1.场景描述 安全部通知:nginx存在"整数溢出漏洞",经测试2017年4月21日之后的版本无问题,将openresty升级到最新版本,Nginx升级到1.13.2之后的版本. 软件老王需要对项目使用的nginx进行升级,为了最小化影响,采用不停服务对nginx进行热升级. 2. 解决方案 nginx拟升级到17.2,2019年7月的版本. 2.1 整体备份 [root@ruanjianlaowang ~]# whereis nginx nginx: /usr/local/nginx…

需求: nginx上将特定请求拒绝,并返回特定值. 解决办法: 使用lua脚本,实现效果. 操作步骤: 安装Luajit环境 重新编译nginx(目标机器上nginx -V 配置一致,并新增两个模块ngx_devel_kit,lua-nginx-module) 热升级(不中断服务)或重启 配置文件添加lua脚本: #匹配请求体里的 hello=world时返回此变量和值 location /hello { rewrite_by_lua_block { ngx.req.read_body() lo…

原文:https://blog.csdn.net/gupao123456/article/details/80766154  MySQL密码重置思路MySQL的密码是存放在user表里面的,修改密码其实就是修改表中记录. 重置的思路是是想办法不用密码进入系统,然后用数据库命令修改表user中的密码记录. 查了下,MySQL5系统在网上建议的方法是以--skip-grant-tables参数启动mysql服务,该参数指示在启动时不加载授权表,因此启动成功后root用户可以空密码登陆 mysqld…

phpstudy最新版本nginx 默认存在任意文件解析漏洞 一.漏洞描述 phpStudy是一个PHP调试环境的程序集成包.该程序包集成最新的Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便.好用的PHP调试环境.该程序不仅包括PHP调试环境,还包括了开发工具.开发手册等 二.影响版本 8.1.0.4 8.1.0.7 三.漏洞复现 需要准备图片马…

nginx目录穿越漏洞复现 一.漏洞描述 Nginx在配置别名(Alias)的时候,如果忘记加/,将造成一个目录穿越漏洞. 二.漏洞原理 1. 修改nginx.conf,在如下图位置添加如下配置 在如下配置中设置目录别名时/files配置为/home/的别名,那么当我们访问/files../时,nginx实际处理的路径时/home/../,从而实现了穿越目录. 三.漏洞环境搭建和复现 1. 在ubuntu 16.04安装nginx 1.1安装nginx依赖库 1.1.1安装gcc g++的依赖库…

nginx目录遍历漏洞复现 一.漏洞描述 Nginx的目录遍历与apache一样,属于配置方面的问题,错误的配置可导致目录遍历与源码泄露. 二.漏洞原理 1. 修改nginx.conf,在如下图位置添加autoindex on 三.漏洞环境搭建和复现 1. 在ubuntu 16.04安装nginx 1.1安装nginx依赖库 1.1.1安装gcc g++的依赖库 ubuntu平台可以使用如下命令: apt-get install build-essential apt-get install l…

WebAPI是建立在MVC和WCF的基础上的,原来微软老是喜欢封装的很多,这次终于愿意将http编程模型的相关细节暴露给我们了.在之前的介绍中,基本上都基于.NET 4.5之后版本,其System.Net.Http程序集非常的丰富,而老版本的则相对较弱.在WebAPI v1.0(和ASP.NET MVC4在一起的版本)很多的类和接口并不存在,同时对Task异步编程(ApiController默认提供异步执行方法)的支持还有一些欠缺(缺少不少方便的扩展方法),在使用时会有一些需要注意的地方,由于一…

elasticsearch更改mapping(不停服务重建索引)原文 http://donlianli.iteye.com/blog/1924721Elasticsearch的mapping一旦创建,只能增加字段,而不能修改已经mapping的字段.但现实往往并非如此啊,有时增加一个字段,就好像打了一个补丁,一个可以,但是越补越多,最后自己都觉得惨不忍睹了.怎么办??这里有一个方法修改mapping,那就是重新建立一个index,然后创建一个新的mapping.你可能会问,这要是在生产环境,可行…

首先说明:老版本数据库没有数据,所以无数据备份过程.如果你在升级数据库过程里,需要备份数据,请另外自行处理. 1.下载最新版MySQL.解压待用 wget https://dev.mysql.com/get/Downloads/MySQL-5.7/mysql-5.7.18-linux-glibc2.5-x86_64.tar.gz #下载tar -zxvf mysql-5.7.18-linux-glibc2.5-x86_64.tar.gz #解压cp -r mysql-5.7.18-linux-g…

代码地址如下:http://www.demodashi.com/demo/14006.html 前言 支付宝移动支付2.0版本对比1.0版本做了较大更新,新申请的商家都需要采用最新2.0版本 SDK 才可以成功接入,老版本需要升级的需要对 APP 进行重新签约才可以. 老版本支付宝支付: 签名方式rsa1(sha1),支付宝公钥是确定的,每个商家的都是一样的. 新版本支付宝支付: 签名方式rsa2(sha256),支付宝公钥每个商家都是不同的. 升级程序实现 老版本java服务端代码: 返回订单…

