前言遇到一个TP5的站,过程十分曲折有趣,引发了我这个小菜鸡的一些思考,通过文章分享一下思路,欢迎各位大佬斧正。正文测试受阻前戏就不多说了,PAYLOAD打出PHPINFO。简单介绍一下这个站,ngi...
关于lnmp目录禁止执行的绕过与正确方法
关于lnmp目录禁止执行的绕过与正确方法 phith0n (我也不会难过 你不要小看我) | 2014-11-02 17:50 # 无意中看到了这篇文章:Nginx下多站点正确限制目录php执行权限 ...
纯手工玩转 Nginx 日志
Nginx 日志对于大部分人来说是个未被发掘的宝藏,总结之前做某日志分析系统的经验,和大家分享一下 Nginx 日志的纯手工分析方式。 Nginx 日志相关配置有 2 个地方:access_log 和...
通过nginx配置文件抵御攻击,防御CC攻击的经典思路!
0x00 前言 大家好,我们是OpenCDN团队的Twwy。这次我们来讲讲如何通过简单的配置文件来实现nginx防御攻击的效果。 其实很多时候,各种防攻击的思路我们都明白,比如限制IP啊,过滤攻击字符...
nginx security advisory (CVE-2013-4547)
Hello! Ivan Fratric из Google Security Team обнаружил ошибку в nginx, которая позволяет в некоторых ...
记一次 Kubernetes 机器内核问题排查
此次排查发生在 2020 年 11 月份,一直没时间写博客描述事情经过,本次正好一起写了吧。具体现象在线上环境中的某个应用出现了接口缓慢的问题!就凭这个现象,能列出来的原因数不胜数。本篇博客主要叙述一...
nginx 第三方模块 modsecurity安装使用
简介安装modsecurity安装nginx配置nginx添加OWASP ModSecurity CRS一、简介ModSecurity是一个入侵侦测与防护引擎,它主要是用于Web 应用程序,所以也被称...
Prometheus 采集配置踩坑实例-监控带用户名密码的接口
"NightTeam",一个值得加星标的公众号。这篇文章的主要目的是告诉大家如何配置 Prometheus,使得它可以从指定的 Web Api 接口采集指标数据。文章中用到的案例是 NGINX 的采集...
从0开始到Exploit工具编写
一.信息收集 (1)已知功能 目标主页只提供了两个功能 用户登录 忘记密码 (2)指纹信息 看了下,网站由.net开发,使用的webforms。 但是这里显示了Web服务器是N...
tengine session_sticky_module模块源码分析和使用
nginx以前对session 保持支持不太好,主要采用ip_hash把同一来源的客户(同一C段的IP)固定指向后端的同一台机器,ip_hash有个缺点是不能实现很好的负载均衡;直...
懂王一定懂nginx系列(二):nginx封禁恶意请求,没有人比我更懂
标题纯属开玩笑哈,不要介意,更多nginx内容请访问从今天开始种树恶意请求实属烦人,几分钟都能请求几百次,对于小站而言无疑增加了大量负担,辛辛苦苦原创的内容,几分钟被这些恶意请求白...
懂王一定懂nginx系列(一):墨西哥墙之只允许域名访问,禁止ip方式访问
最近迁移网站从今天开始种树到新的华为云服务器,通过nginx转发,发现可以用ip直接进行访问,故去百度了一下只可用域名访问的方式,找到了若干方法,记录一下。
16