概述最近做镜像分析扫描工作，需要扫描镜像的安全漏洞，评估镜像安全性，调研了几款漏洞扫描工具，最后决定使用Trivy工具，Trivy是一家以色列安全公司开源的一个漏洞扫描工具，支持容器镜像、虚机镜像、文件系统的安全扫描。官网地址：https://aquasecurity.github.io/trivy/v0.42/github地址：https://github.com/aquasecurity/trivy安装可以通过添加软件源的方式，也可以在github的发布页下载安装包，下面展示软件源方式安装。RHEL/CentOS通过新增yum仓库源的方式安装RELEASE_VERSION=$(grep-P

★★实战前置声明★★文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与学习之用，读者将其信息做其他用途，由用户承担全部法律及连带责任，文章作者不承担任何法律及连带责任。1、前言上一篇《Web漏洞-XSS理论和靶场小试牛刀(一)》已经介绍了XSS一些理论知识点，本文主要是分享pikachu靶场XSS攻击的3个类型5个场景：反射型xss(post)、存储型xss、DOM型xss、DOM型xss-x和xss之盲打。攻击思路是怎么样的，为什么使用这个poc。2、反射型xss(post)2.0、该验证需登录注意：该验证需要先用户登录完才可操作，账户名/密码：admin/123456，可以右击上方提示

前言上一篇文章给大家总结了一下IIS中间件的漏洞，这篇文章就给大家讲一下apache中间件漏洞，说起apache大家一定不会陌生，这是我们日常中经常用到的中间件，下面由我来给大家讲解一下改中间件常见的漏洞。Apache是什么？简单介绍一下apache是什么，Apache是世界使用排名第一的Web服务器软件。它可以运行在几乎所有广泛使用的计算机上，由于其跨平台和安全性被广泛使用，是最流行的Web服务器端软件之一。它快速、可靠并且可通过简单的API扩充，将python等解释器编译到服务器中。它的作用可以主要分为以下两点：1.解析网页语言，如html，php，jsp等2.接收web用户的请求，并给予

前言：今天产品经理过来找我，问我有没有什么办法能够让前端做的项目给他看，他要测试一下看看我们开发的需求有没有对齐。然后我就说：可以，有几种办法：直接访问我本地idea启动的服务，但是这样我每次改代码保存页面就会刷新，这样显然不行，不稳定。产品经理直接把仓库代码拉下来自己在本地运行代码，额，这虽然解决了上面这个问题，但是问题又来了，产品经理他不懂前端，你又要帮他在他的电脑上准备好前端的开发环境，显然很麻烦。前端把项目打包部署到测试环境，这是很好的办法，但是我们没有测试环境的机器，那这咋整🤣🤣🤣想了许久，感觉产品经理都要怀疑我的能力了，最后灵机一动，咦！好像nginx也有windows版本的，我可

linux关闭nginx的方法：1、利用“ps-ef|grepnginx”命令查看nginx进程后，利用“kill-QUIT进程号”关闭nginx即可；2、利用“kill-TERM 999”快速杀死进程即可；3、利用“pkill-9nginx”强行停止进程即可。4、利用“kill-9 999”杀死进程5、查找进程ps-ef|grepnginx|grep-vgrep|awk'{print$2}'|xargskill-96、

docker使用环境变量的方式动态配置nginx一、需求二、制作镜像2.1准备nginx.tmplate模板文件2.2准备Dockerfile2.3执行Dockerfile三、启动nginx3.1准备docker-compose.yml四、补充4.1关于nginx容器内配置文件的管理问题一、需求使用docker部署nginx时，由于nginx配置文件里面的一些ip和端口是随着环境变化而改变的，即在不同的环境里，使用的ip和端口都不一样。这就导致每次部署到新环境时，都要重新编写配置文件，再制作成新的镜像，比较繁琐。所以我想要制作一个通用的镜像，将ip和端口设置成变量，等到需要部署到其他环境时候，

2023年10月17日，Cisco发布了IOSXE软件的风险通告，漏洞编号为CVE-2023-20198，影响所有启用了WebUI功能的CiscoIOSXE设备，漏洞等级：高危，漏洞评分：10。该漏洞已出现在野利用。WebUI是一种基于GUI的嵌入式系统管理工具，能够提供系统配置、简化系统部署和可管理性以及增强用户体验。它带有默认映像，无需在系统上安装任何许可证。WebUI可用于构建配置以及监控系统和排除系统故障。CiscoIOSXE严重性漏洞：CVE-2023-20198思科Talos研究人员今天警告说，威胁行为者正在利用一个影响运行思科IOSXE软件的网络设备的以前未知的漏洞（CVE-20

一、前言部署一个FastAPI应用到你的服务器是一项复杂的任务。如果你对NGINX、Gunicorn和Uvicorn这些技术不熟悉，可能会浪费大量的时间。如果你是刚接触Python语言不久或者希望利用Python构建自己的Web应用程序，本文的内容可能会让你第一次部署时更节省时间。FastAPI是用于开发API应用最受欢迎的Python库之一，用于开发API。它以其出色的性能和易用性而闻名。如果你在网页应用中使用机器学习模型，那么它很可能是你首选的工具。NGINX、Gunicorn和Uvicorn都是经过实践验证的技术，常被用作反向代理和ASGI服务器来部署Python网页应用。如果你熟悉Dj

AcunetixWebVulnerabilityScanner（AWVS）是用于测试和管理Web应用程序安全性的平台，能够自动扫描互联网或者本地局域网中是否存在漏洞，并报告漏洞。1.AWVS简介AcunetixWebVulnerabilityScanner（AWVS）可以扫描任何通过Web浏览器访问和遵循HTTP/HTTPS规则的Web站点。适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站。AWVS可以通过检查SQL注入攻击漏洞、XSS跨站脚本攻击漏洞等漏洞来审核Web应用程序的安全性。1.1AWVS功能及特点自动的客户端脚本分析器，允许对Ajax和Web

0x01什么是ActuatorSpringBootActuator模块提供了健康检查，审计，指标收集，HTTP跟踪等，是帮助我们监控和管理SpringBoot应用的模块。这个模块采集应用的内部信息，展现给外部模块，可以查看应用配置的详细信息，例如自动化配置信息、创建的Springbeans信息、系统环境变量的配置信息以及Web请求的详细信息等。如果没有正确使用Actuator，可能造成信息泄露等严重的安全隐患（外部人员非授权访问Actuator端点）。其中heapdump作为Actuator组件最为危险的Web端点，heapdump因未授权访问被恶意人员获取后进行分析，可进一步获取敏感信息。S