目录一、前端应用打包二、部署前端应用1、上传前端文件夹2、修改nginx配置文件3、重启nginx三、查看效果nginx安装参考：linux安装nginx-CSDN博客一、前端应用打包打包命令npmrunbuild打包成功如下，会在项目路径下生成dist文件夹二、部署前端应用1、上传前端文件夹第一步打包生成的dist文件夹放置服务器上，这个目录可自定义，只需要在nginx中配置正确就可以。以路径//usr/local/project/front为例，将dist文件夹放到此路径下2、修改nginx配置文件进入nginx安装目录/usr/local/nginx,配置文件是conf文件夹下的ngin

漏洞分类漏洞名称风险级别漏洞描述加固建议输入与输出验证SQL注入漏洞高危当Web应用程序未对用户输入的数据进行足够的安全处理（如危险字符过滤或者语句过滤），而直接拼接SQL语句执行时，攻击者可以精心构造参数值，使服务器执行非预期的SQL语句并返回结果，造成数据库信息泄露。利用SQL注入漏洞，攻击者可获取数据库的增、删、改、查权限，甚至执行系统命令，上传后门文件等。针对SQL注入漏洞，需要对网站所有参数中提交的数据进行过滤，禁止输入"'"、"xor"、"or"、"--"、"#"、"select"、"and"等特殊字符；所有的查询语句都使用数据库提供的参数化查询接口，SQL语句使用参数化处理后的数

log4jJNDI注入漏洞目录log4jJNDI注入漏洞一、LDAP介绍二、JDBC介绍三、JNDI介绍四、JNDI命名引用五、log4jJNDI注入漏洞一、LDAP介绍​ LDAP是一种协议，LDAP的全称是LightweightDirectoryAccessProtocol，轻量目录访问协议。二、JDBC介绍​ JDBC是一种规范，JDBC的全称是Java数据库连接(JavaDatabaseconnect)，它是一套用于执行SQL语句的JavaAPI。三、JNDI介绍​ JNDI是一种规范，JNDI的全称是JavaNamingandDirectoryInterface，Java命名与

文章目录知识补充CSRFSSRFxss与csrf结合创建管理员账号知识补充NAT：网络地址转换，可以将IP数据报文头中的IP地址转换为另一个IP地址，并通过转换端口号达到地址重用的目的。即通过将一个外部IP地址和端口映射更大的内部IP地址集来转换IP地址。端口映射：在数据传输结束后，会将端口释放掉，若进行了端口映射，那么公网数据包只要是该映射端口，就会固定发送到对应的私有ip功能：NAT不仅能解决了lP地址不足的问题，而且还能够有效地避免来自网络外部的攻击，隐藏并保护网络内部的计算机。把内网的私有地址，转化成外网的公有地址。使得内部网络上的（被设置为私有IP地址的）主机可以访问Internet

一、ApacheHTTPD换行解析漏洞漏洞编号：CVE-2017-15715ApacheHTTPD是一款HTTP服务器，它可以通过mod_php来运行PHP网页。其2.4.0~2.4.29版本中存在一个解析漏洞。在解析PHP时，1.php\x0A将被按照PHP后缀进行解析，导致绕过一些服务器的安全策略。①环境启用cdvulhub/httpd/CVE-2017-15715②编译和运行docker-composebuilddocker-composeup-d③访问漏洞环境http://192.168.200.3:8080/编写一句话木马上传文件123.php，上传都是失败的④解决方法在123.ph

文章目录前言CVE-2020-13945默认api令牌CVE-2021-45232未授权接口2.1默认账户密码导致RCE2.2未授权访问api接口RCECVE-2022-24112地址限制绕过CVE-2022-29266JWT令牌伪造4.1漏洞源码简析与修复4.2漏洞环境搭建与复现总结前言ApacheAPISIX是一个动态、实时、高性能的API网关，提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。开源项目地址：https://github.com/apache/apisix；官方文档地址：https://apisix.apache.org/zh/docs/a

1.美国国家安全局承认在无授权情况下秘密购买互联网浏览数据美国参议员罗恩·怀登上周表示，美国国家安全局（NSA）已承认从数据经纪商处购买互联网浏览记录，以识别美国人所使用的网站和应用程序，这些行为通常需要法院授权。怀登在致国家情报总监（DNI）艾薇儿·海恩斯的一封信中说：“美国政府不应资助和使一个公然侵犯美国人隐私的不光彩行业合法化，这种行为不仅不道德，而且是非法的。”他敦促政府采取措施，“确保美国情报机构只能以合法方式获得关于美国人的数据”。有关用户浏览习惯的元数据可能带来严重的隐私风险，因为这些信息可能会被用来根据用户经常访问的网站来收集个人详细信息。这可能包括提供与精神健康相关资源的网站

一、全局优化#工作进程数worker_processesauto;#建议CPU核心数|CPU线程数#最大支持的连接(open-file)数量；最大值受限于Linuxopenfiles(ulimit-n)#建议公式：worker_rlimit_nofile>worker_processes*worker_connectionsworker_rlimit_nofile65535;events{useepoll;#高效的IO多路复用（RedHat6+都支持epoll）multi_accepton;#设置一个进程是否同时接受多个网络连接worker_connections10240;#单个工作进程，可

原文作者：OwenGarrettofF5原文链接：使用HashiCorpVault保护NGINX中的SSL私钥转载来源：NGINX中文官网NGINX唯一中文官方社区，尽在 nginx.org.cn在本系列博文的第一篇中，我们介绍了几种提高SSL私钥安全性的方法，并在结尾处演示了如何使用远程密码分发点(PDP)与NGINX实例安全地共享加密密码。HashiCorpVault 等密钥管理系统的工作方式与PDP示例相似：使用通过HTTPS或API进行访问的集中式（或高可用、分布式）密钥服务通过身份验证令牌或其他方式对客户进行身份验证可按需撤销令牌，以控制对密钥的访问在本文中，我们将展示如何设置Has

目录前言一、Nginx是什么二、Nginx在流媒体方案中的位置​编辑三、软硬件准备四、移植编译Nginx五、运行Ngnix六、测试流媒体方案七、浏览器播放前言最近想做一个安防相关的项目，所以跟着韦东山老师的视频来学习视频监控方案的相关知识，韦东山老师讲的课非常好，本章主要介绍推流端Nginx一、Nginx是什么一套开源软件，纯C语言编写，效率高HTTP和反向代理web服务器，同时也是一个IMAP、POP3、SMTP代理服务器稳定、高效，支持高并发即使强如阿里巴巴，也是使用Nginx：http://tengine.taobao.org/，它就是在Nginx的基础上，针对大访问量网站的需求，添加了