简单介绍NGINX: Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行. 其特点是占有内存少,并发能力强,nginx的并发能力在同类型的网页服务器中表现较好.主要应用在百度,淘宝等高并发请求情形. 漏洞: 1.NGINX解析漏洞 (1)Nginx文件名逻辑漏洞(CVE-2013-4547) 影响版本:Nginx 0.8.41~1.4.3 / 1.5.0~1.5.7 漏洞原理:主要原因是nginx错误的解析了请求的UR…

Nginx配置日志格式记录cookie1. 一般用来做UV统计,或者获取用户token等. 配置方式:  在nginx的配置文件中有个变量:$http_cookie来获取cookie的信息.配置方式很简单,只需要在nginx配置文件的http段,新添加一个log_format就可以了:http{log_format  hehe  '$remote_addr - $remote_user [$time_local] "$request" '               '$status…

nginx解析漏洞,配置不当,目录遍历漏洞复现 1.Ubuntu14.04安装nginx-php5-fpm 安装了nginx,需要安装以下依赖 sudo apt-get install libpcre3 libpcre3-dev sudo apt-get install zlib1g.dev sudo apt-get install libssl-dev 安装php: apt-get install php5-fpm apt-get install nginx 开启Nginx对php的支持,去掉…

对Integer类中的私有IntegerCache缓存类的一点记录 // Integer类有内部缓存,存贮着-128 到 127. // 所以,每个使用这些数字的变量都指向同一个缓存数据 // 因此可以直接使用 == 来比较是否相等 Integer a = 88; Integer b = 88; System.out.println(a == b); // true // 下面这个不在Integer缓存类里的数字,在每次赋值的时候都会新建一个对象存放 // 所以,它们不能使用 == 来判断是否相…

Nginx 解析漏洞复现 Nginx解析漏洞复现. 版本信息: Nginx 1.x 最新版 PHP 7.x最新版 由此可知,该漏洞与Nginx.php版本无关,属于用户配置不当造成的解析漏洞. 使用docker在本地搭建了一个存在漏洞的环境: 访问 http://192.168.0.132/upload.php 是一个正常的上传页面: 我们上传包含<?php phpinfo();?>的一句话图片: 访问图片正常显示: 利用Nginx的解析漏洞,我们访问:http://192.168.0.132…

Nginx的https配置记录以及http强制跳转到https的方法梳理 原文:http://www.cnblogs.com/kevingrace/p/6187072.html 一.Nginx安装(略)安装的时候需要注意加上 --with-http_ssl_module,因为http_ssl_module不属于Nginx的基本模块.Nginx安装方法: 1 2 # ./configure --user=www --group=www --prefix=/usr/local/nginx --wit…

nginx解析漏洞复现 一.漏洞描述 该漏洞与nginx.php版本无关,属于用户配置不当造成的解析漏洞 二.漏洞原理 1. 由于nginx.conf的如下配置导致nginx把以’.php’结尾的文件交给fastcgi处理,为此可以构造http://ip/uploadfiles/test.png/.php (url结尾不一定是‘.php’,任何服务器端不存在的php文件均可,比如’a.php’),其中test.png是我们上传的包含PHP代码的照片文件. 2.但是fastcgi在处理’.php’…

CMDS目的端数据库碎片整理记录 看看数据库里面需要做整理的表有哪些,条件可以根据需求稍微改动一下 SQL> select * from ( 2 select a.owner, 3 a.table_name, 4 a.num_rows, 5 a.avg_row_len * a.num_rows, 6 sum(b.bytes), 7 (a.avg_row_len * a.num_rows) / sum(b.bytes) frag 8 from dba_tables a, dba_segments…

关于建筑设计类软件整理 1 建筑设计类专业最常用软件如下,包括SU,CAD, REVIT,PS等. 2 sketch up 简称SU,中文名草图大师,在推敲方案,拉推体块时有着不可或缺的作用,而且随着2015版的到来,SU内容功能更加强化,许多公司已经将其列入必会的软件,随着时代发展,可能在方案深入,以及最终效果中起到重要作用. 3 autoCAD 简称CAD,建筑,环艺,机械类专业必须得用的一个软件,国内普及很广,也是专业类学生用得很精的软件. 4 Revit,目前国外主流公司基于BIM系统上…

一.漏洞描述 该漏洞与nginx.php版本无关,属于用户配置不当造成的解析漏洞 二.漏洞原理 1.由于nginx.conf的如下配置导致nginx把以'.php'结尾的文件交给fastcgi处理,为此可以构造http://ip/uploadfiles/test.png/.php (url结尾不一定是'.php',任何服务器端不存在的php文件均可,比如'a.php'),其中test.png是我们上传的包含PHP代码的照片文件. 2.但是fastcgi在处理'.php'文件时发现文件并不存在,这…