近日,php多个版本爆出远程DoS漏洞(官方编号69364),利用该漏洞构造poc发起链接,很容易导致目标主机cpu的100%占用率,绿盟科技威胁响应中心随即启动应急机制, 启动应急响应工作,总结PHP漏洞要点,并制定了一系列防护方案. 受此漏洞影响的软件及系统包括PHP的版本有: • PHP 5.0.0 - 5.0.5 • PHP 5.1.0 - 5.1.6 • PHP 5.2.0 - 5.2.17 • PHP 5.3.0 - 5.3.29 • PHP 5.4.0 - 5.4.40 • PHP…

由于博主在渗透网站时发现现在Nginx搭建的网站是越来越多 所以对Nginx的漏洞来一个全面性的复习,本次从Nginx较早的漏洞开始分析. 2013年底,nginx再次爆出漏洞(CVE-2013-4547),此漏洞可导致目录跨越及代码执行, 其影响版本为: Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7,范围较广. 漏洞说明 这个漏洞其实和代码执行没有太大关系,其主要原因是错误地解析了请求的URI, 错误地获取到用户请求的文件名,导致出现权限绕过.代码执行的连带影响.…

漏洞描述 FTP 弱口令或匿名登录漏洞,一般指使用 FTP 的用户启用了匿名登录功能,或系统口令的长度太短.复杂度不够.仅包含数字.或仅包含字母等,容易被黑客攻击,发生恶意文件上传或更严重的入侵行为. 漏洞危害 黑客利用弱口令或匿名登录漏洞直接登录 FTP 服务,上传恶意文件,从而获取系统权限,并可能造成数据泄露. 加固方案 不同 FTP 服务软件可能有不同的防护程序,本修复方案以 Windows server 2008 中自带的 FTP 服务和 Linux 中的vsftpd服务为例,您可参考以…

nginx文件名逻辑漏洞_CVE-2013-4547漏洞复现 一.漏洞描述 这个漏洞其实和代码执行没有太大的关系,主要原因是错误地解析了请求的URL,错误地获取到用户请求的文件名,导致出现权限绕过.代码执行的连带影响. 二.漏洞原理 举个例子,比如,nginx匹配到.php结尾的请求,就发送给fastcgi进行解析,常见的写法如下: location ~ \.php$ { include fastcgi_params; fastcgi_pass ; fastcgi_index index.php…

Nginx作为静态资源web服务 静态资源web服务-CDN场景 Nginx资源存储中心会把静态资源分发给“北京Nginx”,“湖南Nginx”,“山东Nginx”. 然后北京User发送静态资源请求,通过CDN,找到离自己最近的“北京Nginx”. 静态资源核心配置 文件读取 sendfile sendfile 是一种高效传输文件的模式. sendfile设置为on表示启动高效传输文件的模式.sendfile可以让Nginx在传输文件时直接在磁盘和tcp socket之间传输数据.如果这个参数…

Nginx作为静态资源web服务之文件读取 文件读取会使用到以下几个配置 1. sendfile 使用nginx作为静态资源服务时,通过配置sendfile可以有效提高文件读取效率,设置为on表示启动高效传输文件的模式.sendfile可以让Nginx在传输文件时直接在磁盘和tcp socket之间传输数据.如果这个参数不开启,会先在用户空间(Nginx进程空间)申请一个buffer,用read函数把数据从磁盘读到cache,再从cache读取到用户空间的buffer,再用write函数把数据从…

Linux下的python3,virtualenv,Mysql.nginx.redis等常用服务安装配置   学了前面的Linux基础,想必童鞋们是不是更感兴趣了?接下来就学习常用服务部署吧! 安装环境: centos7 + vmware + xshell MYSQL(mariadb) mysql+centos7+主从复制 python操作redis Python编译安装 先放个龟叔再说 centos7默认是装有python的,咱们先看一下 #检查python版本 [root@oldboy_py…

影响版本 Nginx 0.8.41 ~ 1.4.3 / 1.5.0 ~ 1.5.7 漏洞成因 这个漏洞其实和代码执行没有太大关系,其主要原因是错误地解析了请求的URI,错误地获取到用户请求的文件名,导致出现权限绕过.代码执行的连带影响. 举个例子,比如,Nginx匹配到.php结尾的请求,就发送给fastcgi进行解析,常见的写法如下: location ~ \.php$ { include fastcgi_params; fastcgi_pass 127.0.0.1:9000; fastcgi…

一个非常棒的 JavaScript 框架叫做 Modernizr(http://www.modernizr. com),用于向缺少 HTML5/CSS3特性支持的浏览器打补丁.由 Alexander Farkas编写的 "Webshims Lib"(http://afarkas.github.com/webshim/demos/)就是构建于 Moderniz和无处 不在的 jQuery之上的,它可用于插入表单补丁(也可以为其他 HTML5特性打补丁),从 而使不支持新特性的浏览器可以处…

较老版本的 AFNetworking 下载链接 ( http://pan.baidu.com/s/14Cxga ) 将压缩包中的文件夹拖入xcode工程项目中并引入如下的框架 简单的 JOSN 解析例子    static NSString *serverAddress = @"http://m.weather.com.cn/data/101110101.html"; // 1.创建JSON操作对象    AFJSONRequestOperation *operation =    […

