Apache浅识

Apache是使用最广泛的Web服务器应用程序。之前都是照着网上的命令配置,没有真正去理解一下配置的缘由,这次就好好学习一下啦。

阅读全文
Nginx浅识

Nginx (“engine x”) 是一个高性能的 HTTP 和反向代理服务器,特点是占有内存少,并发能力强。

阅读全文
mysql常用命令整理

一些命令老是忘记,好记性不如烂笔头。

阅读全文
redis安全小结

redis是完全开源免费的,遵守BSD协议,是一个高性能的key-value数据库。Redis服务的默认端口是6379,默认是不设置密码,可以未授权访问,导致出现一些安全隐患。

阅读全文
JWT认证问题

JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。

阅读全文
python反序列化漏洞

我们把变量从内存中变成可存储或传输的过程称之为序列化。
序列化之后,就可以把序列化后的内容写入磁盘,或者通过网络传输到别的机器上。
反过来,把变量内容从序列化的对象重新读到内存里称之为反序列化。

阅读全文
python格式化字符串漏洞

format格式化字符处只能读取属性而不能执行方法,可以用来读取一些敏感的信息,这里主要是关于format格式化的利用分析

阅读全文
Flask Debug PIN安全问题

Flask在生产环境中开启Debug模式,存在交互式Python shell可以执行自定义Python代码。

阅读全文
Flask的session问题

Flask的session是存储在客户端的(可以通过HTTP请求头Cookie字段的session获取),Flask只对数据进行了签名(防篡改)没有进行加密,session的全部内容都是可以在客户端读取的,这就可能造成一些安全问题。

阅读全文
Flask模板注入(SSTI)

SSTI(Server-Side Template Injection),即服务端模板注入攻击,ssti主要为python的一些框架 jinja2 mako tornado django,PHP框架smarty twig,java框架jade velocity等等使用了渲染函数时,由于代码不规范或信任了用户输入而导致了服务端模板注入,模板渲染其实并没有漏洞,主要是程序员对代码不规范不严谨造成了模板注入漏洞,造成模板可控.

阅读全文
Algolia