找到
45
篇与
xioy
相关的结果
- 第 5 页
-
博客系统推荐 明确内容类型 首先你需要确定你博客内容的类型。是想要纯文档类型,还是带有社交性质的博客。 系统类型选择 建站最怕的就是被攻击,万一被攻击博客的数据全没了该怎么办? 目前博客系统可以分类两大类 纯静态式 带后台式 纯静态的博客无所畏惧,没有任何交互黑客怎么攻击?拿你一丁点办法都没有。 后台交互式则恰恰相反。程序本身就是由脚本语言构成,假设被恶意上传木马那你的服务器岌岌可危。另外如果你使用通用型CMS搭建,那你就需要时刻关注使用的CMS系统有没有漏洞被爆出。 综上所述个人建议优先使用纯静态式系统来搭建自己的博客系统。 纯静态式系统推荐 Hexo 封面: 简介: Hexo是一个快速、简洁且高效的博客框架。Hexo使用Markdown(或其他渲染引擎)解析文章,在几秒内,即可利用靓丽的主题生成静态网页。即把用户的markdown文件,按照指定的主题解析成静态网页。 官网地址: https://hexo.io/系统特色: Node.js所带来的超快生成速度,上百个页面在几秒内完成渲染。 Hexo支持GitHub Flavored Markdown的所有功能,甚至可以整合Octopress的大多数插件。 只需一条指令即可部署到GitHub Pages, Heroku或其他平台。 强大的API带来无限的可能。支持数种模板引擎。可以与现有的NPM包轻松地集成。 409个主题,在众多美观、强大、可定制的主题中选择;使用任何兼容的模板引擎创建自己的主题。 Hugo 封面: 简介: Hugo是一个通用的网站框架。从技术角度来说,Hugo是一个静态网站生成器。与每个访问者请求动态构建页面的系统不同,Hugo在创建或更新内容时构建页面。由于网站被查看的频率远远多于编辑的频率,Hugo旨在为您的网站最终用户提供最佳的查看体验,并为网站作者提供理想的编写体验。 官网地址: https://gohugo.io/系统特色: 构建时间极快,每个页面不到1毫秒。 完全跨平台,在macOS、Linux、Windows等操作系统上安装简单。 随开发实时渲染修改,支持LiveReload。 强大的主题化能力。 可在任意主机托管您的网站。 Vuepress 封面: 简介: 这个系统我们不推荐原生的,推荐他的主题:VuePress Theme Hope。值得一提的是本博客就是使用该系统搭建而成。 VuePress在一定程度上扩展了Markdown语法,但仍然缺少一些常用的功能,例如文本对齐、标记、流程图、公式、演示等,同时默认主题提供的一些功能较弱或缺失,如图片预览、代码块复制、目录页等。同时VuePress默认主题太简陋,功能不够强大。在这种情况下,vuepress-theme-hope和一些系列插件就应运诞生。与默认主题相比,不仅大大改进了美观度,而且通过主题插件为VuePress提供了全方位的增强功能。 官网地址: https://theme-hope.vuejs.press/系统特色: 如果你是一名文学爱好者想放置一些随笔,主题提供了自定义对齐与脚注。 我们对图片进行了一些内置增强。 如果你希望存放一些知识笔记,主题提供了自定义容器、标记、任务列表、思维导图与公式支持。 如果你是一名程序员需要大量展示代码与demo,本主题为代码块提供了浅色与深色两种主题,代码组与代码块复制按钮。同时我们还提供代码演示,Playground Kotlin Playground和Vue Playground功能,方便你展示自己的Vue、React组件或者其他demo。 如果你需要提供产品文档与展示,主题提供了选项卡、幻灯片、图表、echarts、流程图、Mermaid图表与Plant UML功能。 为了重新组织你的内容,主题提供了文件包含功能。 为了设置内容的样式,主题提供了下标和上标、属性设置和样式化功能,并为你提供了很多有用的组件。 带后台式系统推荐 Typecho 封面: 简介: Typecho是由type和echo两个词合成的,来自于开发团队的头脑风暴。Type,有打字的意思,博客这个东西,正是一个让我们通过打字,在网络上表达自己的平台。Echo,意思是回声、反馈、共鸣,也是PHP里最常见、最重要的函数,相信大部分PHP爱好者都是从echo 'Hello,world!';开始自己的PHP编程之路的。 名称就表明Typecho是一款博客程序,它在GPL version 2许可证下发行,基于PHP构建,可以运行在各种平台上,支持多种数据库。 官网地址: https://typecho.org/系统特色: 轻量高效,仅仅7张数据表,加上不足400KB的代码,就实现了完整的插件与模板机制。超低的CPU和内存使用率,足以发挥主机的最高性能。 