言有些时间了,上一次刷题是为了2017年秋季的PAT考试。趁着周末大好时光不能浪费,做点有意义的事情,回顾一下这道经典面试题。回顾的过程不是很顺利,上午去官网下CodeBlock,官网只有最新版本17.12,折腾了一个多小时mingw编译器就是没能配好。问小伙伴要了个13.12的版本,10分钟就配好了。说到CodeBlock版本,我想起了大一新生那会我带了台很老旧的笔记本去学校,有多...
2020-03-01 16:36:41
504
1
原创 NGINX为什么可以做到高并发(二)
在上一篇我们简单介绍了NGINX使用的多路复用I/O模型,这一优秀的设计让NGINX在高并发上表现得非常出色。优秀的设计向来是有迹可循的,这些I/O模型伴随着计算机前辈们不断优化网络效率问题而产生,这是一个推陈出新的过程。我们将横向对比,通过进一步学习另外几种模型,加深对多路复用I/O模型的理解。 那话题就变成Unix的5种I/O模型介绍,但是呢,关于这个话题的博客已经多如牛毛,我得写...
2020-03-01 01:34:49
1600
原创 Nginx为什么可以做到高并发(一)
多线程让程序可以同时做多个工作,但是高并发和多线程没有必然联系,并发数是同时进行的任务数,并行数是同时工作的资源数量(线程),通过合理调度任务的不同阶段,让几个CPU可以支持上万个用户并发请求成为可能。但是高并发的情况下,假如为每个任务创建一个进程或线程,这个开销非常大,所以说高并发和多线程没有必然联系。 刚才说到通过合理调度任务的不同阶段可以实现高并发,...
2020-02-29 00:54:08
1631
原创 《MySQL技术内幕InnoDB存储引擎》 随手记(三)
第5章 索引与算法 索引是应用程序设计和开发的一个重要方面, 索引过多或过少都不是好的设计,如何设计数据库达到一个平衡点是门艺术。 实际生产中,开发人员总是事后才想起添加索引,这是错误的开发模式。 DBA往往不了解业务,事后想添加索引需要耗费时间去监控大量的SQL语句, 在这种现实背景下,开发人员最应当作出改变,去了解索引,不仅知道数据的使用,...
2020-02-27 23:08:13
210
原创 需提升MySQL设计优化能力
过去我对MySQL不够重视,仅停留在应用阶段,对原理和优化不求甚解,这种拿来主义在数据库引擎和索引这块尤为明显,是眼界限制了我的想法。幸运的是得到了2位前辈的及时指引,我感觉距离成为一名高水平的研发人员又更进一步。这两天经过几番查阅资料,这个知识盲区正在被照亮,但是这仅停留在理论知识,还需要更加开阔的眼界看问题,还需要更多的实践在实验中验证想法,最终在实践中完成知识的吸收内化。数...
2020-02-27 00:43:02
336
原创 《互联网安全高级指南》 随手记(一)
理论篇 ##### 第一章 安全大环境与背景 谈企业安全得有大视野,不然没法讲,虽然从整体环境入手并系统讲解,但是后面章节细化后,视野会越收越窄。 #1.切入“企业安全”的视角 企业安全是什么? 安全行业中“二进制”和“脚本”流派是主力军,但是这两流派都属于微观...
2020-02-19 23:16:18
301
原创 《互联网安全高级指南》 随手记(四)
技术篇 ##### 第九章 漏洞扫描 任何规模稍大的企业,日常安全工作要想自动化少不了自建扫描平台。 安全运维日常工作最重要的3个事情,漏洞扫描、入侵感知和应急响应。 #1.概述 漏洞扫描会在业务上线前或周期例行扫描,是指用扫描器发现漏洞的过程, 黑客利用漏洞会降...
2020-02-19 23:06:22
222
原创 MySQL5.7.28 Windows X64(ZIP解压版本)安装教程
1.下载mysql 5.7.28(win64)压缩包 官网下载页面,https://dev.mysql.com/downloads/mysql/5.7.html 2.准备好mysql-home目录 在C盘根目录下新建mysql文件夹, 将压缩包中bin等文件夹复制到mysql文件夹此处。 bin:命令可执行文件,例如mysql、...
2019-12-09 20:05:59
3294
1
原创 老版本的hadoop去哪里下载?全版本都有 hadoop-2.6.0.tar.gz hadoop-2.7.0.tar.gz hadoop-2.8.0.tar.gz
近几天在学习《ES集成Hadoop最佳实践》书本给出的下载地址(http://ftp.wayne.edu/apache/hadoop/common/hadoop-2.6.0/hadoop-2.6.0.tar.gz)但是,书本给出的下载地址失效了,在网上搜寻了一番,发现可以在https://archive.apache.org/dist/hadoop/common/ 找到全版本下载。这里做个...
