浏览类别

信息安全

信息安全 运维

浏览器破解不能选择复制的网页

最近看见一个网站,禁止了复制功能,但是没有禁止右键,文字不能复制,图片还可以单独右键。 咱复制,就是为了批量选好一键复制,一个个复制,不得累死吗。。。 所以就找了下相关资讯,我用的谷歌浏览器,那就是按照谷歌浏览器来搜索的了。 找到一段代码,把这段代码加到浏览器的书签,在不能复制的网页,点一下这个代码的书签就行了,这让我想起了,我另外一段代码,也是这种方式,不过那个代码是用来获取P站直链视频的。 把 […]…

继续阅读

信息安全 运维

记录一次wordpress的Webshell后门文件

这个后门文件在服务器网站目录1个月了,一直没去处理,因为没注意过阿里云的通知,又想到那台服务器下,好像没重要的网站,开始就无视安全警告提醒了。 一、Webshell后门文件生成 在看提示的Webshell后门文件,发现生成时间是:2019年12月3日。 阿里云总提示200多次,但并非都是这个问题,所以就用了Wordfence安全插件在后台扫描,扫描出来了170个左右文件,是这个Webshell后门 […]…

继续阅读

信息安全 运维

谷歌浏览器批量下载网页图片插件推荐

很少用批量下载网页图片的需求,第一次用好像还是在成都工作的时候,需要上传商品详情,从其他商城里面,把图片批量下载下来,也就开始那几天,几天后技术开发好远程图片自动下载就再也没用过了。 最近要用,是涉及到测试某网站了,今天用了两款谷歌浏览器插件: 1、Fatkun图片批量下载 谷歌市场:安装 以前也是用的这个,如果网页图片不多,可以用这个,图片多就不适合了,分好几页显示,太麻烦。 Fatkun图片批 […]…

继续阅读

信息安全 运维

电商外贸支付类网站站优化ssl证书安全规范

接手做一个电商网站的时候,发现原网站的nginx配置有点错误,并且有的代码还很老了,默认了一些一键脚本的设置,其中就包括了ssl_protocols控制。 很多人在配置网站ssl的时候,并不在意,看见什么就点什么,或者默认安装,然后就启用了: TLSv1由于是早期协议,会导致PCI DSS认为你网站的ssl不合格规范,特别是针对一些涉及支付类型的网站,如果不满足PCI安全规格,就可能不保护支付数据 […]…

继续阅读

信息安全 运维

常见ssl证书颁发机构介绍

今天对接ssl证书接口的时候,才发现这两年ssl颁发机构已经有了一些变化。原来的Comodo已经更名Sectigo,我们大多数就是买的Comodo证书,今天更新的时候才知道这事。 就顺便再去看了下,当然对于大部分用户来说,用免费的就可以了,纯免费的在阿里云,腾讯云等都可以免费申请,也方便使用。腾讯云现在的免费DV证书是TrustAsia(亚洲诚信)提供的,本网站就是用的这个。阿里云的免费Dv证书是 […]…

继续阅读

信息安全 运维

Windows和Mac修改hosts文件

hosts文件属于电脑系统文件,一般我们常用的,就是在里面添加网址,可以访问平时不能访问的网站。 Mac:(常见有两种方法,第一种毕竟麻烦) 第一种.1: 打开访达也就是Finder,然后快捷键Shift+Command+G,一起按,然后在弹出框输入:/etc/hosts 第一种.2: 复制hosts一份到桌面,然后在桌面打开修改。 这样添加: 104.28.2.109 www.jingxiala […]…

继续阅读

信息安全 运维

cloudflare设置301跳转到www

很久没用过cloudflare了,比我以前接触的时候多了很多功能选项。 最近因为中国防火墙的事,误害我损失2台服务器,为了能让国内用户还能访问网站,只好套cloudflare了。 cloudflare怎么对接就不说了,反正很简单,都有步骤提示的,就是改下域名的dns服务器。 也可以走第三方平台的cname解析,本站就是用的cname解析,自己会折腾,也可以自己找cloudflare申请开放api。 […]…

继续阅读

信息安全 运维

小程序配置CDN防盗链与防御

今天凌晨12点10分左右,一个客户的小程序遭到了恶意机器人拉取图片识别,126个IP,请求了20多万次,消耗了24G流量。 之前小程序绑定的域名做了CDN,只是简单的套上,其他什么都没做,在今天凌晨这事之后,我们收到了腾讯云的通知,就赶紧修改了CDN配置,并且拉黑了恶意IP。 1:配置QPS限制 降到了20秒/次,其实正常用户访问,基本不到10秒一次的。(当然看是什么业务) 2:宽带封顶设置 其实 […]…

继续阅读

信息安全

博客服务器配置

我经常换服务器,基本都是遇到各大运营商的活动,然后趁机撸来放博客用。 静态图片:阿里云OSS CDN:腾讯云 2019年12月至今: 运营商:阿里云2核4G5M(同服务器下13个网站-1个内部商城,1个发卡,1个统计,剩下都是企业官网) 2019年11月至12月: 运营商:腾讯云 2019年7月至11月: 运营商:阿里云轻量服务器 2019年2月至2019年7月: 运营商:layerstack 2 […]…

