Sep162020
攻防世界-web-Web_php_wrong_nginx_config(绕过登录、目录浏览、后门利用)
进入场景后,提示需要登录
尝试打开robots.txt页面,发现2个隐藏页面:hint.php和Hack.php
依次访问
访问hint.php,提示:配置文件也许有问题呀:/etc/nginx/sites-enabled/site.conf
访问Hack.php,无法访问,要求登录,但是登录功能点无法使用,抓包,发现cookie字段isLogin=0,猜测修改为1可绕过登录。
修改为isLogin=1后,成功访问
尝试了一遍,发现只有管理中心链接可以跳转
跳转...阅读全文
抢沙发
Sep162020
攻防世界-web-i-got-id-200(perl文件上传+ARGV造成任意文件读取和任意命令执行)
题目来源:csaw-ctf-2016-quals
题目描述:嗯。。我刚建好了一个网站
进入场景后有3个链接,点进去都是.pl文件,.pl文件都是用perl编写的网页文件。
尝试后发现,Files链接可以上传文件并把文件内容打印出来。猜想后台应该用了param()函数。
param()函数会返回一个列表的文件但是只有第一个文件会被放入到下面的接收变量中。如果我们传入一个ARGV的文件,那么Perl会将传入的参数作为文件...阅读全文
Sep092020
数据库分库分表技术预研:MySQL水平拆分与垂直拆分的实现策略及数据一致性保障
数据库分库分表技术预研:MySQL水平拆分与垂直拆分的实现策略及数据一致性保障
引言:为何需要分库分表?
随着互联网应用的快速发展,用户量、访问频率和数据规模呈指数级增长。传统的单机数据库架构在面对海量数据和高并发请求时,逐渐暴露出性能瓶颈、扩展性差、可用性低等问题。例如,单个 MySQL 实例在数据量超过 1000 万条记录后,查询性能显著下降;当并发连接数突破数千时,CPU ...阅读全文
Sep062020
Spring Boot Spring Security JWT 实现简单的 RESTful API 权限控制
介绍
在开发 web 应用程序时,安全权限控制是非常重要的一项功能。使用 Spring Boot、Spring Security 和 JWT(JSON Web Token)可以帮助我们实现简单且强大的 RESTful API 权限控制。
环境准备
首先,确保你的开发环境配置好了以下组件:
JDK 1.8 或以上版本
Maven 3.x 或以上版本
创建 Spring Boot 项目
使用 Maven 创建一个新的 Spring Boot 项目,执行以下命令:
mvn archetype:gen...阅读全文
Sep042020
数据库分库分表最佳实践:MySQL水平拆分策略与分布式事务处理方案
数据库分库分表最佳实践:MySQL水平拆分策略与分布式事务处理方案
在现代互联网应用中,随着业务规模的快速增长,单机MySQL数据库在面对海量数据和高并发请求时逐渐暴露出性能瓶颈。传统的垂直扩展(Scale-up)方式受限于硬件成本和物理极限,难以持续支撑业务发展。因此,分库分表(Sharding)作为数据库水平扩展(Scale-out)的核心手段,成为大型系统架构设计中的关键技术。
本文将深...阅读全文
Aug242020
linux查看主机cpu信息(cat /proc/cpuinfo)
在Linux系统中,提供了proc文件系统显示系统的软硬件信息。如果想了解系统中CPU的提供商和相关配置信息,比如想知道当前主机有几个物理CPU/几核/几线程,这些问题怎么确定呢?可以通过/proc/cpuinfo文件得到,本文章针对该文件进行简单的总结。
基于不同指令集(ISA)的CPU产生的/proc/cpuinfo文件不一样,基于X86指令集CPU的/proc/cpuinfo文件包含如下内容:
yhm@:~/home/www/phpernote....阅读全文
Aug242020
Spring Cloud微服务安全架构设计:OAuth2.0认证授权、JWT令牌管理与API网关安全策略
Spring Cloud微服务安全架构设计:OAuth2.0认证授权、JWT令牌管理与API网关安全策略
在当今的分布式系统架构中,微服务因其高内聚、低耦合、可独立部署等优势,已成为企业级应用开发的主流选择。然而,随着服务数量的增加,系统面临的安全挑战也日益严峻。如何保障微服务架构下的身份认证、权限控制、数据传输安全,成为架构设计中的关键环节。
本文将深入探讨基于 Spring Cloud 的微服务...阅读全文
Aug212020
Node.js微服务架构设计模式:从单体应用到事件驱动架构的完整演进路径
Node.js微服务架构设计模式:从单体应用到事件驱动架构的完整演进路径
引言
随着现代应用程序复杂性的不断增加,传统的单体架构已经难以满足高并发、高可用性和快速迭代的需求。微服务架构作为一种新兴的软件架构模式,通过将大型应用程序拆分为多个小型、独立的服务,为开发者提供了更好的可扩展性、灵活性和维护性。
Node.js凭借其非阻塞I/O模型和事件驱动特性,成为了构建微服务的理想...阅读全文
Aug132020
攻防世界-crypto-Normal_RSA(openssl和rsatool工具解密RSA)
进入题目后下载附件,发现是2个文件,flag.enc和pubkey.pem。猜测分别为加密后的flag和RSA公钥。
其中,pubkey.pem文件内容如下:
-----BEGIN PUBLIC KEY-----
MDwwDQYJKoZIhvcNAQEBBQADKwAwKAIhAMJjauXD2OQ/+5erCQKPGqxsC/bNPXDr
yigb/+l/vjDdAgMBAAE=
-----END PUBLIC KEY-----
要想解密flag,必须使用私钥。
第1步,使用openssl从pubkey.pem中提取出e和modulus(即大素数)的值。
rs...阅读全文
Aug072020
微服务架构下的分布式事务解决方案:Seata AT模式与TCC模式实战对比分析
微服务架构下的分布式事务解决方案:Seata AT模式与TCC模式实战对比分析
引言
随着微服务架构的普及,分布式系统中的事务管理成为了一个复杂而关键的技术挑战。在单体应用中,我们可以依赖数据库的ACID特性来保证事务的一致性,但在微服务架构下,业务逻辑被拆分到多个独立的服务中,每个服务拥有自己的数据库,传统的本地事务已经无法满足跨服务的事务需求。
Seata作为阿里巴巴开源的分...阅读全文