这是老版本的教程,为了不耽误大家的时间,请直接看原文,本文仅供参考哦! 原文链接https://developer.microsoft.com/EN-US/WINDOWS/HOLOGRAPHIC/holograms_220 空间声音可以赋予你的全息对象生命,使它们在我们的世界中像真实存在一样. 全息对象由光和声音组成,如果你碰巧找不到你的全息对象,空间声音可以帮助你找到它们. 空间声音不像你在收音机上听到的典型声音,它是位于3D空间的声音. 有了空间声音,你可以使全息对象听起来像他们在你身后,旁…

这是老版本的教程,为了不耽误大家的时间,请直接看原文,本文仅供参考哦!原文链接:https://developer.microsoft.com/EN-US/WINDOWS/HOLOGRAPHIC/holograms_230 空间场景建模是将真实环境的环境信息扫描到设备中,使得全息对象可以识别真实场景环境,从而达到可以将虚拟对象与真实世界相结合的效果.这节教程主要学习内容如下: 使用Hololens扫描空间环境并将空间数据导入到开发计算机中. 学习利用shader给空间网格赋予材质以便其更容易被发…

这是老版本的教程,为了不耽误大家的时间,请直接看原文,本文仅供参考哦!原文链接:https://developer.microsoft.com/EN-US/WINDOWS/HOLOGRAPHIC/holograms_100 这篇教程将教会你开始使用Unity进行hololens全息应用的开发. 先决条件:一台win10系统的pc电脑,同时安装好了相应的开发工具. 目录 章节1 创建一个新项目 章节2 设置相机 章节3 创建一个全息对象 章节4 从Unity导出到Visual Studio 4.1…

这是老版本的教程,为了不耽误大家的时间,请直接看原文,本文仅供参考哦!原文链接:https://developer.microsoft.com/EN-US/WINDOWS/HOLOGRAPHIC/holograms_212 语音输入是我们操作全息对象的另一种交互方式,语音指令在实际操作过程中是非常自然和容易的,设计语音指令需要考虑以下几点: 自然的 容易记住的 上下文一致 与同一上下文中的其他选项有足够的区别 在Holograms 101的教程里,已经使用关键字识别构建了两个简单的语音指令,这节…

这是老版本的教程,为了不耽误大家的时间,请直接看原文,本文仅供参考哦!原文链接:https://developer.microsoft.com/EN-US/WINDOWS/HOLOGRAPHIC/holograms_211 用户操作Hololens的全息对象时需要借助手势,手势的点击类似于我们电脑的鼠标,当我们凝视到某个全息对象时,手势点击即可以得到相应的反馈.这节教程主要讲述如何追踪用户的手势,并对手势操作做出反馈. 这节对手势操作会实现一些新的功能: 1 检测什么时候手势被追踪到然后提供反馈…

这是老版本的教程,为了不耽误大家的时间,请直接看原文,本文仅供参考哦!原文链接:https://developer.microsoft.com/EN-US/WINDOWS/HOLOGRAPHIC/holograms_210 Hololens的使用如果类比到计算机的使用,在输入操作方面,Hololens了解用户的操作意图的第一个步骤是凝视,用户的凝视射线呈现在场景中的点为凝视点,就好像是电脑中的鼠标光标点,凝视是第一步,是人与hololens操作的开始. 涉及凝视相关的知识点如下: 1 当用户看着…

这是老版本的教程,为了不耽误大家的时间,请直接看原文,本文仅供参考哦!原文链接:https://developer.microsoft.com/EN-US/WINDOWS/HOLOGRAPHIC/holograms_101 这篇文章将通过一个完整的实例来了解设备的核心特性,包括凝视,手势,声音输入和空间声音与空间映射.先决条件 1.一个 Windows 10 PC 并安装有相应的软件tools installed..2. 开发者模式的HoloLensconfigured for developm…

1.系统先后安装了VS2008和VS2010,在打开用VS2008创建的项目文件时总是会默认用VS2010打开,选择打开方式都不行,很不方便,差点要把VS2010卸载了.     其实只需要简单设置VS2010就不会关联老版本文件了:打开VS2010-工具-选项-环境-常规-点击“还原文件关联”-确定-OK!…

在解决方向键为大写ABCD时安装vim 我的是Ubuntu 10.10 老版本 输入 sudo apt-get install vim 时出现 Package 'vim' has no installation candidate 解决此问题看了两个博客 http://blog.chinaunix.net/uid-26285146-id-3890490.html     这个最后解决了问题 http://blog.163.com/liuzhuqing_508/blog/static/606213…

跨平台系列汇总:http://www.cnblogs.com/dunitian/p/4822808.html#linux 离线安装的基础可以看看这篇文章的 前期准备工作 http://www.cnblogs.com/dunitian/p/6661644.html 下载离线包:http://pinyin.sogou.com/linux ftp上传到linux中(直接在linux中下载也行) 如果是Kali系统执行下面命令请把sudo却掉 sudo dpkg -i sogou*.deb 安装搜狗拼音…