先进稳定,原生支持Markdown排版语法,易读更易写。支持BAE/GAE/SAE等各类云主机,即使面对突如其来的高访问量,也能轻松应对。 简洁友好,精心打磨过的操作界面,依然是你熟悉的面孔,更多了一份成熟与贴心。每一个像素的剪裁,都只为离完美更进一步。 Emlog 封面: 简介: EMLOG是一款轻量级开源博客和CMS建站系统,速度快、省资源、易上手,适合各种规模的站点搭建。 官网地址: https://www.emlog.net/系统特色: Markdown编辑器:内置Markdown编辑器,并自动保存,使创作过程更加舒适和高效。 多用户角色:支持多种用户角色,同时提供用户注册和登录功能,方便读者和作者的互动。 多媒体资源管理器:内置多媒体资源管理器,方便上传、管理图片、音频、视频和文件等各种媒体资源。 模板主题:应用商店提供多种模板主题,轻松打造独具个性的站点。 插件生态:拥有强大的插件扩展系统,快速扩展站点功能,满足特定需求。 强大的SEO功能:支持文章URL自定义、站点及分类页的TDK定制,有助于提升站点在搜索引擎中的可见性。 自定义侧边栏管理:提供灵活的侧边栏组件管理。 自定义页面:支持创建自定义页面,包括留言板、个人介绍等,帮助你打造更富有个性和功能的站点。 标签和分类:文章可轻松归类和标记,提供更好的信息组织和检索功能。
-
技术岗为什么要写博客 源始 前几天打算带几个在校的学生,教一教技术。消息发到交流群后立马就收到了好几条好友申请。 同意后直接灵魂拷问:目前大几、平时有没有记笔记、有没有个人博客、有没有独立挖过漏洞、说几个你认为比较有技术含量的漏洞挖掘经历、是否打算考研、未来的就业方向等。 情况概述 先说一下人员身份情况: 高三的一个 在职的两个 大三的占大多数 高三的我让他一年后再来找我。 再说一下问题回复情况: 有两个准备考研,我直接建议他们全身心考研就行分心反而不好。 其中有个人博客和记笔记习惯的都是在职的人,且自身的能力也是很不错的。加我主要是为了交流经验,学习别人的挖洞思路。 有一个大三自学java,有开发基础的同学想学习安全方向的技术,我就建议他向代码审计和安全开发方向靠。因为他只剩下一年的时间,利用有限的时间加上自身有基础的情况这两个方向对于他来说是非常合适的。 其他人都有自主挖洞,对漏洞也有自己看法。 这么一看显而易见在职的是为了能力提升,在校生是因为爱好、感兴趣和未来就业。 对问题解释 对问的问题进行解释: 目前大几:大一是最好的,时间充足有足够的时间培养从0到1完全不是问题,大三则反之。 平时有没有记笔记:问这个主要想看看有没有好的习惯,我深知好记性不如烂笔头这句话的意义。 有没有个人博客:个人博客看情况,学生一般生活费有限,服务器的费用对于学生来说本就是一道坎。对于技术岗来说我的建议还是需要有属于自己的博客,后面会展开说。 有没有独立挖过漏洞、说几个你认为比较有技术含量的漏洞挖掘经历:这个就很直接了,如果没有挖过漏洞从何而谈的漏洞挖掘经历。打过靶场和看过几个靶场教学视频这也不能算是。你只停留在了理论没有实践过,独立挖洞和看教学视频的明显不同之处就在于对漏洞的理解。 未来的就业方向:这是一个很严肃的问题,关乎到你未来的就业和发展。目标不明确难道要一直处在迷糊的状态,这里学习下那里学一下,最后没有一个有所建树。所以尽早定下目标,并且为了达成目标并付出才是正解。 亲身经历 大一通过选拔成功进入学院的网络安全工作室,学长给的第一个要求就是要养成记笔记的习惯。 我最讨厌写写画画了,嗤之以鼻觉得完全没有必要,纯属就是在浪费时间不是。但是每周学长会抽看笔记,没办法硬着头皮写一点吧,总比什么都不写被学长骂不是。 工作了几年后,再回望这件事完全是一个非常愚昧的行为。以至于我毕业工作后的一段时间里,发现遇到一些情况我拿不准需要大量借助互联网去找别人的笔记来解决我的问题。后来专门花了一段时间从头开始整理笔记,到目前为止这个习惯依然还在保持。 技术岗为什么要写博客 记录成长和经历 在编写代码的过程中,会遇到各种问题和挑战,而这些经历和成长也是非常宝贵的。写博客可以记录这些经历和成长,分享自己的思考和心得。对知识进行整理、总结和表达,这可以加深自己对技术细节和原理的理解,同时也可以发现自己在某些方面的不足和缺陷,从而更加深入地学习和掌握相关技术。这不仅可以让自己更加深入地理解和反思,也可以给其他伙伴提供参考和启示。 提高技能和深入理解 在写博客的过程中,需要对自己所掌握的知识和经验进行深入的分析、整理和总结,从而使自己对这些知识更加深入理解。同时,在写作的过程中,还需要查阅各种资料、阅读源代码、了解底层实现原理等等,这些都有助于提高自己的技能水平。 分享知识和帮助他人 通过写博客,可以把自己掌握的知识和经验分享给其他人,帮助他们解决问题、提高技能,让更多的人受益。这不仅有助于提升自己的社会价值和影响力,也可以获得其他人的反馈和建议,从而进一步提高自己的技能和水平。 建立个人品牌和职业发展 在互联网时代,个人品牌对于程序员来说越来越重要。写博客可以展示自己的专业知识和经验,树立自己在技术领域的声誉和影响力,提高自己的个人品牌价值。这对于职业发展也是非常有利的,有了好的个人品牌,可以吸引更多的人关注自己,有可能得到更好的职业机会和提升空间。
