首先说一下事件的背景,公司护网期间,某用户的请求报一下的事件: 原因是服务器上的相关服务存在漏洞,未了防止不明用户的访问及攻击,现需要对服务器做一个白名单的限制。接下来直接讲步骤,进到服务器后,先通过下面的命令查看下现有防火墙的一个情况:firewall-cmd--list-all上面看到的“ports”就是当前服务器对外开放的端口号,开通白名单前先关闭原有的端口号:firewall-cmd--permanent--remove-port=1-21/tcp注意一下,端口有分tcp和udp, 关闭完端口后,重启下防火墙,才能生效:firewall-cmd--reload 重启完后再次查看,可以看
背景要求指定的IP段才能访问主机的3306端口安装iptablesyuminstall-yiptables-servicessystemctlenableiptablesserviceiptablesstart添加IP段白名单iptables-IINPUT-ptcp--dport3306-jDROP&&\iptables-IINPUT-miprange--src-range172.50.49.13-172.50.49.42-ptcp--dport3306-jACCEPT&&\iptables-IINPUT-miprange--src-range172.29.145.10-172.29.145.
AIGC产业地图标的公司列表(部分):数据服务: 算法模型: 应用拓展:
查看firewalld.service服务状态#查看firewalld.service服务状态systemctlstatusfirewalld#查看firewall运行状态firewall-cmd--state手动启动/重启/停止firewalld.service服务、#启动systemctlstartfirewalld#重启systemctlrestartfirewalld#停止systemctlstopfirewalld展示当前配置的firewall规则#查看当前所有规则firewall-cmd--list-all#单独查看端口白名单列表firewall-cmd--zone=public-
Nginx做黑白名单机制,主要是通过allow、deny配置项来实现:allowxxx.xxx.xxx.xxx;#允许指定的IP访问,可以用于实现白名单。denyxxx.xxx.xxx.xxx;#禁止指定的IP访问,可以用于实现黑名单。要同时屏蔽/开放多个IP访问时,如果所有IP全部写在nginx.conf文件中定然是不显示的,这种方式比较冗余,那么可以新建两个文件BlockIP.conf、WhiteIP.conf:#--------黑名单:BlockIP.conf---------deny192.177.12.222;#屏蔽192.177.12.222访问deny192.177.44.201
我正在创建一个Web应用程序(使用C++,以提高性能),我期望每秒处理大量事件;像成千上万。我一直在阅读关于在我的网络session中使JWTtoken无效的信息,对此最合理的解决方案是为列入黑名单的token设置一个存储位置。每个请求都必须检查该列表,我想知道的是与性能相关的问题:我应该创建一个单独的系统来存储我列入黑名单的token(如redis)吗?还是我应该只使用我用于其他一切的同一个PostgreSQL数据库?使用另一个系统有什么优势?我问的原因是我在网上看到很多关于使JWTtoken失效的讨论,许多人建议使用redis(并且不解释它是否只是与他们的设计相关的解决方案或者它是
我正在创建一个Web应用程序(使用C++,以提高性能),我期望每秒处理大量事件;像成千上万。我一直在阅读关于在我的网络session中使JWTtoken无效的信息,对此最合理的解决方案是为列入黑名单的token设置一个存储位置。每个请求都必须检查该列表,我想知道的是与性能相关的问题:我应该创建一个单独的系统来存储我列入黑名单的token(如redis)吗?还是我应该只使用我用于其他一切的同一个PostgreSQL数据库?使用另一个系统有什么优势?我问的原因是我在网上看到很多关于使JWTtoken失效的讨论,许多人建议使用redis(并且不解释它是否只是与他们的设计相关的解决方案或者它是
有时部署的应用需要只允许某些特定的IP能够访问,其他IP不允许访问,这时,就要设置访问白名单;设置访问白名单有多种方式:1.通过网络防火墙配置,例如阿里云/华为云管理平台2.通过服务器防火墙配置,iptables3.通过nginx配置访问分发限制4.通过nginx的allow、deny参数进行访问限制(本文使用此方案)Nginx白名单使用allow和deny来控制,该配置可以添加在http段,也可以server、location中如果想增加允许访问的IP范围,例如10.10.10.0~10.10.10.255,需要使用CIDR格式表示你的IP范围,在Nginx中默认仅允许IP地址和CID
服务端白名单绕过MIME类型检测绕过Upload-labs(Pass-02)第二关通过服务端对数据包的MIME进行检查通过burp修改Content-Type类型将content-type修改为image/png上传成功%00截断绕过%00截断是操作系统层的漏洞,由于操作系统是C语言或汇编语言编写的,这两种语言在定义字符串时,都是以\0(即0x00)作为字符串的结尾。操作系统在识别字符串时,当读取到\0字符时,就认为读取到了一个字符串的结束符号。因此,我们可以通过修改数据包,插入\0(%00或者00)字符的方式,达到字符串截断的目的。在url中%00表示ASCll码中的0,而0作为特殊字符保留
引文之前文章给大家带来了文件上传的基础内容,今天我给大家带来文件上传漏洞的进阶知识,白名单绕过的总结文章,接下来会详细的带大家解说白名单绕过的一些小套路。文件包含文件包含想必大家都已经学过了,所谓包含就是包含可以代码执行的文件,利用包含函数会解析代码的特性去进行命令执行。文件包含图片马所谓的图片马,就是在图片中插入一句话木马来达到绕过检测后缀文件WAF的目的。通常图片马都是配合文件包含去用的。图片马制作命令:copy1.jpg/b+1.php/a2.jpg来一个例子展示一下:我们写一个phpinfo命令执行图片马去查看PHP版本信息,我们上传图片马了之后去访问:成功包含了图片马。文件包含日志有