继续阅读

wordpress 信息安全

wordpress 4.9.6任意文件删除漏洞修复

国外的安全团队前几天发现了wordpress的新漏洞,版本低于和包括4.9.6的都有这个问题。 目前wordpress官方最新版本就是4.9.6,所以官方还没有出新版修复这个问题。 如果急的,可以临时修复下。 至于这个漏洞带来的后果就是可以重置你的网站,如果觉得网站重要就临时修复吧,不重要就等等。 毕竟wordpress官方一般处理都算快的了。 临时修复一: 修改/wp-admin/post.ph […]…

继续阅读

信息安全

phpMyAdmin <=4.8.1 后台checkPageValidity函数缺陷可导致GETSHELL

phpMyAdmin <=4.8.1 后台checkPageValidity函数缺陷可导致GETSHELL checkPageValidity函数对外部输入过滤不严,可导致本地包含任意文件。进一步地攻击者可通过注入代码到特定文件进行包含造成远程代码执行。 这是上个月爆出的漏洞,具体流程自己搜索下吧,阿里云后台也有提示,不过你要是用阿里云安全修复,就得给钱了。 phpMyAdmin官方已经修复 […]…

继续阅读

信息安全

阿里云跨账号内网VPC互连设置

最近用了2个账号的阿里云云服务器,A账号的云服务器放网站,B账号的云服务器搭建了数据库。 前提: 1:AB账号下的节点同区域,我的都是在华东区域。 2:购买高速通道请选择按量付费,因为预付费不能创建接收端,因为同区域,预付费和按量付费都是0,所以你创建的发起端账号也可以选择预付费,随便你。 3:参考:跨账号VPC互连 其实看官网教程基本就明白了,可能只是由于新的控制后台,有的人就不会看了。 所以我 […]…

继续阅读

信息安全

Memcache作为DRDoS反射放大器 未授权访问漏洞修复

昨天在群里看见有人发了出自360安全的文章:[预警]利用 Memcache 作为 DRDoS 反射放大器进行 DDoS 攻击 进去看了下,这个利用还真不错,小成本大dd啊。 这是360最后关于这个利用漏洞的修复提示: 对于Memcache使用者 memcache的用户建议将服务放置于可信域内,有外网时不要监听 0.0.0.0,有特殊需求可以设置acl或者添加安全组。 为预防机器器扫描和ssrf等攻 […]…

继续阅读

Linux 信息安全

linux nginx安装HttpGuard防止CC攻击

之前说了安装verynginx来进行cc防御和防火墙,虽然功能强大,还有控制面板,但是个人就只是防御下cc,还是找个简单的好了。 HttpGuard有免费版本和商业版,商业版也是有控制面板的,现在好像是500一年吧,原价2000。如果不懂程序或者要更多功能的,可以去买授权。 免费版本还是在,只是防御CC攻击,还是可以的。 如果要商业版可以去官方网站:HttpGuard HttpGuard也是基于l […]…

继续阅读

Linux 信息安全

linux nginx服务器安装verynginx防止CC攻击

自己国内重要网站都是用的某些商业防护软件,但是最近增加了个国外的vps,就不方便。 当然我看国外某款waf,也挺便宜的,效果不亚于阿里云的安全产品。 不过网站小,没必要一个月20刀去买,就用nginx简单的弄下防御就好了。 由于vps已经套了Any cast就不怎么担心ddos了,弄下cc防御就好了。 基于nginx关于防御cc攻击的,网上挺多相关脚本模块的,很多都是基于lua开发的,然后用Ope […]…

继续阅读

信息安全

谷歌浏览器开飞机教程合集

这篇文章最早发布于2016年,应该是2017年就撤回了,一直在后台保存为草稿。 为什么到今天2019年6月,我会重新整理发出来呢? 就是前几天我被机场限制了,心情复杂,反正已经中招了,那现在无所谓了。 当然这篇文章重新整理之后,需要有一定基础的人玩。 总的就4步: 1、飞机(自己找去) 2、机场(自己买地搭建) 3、跑道(浏览器和插件SO) 4、上天 第一步:关于1的飞机,不提。 第二步:怎么修机 […]…

继续阅读

信息安全

发现目录启用了自动目录列表功能漏洞解决方法

今天用360检测网站的时候,出现了“发现目录启用了自动目录列表功能"的漏洞提示。 360给出了解决方法,不过只有针对Apache的,而我有用IIS也有用Apache的,IIS的没有提示,不过我还是去看了下目录。 Apache可以按照360官方给出的方法来修复,我这里也会说下。 IIS修复方法: windows服务器的简单,直接关掉浏览目录就行。iis服务器默认都是关闭的,极少有打开这个目录的。 A […]…

继续阅读