0×00起因
这期XSS挑战的起因是在阅读“Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters”过后,在其中发现了一个很有趣的话题。那就是在圆括号被过滤的情况下,如何去执行javascript。测在文中笔者给出来了这样的解决方案:
<a onmouseover="javascript:window.onerror=alert;throw 1>
...
密码保护:规范区–运维(组织级)-运维日常操作规范
运维日常操作规范
服务器上架规范
服务器出厂前按要求配置RAID信息并设置相关参数
服务器到货前规划好机器机柜、机架号、主机名和网络配置信息并导入资产管理系统
Cobbler配置相关服务器的网络配置和主机名信息
服务器系统安装完成后,自动完成系统初始化和基本监控
服务器配置变更规范
负载均衡器
上班时间或业务高峰仅允许操作新增删除后端节点服务器,禁止修改任何其他配...
密码保护:规范区–运维(组织级)-软件类安装规范
1. 操作系统(LINUX)
1.1、版本:操作系统的版本必须使用当前在用的主要版本,不得自行选择其他版本,如因特殊情况需要使用其他版本或者其他操作系统,需经运维总监审批。
1.2、安装方式:操作系统的安装必须使用已经搭建好的Cobbler等系统,不得手工进行安装,如有例外,需运维总监审批。
2. 应用程序
2.1、所有需要在生产环境安装的应用程序及其版本,必须为当前允许使用...
密码保护:规范区–运维(组织级)-生产环境服务器账号申请规范
务器账号申请条件
原则上非运维人员禁止登陆生产环境服务器,有如下需求的可以申请临时账号:
1、特殊业务,运维人员暂时无法管理,需要研发人员暂时自行管理;
2、运维平台未能覆盖到,而且使用很频繁的需求,可以开通普通用户权限账号。
账号申请流程
为保障服务器安全,账号有效期为1-3个月,到期前会有邮件提醒续期,如需继续使用,请再次提交Jira流程。
1、提交Jira流...
密码保护:规范区–运维 – 运维日常操作红线
1、不允许任何未经授权的线上变更
2、涉及单个系统变更的需要与系统owner或者总监确认
密码保护:数据库操作规范 – 拆分切换规范
全量拆分切换
和项目组确认拆分切换方案以及切换时间点、拆分切换规则等
搭建全量切换从库 与级联从库以及监控、备份、慢查
切换前检查主从一致情况、准备需要切换的域名
设置原主库read_only,同时kill原主库活动连接
切换域名解析,同时关闭新主库read_only,允许新库读写
再次kill老库连接,观察有无新连接产生
通知项目组验证有无问题
断开主从连接,配置双主
观察一周...
密码保护:数据库操作规范 – 数据库初始化规范
数据库初始化规范
机器初始化
所有数据库机器初始化zabbix、数据库监控均需要搭建
初始化机器备份脚本必须统一部署
初始化机器慢查脚本必须部署
初始化机器必须安装keepalived,配置VIP
数据库路径
数据库根目录统一存放/opt/xxxxx/mysql下,多实例统一以_+port方式
mysql.sock问题统一配置存放在数据库根目录下
数据库配置问题统一放置在数据库根目录下
有fusion-io卡机器...
密码保护:数据库操作规范 – 数据库备份规范
备份远程目录命名:backup5575_3306(这里的5575为ip的后两位,3306为端口号)
现在的备份脚本只需要注意以下两点:
安装innobackupex,目录在/usr/local/bin中,可以直接把那二进制文件拷贝到此目录中,并赋予x权限
远程备份机目录挂载点命名:/backup_to_remote
其他的暂时不用管也不用修改(包括配置信息都是自动获取,特例(对于配置my.cnf启动没指定全路径的和我反馈))
密码保护:数据库操作规范 – 数据库操作
1,执行sql文件之前必须review一下,防止出现非法的sql。
2,无论是在公司还是在家,执行sql必须放在screen里或者nohup执行,防止网络突然中断。
3,白天能够提前处理的jira,跟项目组沟通提前执行以提高晚上工作效率。
4,正常发布日外的sql执行,必须走紧急发布。
5,对于敏感数据导出的请求需要总裁办审批。
6,搭建主从时不允许只同步指定的库。
7,登录线上服务器必须...
密码保护:数据库操作规范 – 数据库规范化
数据库安装规范
数据库版本安装mysql-5.6.23
percona工具集安装最新版本
数据库源码编译,指定base路径、指定data目录、指定字符集utf8
mysql安装单实例默认安装为/opt/xxx/mysql/,data目录为/opt/xxx/mysql/data/有PCIE-SSD盘data路径为/database/mysql/data/
多实例安装时,路径为/opt/xxx/mysql_330X,data目录为/opt/xxx/mysql_330X/data,PCIE-SSD盘data路径为/databa...