尽管业界已经达成共识,在传输用户password等须要保密的信息时,尽可能採用HTTPS/SSL协议传输. 但我们还是能够看到少数没实用HTTPS/SSL加密的站点或应用. 新浪微博的登录页面和MySQL是两个样例.接下来我们具体分析它们的password传输和保存机制. 步在计算token的过程中,须要对password作一次SHA1加密的哈希值.而在mysql.user表中.仅仅有对password作两次SHA1的哈希值. 破解方法 尽管MySQL的机制比新浪微博的要安全一些,但它仍然存在安…

版权声明:尊重博主劳动成果,欢迎转载,转载请注明出处 --爱技术的华仔 Log & Checkpoint Innodb的事务日志是指Redo log,简称Log,保存在日志文件ib_logfile*里面.Innodb还有另外一个日志Undo log Undo log是存放在共享表空间里面的(ibdata*文件). 由于Log和Checkpoint紧密相关,因此将这两部分合在一起分析. 名词解释:LSN,日志序列号,Innodb的日志序列号是一个64位的整型. 写入机制 Log写入 LSN实际上对…

一.简介 思考一下这个场景:如果重做日志可以无限地增大,同时缓冲池也足够大,那么是不需要将缓冲池中页的新版本刷新回磁盘.因为当发生宕机时,完全可以通过重做日志来恢复整个数据库系统中的数据到宕机发生的时刻. 但是这需要两个前提条件:1.缓冲池可以缓存数据库中所有的数据:2.重做日志可以无限增大 因此Checkpoint(检查点)技术就诞生了,目的是解决以下几个问题:1.缩短数据库的恢复时间:2.缓冲池不够用时,将脏页刷新到磁盘:3.重做日志不可用时,刷新脏页. 当数据库发生宕机时,数据库不需要重做…

本文转载自:http://hi.baidu.com/huabinyin/item/7f51e462df565c97c4d24929.感谢作者及相关博主.        相信很多朋友都会对字符编码敬而远之,但一发生乱码问题却头大不已,本文结合前人的经验及Mysql手册中的解释,用具体的操作和例子,旨在了解mysql的字符编码机制以及乱码问题的解决. [问题现象] 网页xxx.php用EditPlus另存为UTF8格式, MySQL在my.ini里设置[ cliant ] 和 [ mysqld ]…

GS简介: Windows的缓冲区安全监测机制(GS)可以有效的阻止经典的BOF攻击,因为GS会在函数调用前往函数栈帧内压入一个随机数(canary),然后等函数返回前,会对canary进行核查,判断canary是否被修改.因为canary的地址是(前栈帧EBP-4),所以如果溢出攻击想要覆盖返回地址或者异常处理句柄的话,就会路过canary.系统检测到canary被修改之后,在函数返回前就会直接终止程序,no return,no exception,so no exploit. GS原理: 下…

Use the following steps to reset a MySQL root password by using the command line interface. Stop the MySQL service (Ubuntu and Debian) Run the following command: sudo /etc/init.d/mysql stop (CentOS, Fedora, and Red Hat Enterprise Linux) Run the follo…

该文会通过一个实际例子中的死锁问题的解决过程,进一步解释innodb的行锁机制 最近,在项目开发过程中,碰到了数据库死锁问题,在解决问题的过程中,笔者对MySQL InnoDB引擎锁机制的理解逐步加深. 案例如下: 在使用Show innodb status检查引擎状态时,发现了死锁问题: *** (1) TRANSACTION: TRANSACTION 0 677833455, ACTIVE 0 sec, process no 11393, OS thread id 278546 starti…

Linux程序常见用的一些保护机制 一.NX(Windows中的DEP) NX:No-eXecute.DEP:Data Execute Prevention 也就是数据不可执行,防止因为程序运行出现溢出而使得攻击者的shellcode可能会在数据区尝试执行的情况. gcc默认开启,选项有: gcc -o test test.c // 默认情况下,开启NX保护 gcc -z execstack -o test test.c // 禁用NX保护 gcc -z noexecstack -o test…

之前我写过一篇博文,通过案例了解Hystrix的各种基本使用方式,在这篇文章里,我们是通过Hystrix调用正常工作的服务,也就是说,Hytrix的保护机制并没有起作用,这里我们将在HystrixProtectDemo.java里演示调用不可用的服务时,hystrix启动保护机制的流程.这个类是基于NormalHystrixDemo.java改写的,只是在其中增加了getFallback方法,代码如下. 1 //省略必要的package和import代码 2 public class Hystr…

操作系统提供了许多安全机制来尝试降低或阻止缓冲区溢出攻击带来的安全风险,包括DEP.ASLR等.在编写漏洞利用代码的时候,需要特别注意目标进程是否开启了DEP(Linux下对应NX).ASLR(Linux下对应PIE)等机制,例如存在DEP(NX)的话就不能直接执行栈上的数据,存在ASLR的话各个系统调用的地址就是随机化的. 一.checksec checksec是一个脚本软件,也就是用脚本写的一个文件,不到2000行,可用来学习shell. 源码参见 http://www.trapkit.de…