安全防范:nginx下git引发的隐私泄露问题 1   安全事件 最近阿里云服务器后台管理系统中收到一条安全提示消息,系统配置信息泄露: http://my.domain.com/.git/config 能够被公网无认证即可访问,请修复. 一般情况下,配置信息泄露是相当严重的问题,往往会千万另外一个地方整片区域的 沦陷,比如:数据库.当然本例并没有这样,但是可以作为一个典型安全来进行讲解. 2   问题分析 由于目前的 web 项目的开发采用前后端完全分离的架构:前端全部使用静态文件,和后端代码

YS android手机APP对外开放多余的content provider,可任意增.删.改和查images数据库表格,导致隐私泄露 问题描述: YS android手机APP使用SQLITE数据库做数据存储,在android系统上可以通过content provider实现对SQLITE数据库的操作,通过drozer查看发现YS APP对外开放了content provider(经确认是不需要开放的),通过测试发现该provider对应images数据表,里面存放了用户名和用户保存在本地的图

CentOS 7 下 JDK1.8+Maven+Nginx+MySql+Git+Redis环境安装 安装目录准备 新建data目录,用来放下载的软件 mkdir -p /data 切换到该data目录 cd /data JDK1.8安装 JDK下载 如果需要用户密码,注册一个即可 用winSCP上传到服务器data目录下 解压文件 tar -zxvf jdk-8u211-linux-x64.tar.gz Maven安装 maven下载 wget http://mirrors.gigenet.co

继续对Fortify的漏洞进行总结,本篇主要针对 Privacy Violation(隐私泄露) 和 Null Dereference(空指针异常) 的漏洞进行总结,如下: 1.1.产生原因: Privacy Violation 会在以下情况下发生: 1. 用户私人信息进入了程序. 2. 数据被写到了一个外部介质,例如控制台.file system 或网络. 示例 1:以下代码包含了一个日志记录语句,该语句通过在日志文件中存储记录信息跟踪添加到数据库中的各条记录信息.在存储的其他数值中,getP

[简版:http://weibo.com/p/1001603881940380956046] 前言 一直以为该风险早已被重视,但最近无意中发现,仍有不少网站存在该缺陷,其中不乏一些常用的邮箱.社交网站,于是有必要再探讨一遍. 事实上,这本不是什么漏洞,是 Flash 与生俱来的一个正常功能.但由于一些 Web 开发人员了解不够深入,忽视了该特性,从而埋下安全隐患. 原理 这一切还得从经典的授权操作说起: Security.allowDomain('*') 对于这行代码,或许都不陌生.尽管知道使用

1.nginx与PHP的关系 首先来看nginx与php的关系, FastCGI的关系(而不是像apache那样安装成nginx的模块) FastCGI的意思是, 快速的通用网关接口:CGI Common Gateway Interface, 通用网关接口, 典型的web服务器与处理程序通讯的方式. FPM, PHP'提供的用于管理FastCGI进程的功能. 2.安装带有FPM功能的PHP linux 还是之前的PHP源码包, 还是原来的安装步骤. 仅仅在配置PHP安装时, 增加选项,开启FPM

参考<Git权威指南>安装整理,图书配套网址参见[1] 1. Cygwin下安装配置Git 1. 在Windows下安装配置Git有2种不同的方案 (1)msysGit, (2)Cygwin下使用Git. 作者推荐在Cygwin下使用Git,因为在Cygwin下很容易获得与Git使用相关的一些开源工具.而msysGit不能满足这个需求. 2. 首先要安装Cygwin 初次安装Cygwin时建议全部安装,这样就不会出现一些缺少模块的错误,而且Git也会被一同安装上,新手使用,比较省心. 3. 忽

原文:http://aaba.me/blog/2014/03/setup-a-private-http-nginx-based-git-server.html https://doomzhou.github.io/git/linux/2016/03/30/git-over-http-by-nginx.html 参考:http://beginor.github.io/2016/03/12/http-git-server-on-nginx.html « Downgrade Lightroom 5 c

0×00 前言 说到闪付卡,首先要从EMV开始,EMV是由Europay,MasterCard和VISA制定的基于IC卡的支付标准规范.目前基于EMV卡的非接触式支付的实现有三个:VISA的payWave,MasterCard的PayPass以及银联的闪付QuickPass.目前从外观来看,银联发行的卡面有芯片的IC卡均支持闪付,部分银行支持VISA的payWave. 0×01 闪付卡隐私泄露风险 想象一下当路人拿着巴掌大的设备靠近你的时候,你身上的银行卡的卡号.发卡行.最近十笔的交易记录等,甚

shell 实现自动备份nginx下的站点 优点 实现自动备份ngnix下的所有运行的站点 自定义排除备份站点,支持三种排除 自动维护备份目录,防止备份目录无限扩大 备份压缩tar.gz格式 源码: #!/bin/bash ######################### # 功能:实现自动备份nginx下的站点 # 版本:v1. # 时间:// # 作者:百里 # 最后修改时间:// ######################## set +x ######################