2019-11-24 14:22:24
1681
转载 HBase学习
《HBase 不睡觉》第一章 - 初识 HBase《HBase 不睡觉书》是一本让人看了不会睡着的HBase技术书籍,写的非常不错,为了加深记忆,决定把书中重要的部分整理成读书笔记,便于后期查阅,同时希望为初学 HBase 的同学带来一些帮助。目录第一章 - 初识 HBase 第二章 - 让 HBase 跑起来 第三章 - HBase 基本操作 第四章 - 客户端 API ...
2019-10-11 23:19:31
460
1
原创 WAF技术及应用读书笔记(五)网页防篡改
第五章 网页防篡改 有WAF保护仍不足够,攻击者利用各种漏洞配合攻击Web服务器仍将导致Web网站的网页被篡改, 5.1 网页防篡改的危害 常见的篡改有钓鱼隐私信息,网页挂恶意木马等。 5.2 攻击者常用的网页篡改手法 SQL注入,获取敏感信息,挂Shell 直接在原网页,插入恶意HTML ...
2019-10-06 04:20:39
855
原创 WAF技术及应用读书笔记(四)Web防护
草稿内容.....第四章 Web防护 Web防护表示主要是对Web应用提供保护,当然也包括对Web服务器的安全防护。 重点防护常见的攻击,如何检测并防御弱密码和泄密等行为。 4.1 弱密码 4.1.1 弱密码攻击的特点和具体方法。 攻击的特点有三:危害大,易利用,修补难。 具体密码攻击方法:1.社工欺骗 ...
2019-10-04 04:01:41
527
1
原创 WAF技术及应用读书笔记(三)HTTP基础
第三章 HTTP校验和访问控制 3.1 HTTP 熟练掌握HTTP知识才能写出各种匹配规则实现访问控制。 3.1.1 HTTP简介 超文本传输协议,用于服务器和客户端打交道,交换信息。 3.1.2 统一资源定位符 表示从互联网取得资源的路径和方法,俗称网址。 <协...
2019-10-03 05:48:14
472
原创 WAF技术及应用读书笔记(二)基础知识
第二章 Web应用防火墙 理解WAF概念、功能、作用、产品性能指标、防护原理。 2.1 WAF简介 应用防火墙设备主要通过一系列http/https安全策略给web应用建立保护。 2.2 WAF的功能及特点 补充了防火墙、IPS设备对Web应用防护能力不足的问题。 2.2.1 WAF的功能 ...
2019-10-03 03:59:23
846
原创 WAF技术及应用读书笔记(一)安全概述
第一章 Web系统安全概述 了解Web系统安全现状,理解Web网站系统结构和Web安全漏洞分析。 1.1 Web系统安全现状 现状堪忧,一大半处于危险状态中。 1.2 Web网站系统结构 1.2.1 静态网站 一般不具备交互功能,如登录等。 1.2.2 动态网站 ...
2019-10-03 03:58:20
493
1
原创 SVN Server利用svnsync和hooks实时同步单向备份版本库及问题解答
前言: 在项目管理中,计划是每周进行一次增量备份,但因为人手不足等种种原因,备份工作总被忽视。项目越进行到后期越是害怕SVN版本服务器宕机。今天是休息日,我决定抽出小半天个人休息时间把热机备份搞起来,从此宕机无忧,结果早上10点搞到现在。 在进行热机备份前,先介绍一下A、B两台主机的情况。A主机为业务繁忙的生产机,搭配Server2008R2操作系统,安装有SVN服务版4...
2019-09-28 19:16:02
2162
原创 Linux CentOS7安装Redis &&指定redis.conf配置文件启动 &&配置Redis开机自启动&& 带日志输出
一、安装Redis1-1:下载redis源码1.7MB【wget http://download.redis.io/releases/redis-4.0.6.tar.gz】注意:若报错提示wget命令找不到,需要 yum install wget -y移动压缩包到/home/redis/ 目录下(若没有redis目录,需要新建)【mv redis-4.0.6.tar.g...
