文章目录Nginx如何限流配置基本的限流处理突发无延迟的排队高级配置示例location包含多limit_req指令配置相关功能发送到客户端的错误代码指定location拒绝所有请求总结流量限制(rate-limiting)，是Nginx中一个非常实用，却经常被错误理解和错误配置的功能。我们可以用来限制用户在给定时间内HTTP请求的数量。请求，可以是一个简单网站首页的GET请求，也可以是登录表单的POST请求。流量限制可以用作安全目的，比如可以减慢暴力密码破解的速率。通过将传入请求的速率限制为真实用户的典型值，并标识目标URL地址(通过日志)，还可以用来抵御DDOS攻击。更常见的情况，该功能被

阿里云服务器部署前端项目准备打包好的前端代码使用npmrunbuild命令打包前端项目为dist包，我们的qiankun微前端项目包括一个主应用master和两个子应用sub-vue2、sub-vue3，需要分别打包这三个项目的代码。获取一台阿里云服务器阿里云服务器有免费试用的版本，学生认证最多可以使用三个月，非学生认证可以试用一个月。获得自己的服务器后，打开云服务器ECS控制台，在实例中找到自己服务器，点击远程连接，选择通过WorkBench远程连接之后需要输入密码，出现以下画面说明远程连接成功安装xshell和xftp开始之间需要安装xshell用于连接服务器，安装xftp用于上传文件，安

WebLogic是美国Oracle公司出品的一个applicationserver，确切的说是一个基于JAVAEE架构的中间件，WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和JavaEnterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。WebLogicXMLDecoder反序列化漏洞（CVE-2017-3506）0x00漏洞描述网上爆出weblogic的WLS组件存在xmldecoder反序列化漏洞，直接post构造的xml数据包即可rce。0x01受影响WebLogic版本10.3.6

背景FTP文件服务器在我们日常开发中经常使用，在项目中我们经常把FTP文件下载到内存中，然后转为base64给前端进行展示。如果excel中也需要导出图片，数据量大的情况下会直接返回一个后端的开放接口地址，然后在项目中对接口的参数进行鉴权，或者实效性检验等，最后从FTP下载图片用流的方式传到浏览器中。但是这种方式会加大内存的消耗，所有的文件相关的都在内存中下载回传给前端；报表下载的数据量很大的情况下服务很容易拖垮。所以就设想通过两层nginx反向代理的方式是否可以满足文件的直接访问。假设FTP文件服务器的照片存放地址为:/upload/signature传统实现首先我们在下载excel的时候需

目录                                    一、CVE-2023-38408漏洞简单描述二、升级前准备三、升级openssl四、升级openssh五、升级失败恢复方法一、CVE-2023-38408漏洞简单描述        OpenSSH（OpenBSDSecureShell）是加拿大OpenBSD计划组的一套用于安全访问远程计算机的连接工具。该工具是SSH协议的开源实现，支持对所有的传输进行加密，可有效阻止窃听、连接劫持以及其他网络级的攻击。OpenSSH9.3p2之前版本存在安全漏洞，该漏洞源于ssh-agent的PKCS11功能存在安全问题。攻击者可利用

0x01产品简介思福迪运维安全管理系统是思福迪开发的一款运维安全管理堡垒机。0x02漏洞概述由于思福迪运维安全管理系统 test_qrcode_b路由存在命令执行漏洞，攻击者可通过该漏洞在服务器端任意执行代码，写入后门，获取服务器权限，进而控制整个web服务器。0x03复现环境FOFA：((title="Logbase"||header="Server:dummy"||body="onclick=\"location.href='trustcert.cgi'")&&body!="couchdb")||banner="Server:dummy"0x04漏洞复现PoCPOST/bhost/test

一、基础知识漏洞介绍：ApacheLog4j2是一个开源的Java日志记录工具。Log4j2是Log4j的升级版本，其优异的性能被广泛的应用于各种常见的Web服务中。Log4j2在特定的版本中由于启用了lookup功能，导致存在JNDI漏洞。lookup函数是用于在日志消息中替换变量的函数，是通过配置文件中的${}语法调用的，例如：如果在日志消息中使用了${sys:my.property}，那么log4j2将使用lookup函数从系统属性中查找名为“my.property”的属性值，并将其替换为实际值。在某些情况下，攻击者可以通过构造带有${}关键标识符的日志消息来触发log4j2的looku

漏洞描述CVE-2016-2183是一个TLS加密套件缺陷，存在于OpenSSL库中。该缺陷在于使用了弱随机数生成器，攻击者可以利用此缺陷预测随机数的值，从而成功绕过SSL/TLS连接的加密措施，实现中间人攻击。这个漏洞影响了OpenSSL1.0.2版本之前的版本，而在1.0.2版本及以后的版本中已经修复了该漏洞。修复方法1、打开组策略编辑器登录服务器，打开CMD命令行界面，运行gpedit.msc，打开本地组策略编辑器。2、编辑SSL密码套件顺序策略在本地组策略编辑器中依次找到计算机配置-管理模板-网络-SSL配置设置项，双击SSL密码套件顺序选项进行修改。3、修改加密算法将SSL密码套件顺

最近在搞一些漏洞jar包升级，包括springboot、cloud等依赖，期间遇到了一些小坑，特此做这个记录一下。目录1.打印/获取该项目的依赖树2.判断依赖是否有漏洞3.版本兼容性查询4.常规依赖版本升级5.依赖升级5.1jackson升级5.2spring相关依赖、springboot、webflux依赖升级（无cloud）5.3spring、springboot、springcloud相关依赖升级5.4elasticsearch升级6.总结1.打印/获取该项目的依赖树如果只是想打印当前项目的依赖树，最简单的方法就在在该项目（包含pom）的目录下执行maven命令mvndependency

一.中间件-IIS-短文件&解析&蓝屏IIS现在用的也少了，漏洞也基本没啥用1、短文件：信息收集2、文件解析：还有点用3、HTTP.SYS：蓝屏崩溃  没有和权限挂钩4、CVE-2017-7269条件过老windows2003上面的漏洞二.中间件-Nginx-文件解析&命令执行等1.后缀解析文件名解析配置不当：该漏洞与Nginx、php版本无关，属于用户配置不当造成的解析漏洞。这个跟文件上传类似，找到文件上传点，上传png图片找到上传路径和nginx版本号查看路径添加后缀可以用php执行png在图片里添加phpinfo执行2.CVE-2013-4547影响版本：Nginx0.8.41~1.4.