XSS挑战第一期Writeup

XSS挑战第一期Writeup
0×00起因     这期XSS挑战的起因是在阅读“Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters”过后,在其中发现了一个很有趣的话题。那就是在圆括号被过滤的情况下,如何去执行javascript。测在文中笔者给出来了这样的解决方案: <a onmouseover="javascript:window.onerror=alert;throw 1>  ...

密码保护:规范区–运维(组织级)-运维日常操作规范

密码保护:规范区–运维(组织级)-运维日常操作规范
运维日常操作规范 服务器上架规范 服务器出厂前按要求配置RAID信息并设置相关参数 服务器到货前规划好机器机柜、机架号、主机名和网络配置信息并导入资产管理系统 Cobbler配置相关服务器的网络配置和主机名信息 服务器系统安装完成后,自动完成系统初始化和基本监控 服务器配置变更规范 负载均衡器 上班时间或业务高峰仅允许操作新增删除后端节点服务器,禁止修改任何其他配...

密码保护:规范区–运维(组织级)-软件类安装规范

密码保护:规范区–运维(组织级)-软件类安装规范
1. 操作系统(LINUX) 1.1、版本:操作系统的版本必须使用当前在用的主要版本,不得自行选择其他版本,如因特殊情况需要使用其他版本或者其他操作系统,需经运维总监审批。 1.2、安装方式:操作系统的安装必须使用已经搭建好的Cobbler等系统,不得手工进行安装,如有例外,需运维总监审批。 2. 应用程序 2.1、所有需要在生产环境安装的应用程序及其版本,必须为当前允许使用...

密码保护:规范区–运维(组织级)-生产环境服务器账号申请规范

密码保护:规范区–运维(组织级)-生产环境服务器账号申请规范
务器账号申请条件 原则上非运维人员禁止登陆生产环境服务器,有如下需求的可以申请临时账号: 1、特殊业务,运维人员暂时无法管理,需要研发人员暂时自行管理; 2、运维平台未能覆盖到,而且使用很频繁的需求,可以开通普通用户权限账号。 账号申请流程 为保障服务器安全,账号有效期为1-3个月,到期前会有邮件提醒续期,如需继续使用,请再次提交Jira流程。 1、提交Jira流...

密码保护:数据库操作规范 – 拆分切换规范

密码保护:数据库操作规范 – 拆分切换规范
全量拆分切换 和项目组确认拆分切换方案以及切换时间点、拆分切换规则等 搭建全量切换从库 与级联从库以及监控、备份、慢查 切换前检查主从一致情况、准备需要切换的域名 设置原主库read_only,同时kill原主库活动连接 切换域名解析,同时关闭新主库read_only,允许新库读写 再次kill老库连接,观察有无新连接产生 通知项目组验证有无问题 断开主从连接,配置双主 观察一周...

密码保护:数据库操作规范 – 数据库初始化规范

密码保护:数据库操作规范 – 数据库初始化规范
数据库初始化规范 机器初始化 所有数据库机器初始化zabbix、数据库监控均需要搭建 初始化机器备份脚本必须统一部署 初始化机器慢查脚本必须部署 初始化机器必须安装keepalived,配置VIP 数据库路径 数据库根目录统一存放/opt/xxxxx/mysql下,多实例统一以_+port方式 mysql.sock问题统一配置存放在数据库根目录下 数据库配置问题统一放置在数据库根目录下 有fusion-io卡机器...

密码保护:数据库操作规范 – 数据库备份规范

密码保护:数据库操作规范 – 数据库备份规范
备份远程目录命名:backup5575_3306(这里的5575为ip的后两位,3306为端口号) 现在的备份脚本只需要注意以下两点: 安装innobackupex,目录在/usr/local/bin中,可以直接把那二进制文件拷贝到此目录中,并赋予x权限 远程备份机目录挂载点命名:/backup_to_remote 其他的暂时不用管也不用修改(包括配置信息都是自动获取,特例(对于配置my.cnf启动没指定全路径的和我反馈))

密码保护:数据库操作规范 – 数据库操作

密码保护:数据库操作规范 – 数据库操作
1,执行sql文件之前必须review一下,防止出现非法的sql。 2,无论是在公司还是在家,执行sql必须放在screen里或者nohup执行,防止网络突然中断。 3,白天能够提前处理的jira,跟项目组沟通提前执行以提高晚上工作效率。 4,正常发布日外的sql执行,必须走紧急发布。 5,对于敏感数据导出的请求需要总裁办审批。 6,搭建主从时不允许只同步指定的库。 7,登录线上服务器必须...

密码保护:数据库操作规范 – 数据库规范化

密码保护:数据库操作规范 – 数据库规范化
数据库安装规范 数据库版本安装mysql-5.6.23 percona工具集安装最新版本 数据库源码编译,指定base路径、指定data目录、指定字符集utf8 mysql安装单实例默认安装为/opt/xxx/mysql/,data目录为/opt/xxx/mysql/data/有PCIE-SSD盘data路径为/database/mysql/data/ 多实例安装时,路径为/opt/xxx/mysql_330X,data目录为/opt/xxx/mysql_330X/data,PCIE-SSD盘data路径为/databa...