2019-09-20 02:02:18
31572
5
原创 Linux远程桌面连接,Xmanager 5实现远程调用CentOS7图形化界面
先说效果,可以实现在 Centos7.6 上的远程桌面操作。 流畅度和Windows远程桌面差不多。背景: 大家都知道Centos的图形化比较鸡肋,为什么要弄图形化呢?在虚拟机管控里,想快速查看某个名字对应虚拟机的UUID,图形化操作比较方便。虚拟机采用DHCP走网桥获取到IP,但是做实验时我们不知道虚拟机具体获得了那个IP,因为...
2019-09-17 18:02:10
3928
3
转载 ZooKeeper入门实战教程(一)-介绍与核心概念
转载一篇非常用心的博客目录:zookeeper介绍与核心概念 安装和使用 ZooKeeper分布式锁实现 ZooKeeper框架Curator分布式锁实现及源代码分析 zookeeper 开发实战(java客户端)本章是后续学习的基石,只有充分理解了分布式系统的概念和面临的问题,以及ZooKeeper内部的概念,才能懂得ZooKeeper是如何对分布式系统进行协调,为后续学习打下坚实...
2019-09-16 23:36:11
1533
原创 网络防御系统之WEB应用防火墙-WAF概念和功能介绍
一、WAF产生的背景 随着B/S架构的广泛应用,WEB应用的功能越来越丰富,也就意味着蕴含着越来越有价值的信息。于是WEB应用成为了黑客主要的攻击目标(第五层应用层)。传统防火墙无法解析HTTP应用层的细节,防火墙只是在第三层(网络层),对规则的过滤过于死板,无法为WEB应用提供足够的防护(纵深防御)。于是WAF诞生了。 WAF(Web Application Fir...
2019-09-15 21:57:55
5846
2
原创 Linux命令操作利器Shell入门基础
一、Shell的基础概念 shell 简介: shell的家族有好多成员,sh是最古老的shell, bash是目前最流行的shell。 shell 对于运维人员的重要性: 如果让一个linux运维工程师去机房管理上百台机器, 就必须使用到自动化技术(通常是用Python或Shell), ...
2019-09-14 21:52:46
2000
原创 Hadoop hadoop配置文件yarn-site.xml、mapred-site.xml、hdfs-site.xml 、core-site.xml、hadoop-env.cmd详解
前言:配置hadoop,主要是配置core-site.xml,hdfs-site.xml,mapred-site.xml三个配置文件。上网找的配置可能因为各个hadoop版本不同,导致无法生效,这里需要经验积累。参数繁多,不用过多纠结每个参数的含义,先照搬网上的参数,用多几次,总会出现bug,需要反复调整的参数就是常用参数。±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±±...
2019-09-13 15:19:51
6105
原创 Hadoop进阶篇(安装配置)
Hadoop进阶篇(安装配置)草稿。。。。。。。windows平台上搭建hadoop2.7.4准备工作1:安装好jdk1.8,配置好java的环境变量,JAVA_HOME, 路径 :java路径, 比如 E:\Java\jdk1.8.0_191path中,最前面加上%JAVA_HOME%\bin注意javahome的program files用Progra~1代替,避免出现空格。准备...
2019-09-13 00:13:54
1371
原创 Redis之基础入门(一)
Redis基础入门请你简单介绍一下Redis是什么。答:Redis本质上是一个Key-Value类型的内存数据库,是已知性能最快的Key-Value DB,可达每秒十万次操作。是非关系型的数据库(NoSql),区别与Mysql关系型数据库。适合的场景主要局限在较小数据量的高性能操作和运算上。请你对Redis和Mysql做一下对比。答:前者是非关系型数据库,后者是关系型数据库。...
2019-09-12 00:31:40
3377
原创 JAVA 练习题 2019-9-7AM
2019年9月7日练习题抽象方法和虚方法的区别?答:抽象方法和虚方法的区别在于:虚拟方法有一个实现部分,即方法体,并为派生类提供了覆盖该方法的选项,相反,抽象方法没有提供实现部分,强制派生类覆盖方法(否则 派生类不能成为具体类);~abstract方法只能在抽象类中声明,虚方法则不是;~abstract方法必须在派生类中重写,而virtual则不必;~abstract方法不能声...
2019-09-10 23:07:58
1119
原创 Kafka基础之入门测试 (1)
(Kafka基础篇)Kafka 简单问答 1Kafka之前就有很多优秀的消息队列系统了,比如ActiveMQ、RabbitMQ等。但传统的消息系统一般吞吐量都比较低,在大数据应用中,有海量的数据需要处理,对消息的吞吐量要求很高,传统的消息队列系统无法胜任,这时候Kafka就出现了。Kafka可以起到两个作用:作用一、降低系统组网复杂度。作用二、降低编程复杂度,各个子系统不在是相互协商接...