-
我与爬虫的对抗 丸辣 完犊子了 快到月底了,是时候查看一下各项服务,看看有没有什么需要续费啥的。 查看到我的存储桶时候,兴奋了。这个月产生的流量是上个月的三倍,这说明使用网站的人变多了,能不高兴吗。但是查看完日志后我就没心情了。 查看存储桶这一个月的总流量为:1G,约上月流量的3倍。 查日志 翻看日志,分别在8月的6、13、14、16日,流量全都异常。在这几天公众号没有发文,发文的资源都可以在后台获取到,平台在这几天陡然产生大流量肯定不正常。 继续看日志,在8月6日当天产生了1千多次get的请求,这种流量应该是在爬站。 还有PUT的请求方式。这一看就是冲着攻击来的,目的是想上传文件。在8月的2、24号请求最多。8月一共产生PUT请求方式370次。 流量主要流向江西省 为了后续减少损失抓紧做对应防御吧。 加固 存储桶 首先在创建存储桶时设置的权限就是只允许公共读,不能写。所以那些PUT请求没能成功把文件上传到存储桶中。 爬站 流量变大还存在另一种情况。有的在爬站时不但直接爬取内容,而且为了减少运营成本还会直接使用原作者提供的资源地址。 文库中的图片我全都放在存储桶中,对方为了减少运营成本直接复制图片链接粘贴到他的项目中同样可以达到展示的效果。 就这样别人吃着火锅还唱着歌,躺着就赢了。我这边赔了夫人又折兵。不但被抄家,而且双方在使用资源时存储桶产生的流量费用还要我一个人掏钱。 应对这样的情况存储桶可以开启防盗链功能,只允许我自己的域名才能使用资源。 高防 另外还可以开通OSS高防服务,不过费用非常高,我承受不起。 上科技 雷池 爬站过程中肯定会产生较多的流量和访问速度,这时候就可以在服务器上安装一个waf来检测和限制访问。不但能防护恶意攻击,还能减少资源的浪费,美哉。 做安全的长亭无人不知,他的雷池在业界有着很高的地位。不太了解的请自行百度。所以我选择雷池帮我守护。 准备 我使用了两台服务器分别运行waf和业务,如果把waf和业务都放在同一台服务器上运行那么服务器的负载会很大。 下面是waf的工作原理图 部署 雷池是采用容器化部署、运行的,如果服务器没有安装docker也没事,官方提供的一键部署命令可以自动安装docker。 这是没有安装docker运行一键部署的效果,按照指引就可以安装所需环境。 这是已经安装docker运行一键部署的效果,自定义安装目录即可安装。 安装完成后会给出管理地址和管理员的账号密码。 配置 通过ip:9443即可访问到服务,输入刚刚的账号和密码即可登录 首先建议把域名的解析地址解析到cdn或者waf的ip,这样的好处就是有效的避免业务服务器的ip泄露 先看一下业务服务器上的配置,开了81、82、83、84端口分别对应不同的业务。建议同时开启限制访问业务的ip,下图中我设置允许访问业务的ip是waf服务器的ip,也就是说只有经过waf的ip才可以访问和使用业务。 假如攻击者知道了业务服务器的真实ip,直接跳过waf通过业务服务器ip来访问业务,他照样无法访问服务,因为我限制了使用服务的ip地址。 配置防御 在防护站点-站点管理功能中,填写需要防护的业务域名、waf的监听端口和业务服务器地址即可完成。 防护按需配置 最后就可以开心的玩耍啦。
-
对目标企业一个全面的渗透过程 常规测试 站点首页 企业官网,没啥可打的。Ping域名得到ip,扫描端口只开了80和443。那就打子域名吧。 存储桶目录遍历 通过信息收集,找到了两个存储桶,都可以目录遍历,其中crms泄露了39份文件,huyonguangfu泄露了44万份。 存储桶文件上传 通过尝试名为crms的存储桶可以上传文件。 Nacos弱口令 在无意之间遇到3个站,首页是这样。 原本想试着放bp里爆破账号密码的,出于习惯顺手查看一下插件有没有出货啥的。这一看果然还真爆装备了。 看到nacos的密码就知道是默认的,直接反手登录到nacos 翻了一下还存在其他账户,不过已经有一个账户了其他的都无所谓了。 多个漏洞 通过检测还存在其他类型漏洞 存储桶接管 查看了一下dassolarprod继续爆装备,配置中写了华为的ak、sk。 我直接接管好吧。查看了一下内容,接管到就是文章一开始提到的存储桶。 jboss多个漏洞 这个站,存在jboss的反序列化、代码执行、未授权访问漏洞 最后一个弱口令 最后还有一个弱口令
