文章目录一、中间件文件解析——IIS&Apache&Nginx1、IIS2、Apache3、Nginx二、web编辑器一、中间件文件解析——IIS&Apache&Nginx1、IISIIS爆过漏洞的版本：IIS6.0（windowsserver2003）、IIS7.0和IIS7.5（windowsserver2008）IIS6.0解析漏洞：文件名：x.asp;x.jpg，jpg的文件后缀名，但是会被解析为asp文件；目录名：x.asp/x.jpg，文件目录名含有.asp后缀，x.jpg也会被解析为asp文件。触发条件：IIS6.0这个中间件；上传文件能不能修改上传目录或上传的文件名能更改。若上

1.概述​动态网站的基本权衡是，它们是动态的。每次用户请求页面时，Web服务器都会进行各种计算-从数据库查询到模板呈现再到业务逻辑-以创建站点访问者看到的页面。从处理开销的角度来看，这比标准的文件读取文件系统服务器要耗时多了。对于大多数Web应用程序来说，这种开销并不是什么大问题。因为大多数Web应用程序只是中小型网站，没有拥有一流的流量。但对于中到高流量的站点，尽可能减少开销是至关重要的，这就是缓存的用武之地。缓存某些内容是为了保存昂贵计算的结果，这样就不必在下次执行计算。​Django框架带有一个强大的缓存系统，可以保存动态页面，因此不必为每个请求计算它们。Django提供不同级别的缓存粒

一题外话说起这个话题，就总会不由得想起刚毕业的时候，当时在导师的带领下，调研并使用了geoserver和postgreSQL。geoserver做图层和位置信息展示，而pg则用来存储地理位置数据。一转眼至今已有十年光景，真是让人感慨，十年，弹指一挥间。二GEO存储方案与空间索引2.1存储方案目前支持空间数据存储的方案很多，Esri公司的ArcSDE（SpatialDatabaseEngine，空间数据库引擎），包括Oracle，SQLServer，IBMDB2都做了很好的支持，不过都是商业数据库，需要收费。开源领域，mysql、redis、elasticsearch、mongodb、postg

本周安全态势综述OSCS社区共收录安全漏洞3个，公开漏洞值得关注的是ApacheNiFi连接URL验证绕过漏洞(CVE-2023-40037)、PowerJob未授权访问漏洞(CVE-2023-36106)、ApacheAirflowSparkProvider任意文件读取漏洞(CVE-2023-40272)。针对NPM、PyPI仓库，共监测到81个不同版本的毒组件，其中NPM组件包mall-front-babel-directive等携带远控木马，该系列的组件包具有持续性威胁行为。重要安全漏洞列表1.ApacheNiFi连接URL验证绕过漏洞(CVE-2023-40037)ApacheNiFi

redis可视化工具RedisInsight1、RedisInsight是什么2、下载RedisInsight3、使用RedisInsight4、其他redsi可视化工具1、RedisInsight是什么RedisInsight是一个用于管理和监控Redis数据库的图形用户界面（GUI）工具。它是由RedisLabs开发的，旨在简化开发人员和管理员对Redis实例的管理任务。以下是RedisInsight的一些关键特性：可视化界面：RedisInsight提供了一个直观的用户界面，使用户能够轻松地查看和管理Redis数据。它以图形方式显示key-value对、数据结构等信息，使用户更容易理解和

搭建Redis三主三从集群的详细步骤如下：准备环境：确保你有六台服务器或虚拟机，每台服务器上都已经安装了Redis。这些服务器将用于搭建三主三从的Redis集群。确保所有服务器之间的网络连接正常，并且防火墙设置允许Redis通信。安装Redis：在每台服务器上下载并安装Redis。你可以从Redis官网下载最新版本的Redis源码包，并按照官方文档进行编译和安装。安装完成后，确保Redis服务能够正常启动。配置Redis主从复制：在每台服务器上创建Redis配置文件，通常命名为redis.conf。对于每个主节点，编辑其配置文件，设置以下参数：port：指定Redis监听的端口号，确保每个主节

大家好，我是小康，今天我们来聊下Redis的几种架构模式，包括主从复制、哨兵和集群模式。前言：设想一下，你的咖啡馆在城市中太受欢迎，导致每天都人满为患。为了缓解这种压力，你决定在其他地方开设分店，这样顾客就可以在附近的分店享受咖啡，而不必涌向一个地方，这就好比Redis的主从复制，让数据备份并允许多个地方进行读取。但这还不够，因为你需要确保当主要的咖啡馆遇到问题时，例如突然断电，有其他分店能够迅速接手，成为新的主要店铺，继续为顾客提供服务。这就像Redis的哨兵系统，它会自动检测故障并进行转移，确保服务始终在线。最后，随着咖啡馆连锁店的增长，每家店都开始独立运作，甚至可能有自己的特色饮品和优惠

目录一、缓存击穿（热点Key问题）1.1问题描述1.2解决方案及逻辑图  1.2.1互斥锁  1.2.2逻辑过期二、缓存穿透2.1问题描述2.2解决方案逻辑图2.2.1缓存空对象2.2.2布隆过滤器一、缓存击穿（热点Key问题）个人理解：    这里先提前说一下，热点Key问题不考虑缓存穿透了，也就是不考虑命中空缓存了，因为这种一般用于活动秒杀，这些热点Key都是提前存储好的（貌似是这样的，我也不太确定~~）1.1问题描述  经常被查询的一个Key突然失效或者宕机了，导致重建缓存，由于是热点Key，所以有不断的线程来查和重建缓存，导致大量数据到达数据库，这种我们称为缓存击穿。1.2解决方案及逻

网络安全研究人员近期发现WordPress LiteSpeedCache插件中存在一个安全漏洞，该漏洞被追踪为CVE-2023-40000，未经身份验证的威胁攻击者可利用该漏洞获取超额权限。LiteSpeedCache主要用于提高网站性能，据不完全统计已经有500多万安装用户。Patchstack研究员RafieMuhammad表示，LiteSpeedCache插件中存在未经身份验证的全站存储的跨站脚本安全漏洞，可能允许任何未经身份验证的威胁攻击者通过执行单个HTTP请求，在WordPress网站上获取超额权限，从而获取受害者的敏感信息。WordPress方面指出，CVE-2023-40000

漏洞挖掘各平台提交规则1.CNVD：有归属的一般都收，没有实质性危害的不收2.补天：百度权重或者移动权重大于等于才可以收录（满足两者一点就行）3.漏洞盒子：门槛比较低，一般有明确归属感就收，不看权重…漏洞类型暴力破解（弱口令）SQL注入命令执行XSS（跨站脚本）CSRF（跨站伪造请求）文件上传漏洞文件包含漏洞逻辑漏洞信息泄露各cms的公开漏洞OA系统漏洞…弱口令（略）逻辑漏洞验证码爆破支付漏洞…逻辑漏洞是由于代码逻辑不严格导致的（大厂也会存在许多）waf逐渐完善例如SQL注入，RCE等漏洞很难利用，而逻辑漏洞就不会…信息泄露源码泄露：git泄露，svn泄露…思路总结利用搜索引擎逐个测试（最基础