2019-09-09 23:18:46
1779
原创 Hadoop基础篇(理论指导)
Hadoop基础之入门简介(1)大数据的概念1.多机并发进行处理数据2.大数据的核心是样本=总体为什么需要大数据?答:样本抽查分析出来的结果不够可靠,我们希望可以从业务的海量数据中要提取出样本数据。大数据几个特性:大量性:数据G级别快速性:数据变化快多样性:结构多样易变性:数据流波动准确性:数据分析的结果可靠复杂性:数据的各种抽取操作复杂大数据的关键技术 1....
2019-09-08 22:00:33
3075
原创 JAVA编程自我规约
本文只写目前自己能一直坚持做的规范,持续更新。(JAVA编程自我规约) (一)命名风格1.禁止用下划线开始或结束命名。2.禁止用拼音与英文混合的方式,不能使用中文。3.强制用大驼峰法命名类名,每一个单词首字母均大写,如TcpService。4.强制用小驼峰法命名方法名、参数名、成员变量、局部变量,如getMax。5.强制大写常量名,单词间用下划线隔开不要嫌名字长。6...
2019-09-05 20:37:02
1193
转载 士成兄的面试经历(放弃5家offer终去了华为)
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...
2019-09-05 20:28:24
1620
原创 Centos7下使用mysql离线安装包rpm安装mysql5.7
-- 参考文献:https://www.jb51.net/article/162793.htm前言网上关于如何在Centos 7上安装mysql的教程已有很多,为什么我还要重复写一篇安装mysql的教程呢?主要有以下三个原因。原因一:网上大部分的教程是关于yum 方式联网安装。给不能联网或者网速不佳的内网生产环境带来许多不便,本教程采用rpm离线安装的方式安装mysql。原因二:...
2019-09-05 14:45:50
24937
6
原创 SVN备份还原教程(windows下DUMP导出SVN库、导入SVN库)
环境操作系统:Windows2008 R2,64位SVN Server版本:VisualSVN Server 4.0仓库目录地址备份文件目录地址一、目的如何将c:\Repositories下的各个库备份到c:\svnbackup?如何将c:\ svnbackup下各个库的备份恢复到 svn库 ?二、备份SVN库将svn库备份导出到c:\svnbak,生成dump文件。...
2019-09-02 21:05:17
8349
原创 mysql优化【MySQL慢查询日志总结】
遇到啥问题:前端反应个别页面需要3-6秒才能有反应。消息反馈给JAVA开发组,发现各模块单元测试均没问题,只是组合起来出现了问题,为了找到慢的原因,把优化任务落实。我们需要使用到 MySQL慢查询日志功能。这个功能默认是关闭的,通过开启慢查询日志,可以让MySQL记录下查询超过指定时间的语句,再通过分析定位问题瓶颈,优化查询提高数据库系统的性能。正文开始:实验环境:centos 7....
2019-08-28 14:46:38
7167
原创 SVN强制编写注释才能提交,提交中不允许删除文件操作。
-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+需求:有些文件被莫名删除,导致项目运行不起来,如果删除文件提交时,在提交备注里写清楚删除了那些文件还好点,不然检查这些东西,很是影响开发效率。此脚本在 svn Server 4.0.2(windows版本)上测试通过。-+...
2019-08-11 16:10:35
11250
5
原创 JAVA 练习题 2019-8-3AM
JAVA 练习题 2019-8-3AM第六题: 有一个". java"为后缀的源文件,哪些说法是正确的?答:只能有一个与文件名相同的类,可以包含其他类。一个java文件可以包含多个java类,但是只能包含一个public外部类,这个外部的public类必须和.java的文件名一致,包括大小写。一旦考虑到内部类,就不是一个public类了。第七题: 那两种集合实现了 Collect...
2019-08-04 20:11:57
2932
JAVA带密码的压缩.zip
2019-11-27
ACM在线评测系统 NYOJ 题库 离线看题网页版 nyoj
2019-10-04
白帽子讲Web安全高清完整PDF版 纪念版 黑客攻防教程 黑帽子白帽子 网络信息安全 Web网站安全技术应用书籍 web安全深度剖析渗透测试
2019-03-25
电脑压力测试软件多款烤鸡,cpu多线程全部满载,gpu满载,一键满载
2018-02-05
httpwatch professional 经典收藏 7.0中文 支持ie和火狐
2018-02-05
.net reflector 7 绿色版破解版 C# .Net 经典收藏 反编译工具
2018-02-05
(选择题作业)东北师范大学操作系统作业
2017-12-29
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人