参考<Git权威指南>安装整理,图书配套网址参见[1] 1. Cygwin下安装配置Git 1. 在Windows下安装配置Git有2种不同的方案 (1)msysGit, (2)Cygwin下使用Git. 作者推荐在Cygwin下使用Git,因为在Cygwin下很容易获得与Git使用相关的一些开源工具.而msysGit不能满足这个需求. 2. 首先要安装Cygwin 初次安装Cygwin时建议全部安装,这样就不会出现一些缺少模块的错误,而且Git也会被一同安装上,新手使用,比较省心. 3. 忽

Git官网:https://git-scm.com/ 一.Git下载 官网首页下载,当前最新版本:2.24.1 本人下载的是Git for Windows版本:Git-2.24.1.2-64-bit.exe 二.安装 基本上按照默认选项安装即可. 安装成功后在开始菜单生成Git目录和3个子菜单. Git Bash:一个封装过的cmd命令行,并在其中加入了一些新的命令与功能.(linux风格)Git CMD(Deprecated):cmd命令行界面,提示已弃用.(windows风格)Git GUI

Privacy Violation 隐私泄露 Abstract 对各种机密信息处理不当,如客户密码或社会保障号码,会危及到用户的个人隐私,这是一种非法行为. Explanation Privacy Violation 会在以下情况下发生: 用户私人信息进入了程序. 数据被写到了一个外部介质,例如控制台. file system 或网络. 例: 以下代码包含了一个日志指令,该日志指令通过在日志文件中储存记录信息的方式跟踪添加到数据库中的各条记录信息. 在储存的其他数值中, getPassword(

微信搜索"艺术行者",关注并回复关键词"git"获取Github安装包 上传的在线学习视频(黑马和传智双元,感谢) 微信搜索"艺术行者",关注并回复关键词"gitstudy"获取课程资料 Git介绍 GIt是分布式版本控制系统,它是没有中央服务器的,每个人的电脑就是一个完整的版本库,因此工作时不需要联网.既然每个人的电脑都有一个完整的版本库,那么多个人如何协作?比如说自己在电脑上修改了A文件,另一个人也修改了A文件,这个时候,

Ubuntu下git的安装与使用 Ubuntu下git的安装与使用与Windows下的大致相同,只不过个人感觉在Ubuntu下使用git更方便. 首先,确认你的系统是否已安装git,可以通过git指令进行查看,如果没有,在命令行模式下输入sudo apt-get install git命令进行安装. 安装完成后进行git配置,输入指令git config --global user.name "xxx"和 git config --global user.email "你的邮

有一种场景是经常发生的. 大家都基于develop拉出分支进行并行开发,这里的分支可能是多到数十个.然后彼此在进行自己的逻辑编写,时间可能需要几天或者几周.在这期间你可能需要时不时的需要pull下远程develop分支上的同事的提交.这是个好的习惯,这样下去就可以避免你在一个无用的代码上进行长期的开发,回头来看这些代码不是新的代码.甚至是会面临很多冲突需要解决,而这个时候你可能还需要对冲突的部分代码进行测试回归,这就很麻烦了. 那么我们来看一下你在pull时候需要习惯性的加上—rebase参数,

在使用git作为源代码管理工具的时候,开发的时经常会面临一个常见的问题,多个commit 需要合并为一个完整的commit提交. 在一个基本的迭代周期里,你会有很多次commit,有跟配置文件相关的,有跟代码相关的,甚至有跟下次发布fixbug相关的.这些都是你在完成本地开发的时候一个变化记录而已.但是当你需要将你的迭代项目作为一次发布提交时就需要整合所有之前提交的那些很零碎的commit. 根据基本规范,你的commit应该类似"release:20161023_imageprint"

工作中常常有写不能有网页下载东西的需求,在Apache下搭建完成后直接导入文件即可达到下载/显示文件的效果;而Nginx的目录列表功能默认是关闭的,如果需要打开Nginx的目录列表功能,需要手动配置,还可以进行访问验证:nginx目录列表功能需要用到下面这个模块:ngx_http_autoindex_module 此模块用于自动生成目录列表,只在 ngx_http_index_module模块未找到索引文件时发出请求. 下面就对nginx的目录浏览及验证访问功能的操作进行梳理: 1)设置目录浏览

命令行下Git的使用 写在前边的话 以自己即将进行的毕设项目为例,进行Git使用的简易说明.不过由于校园网络的限制,故使用GitOSC. 快速开始 本次git使用位于自己的个人PC上,所以将个人的Git账户配置为全局使用. git config --global user.name "个人用户名" git config --global user.mail "youremail@example.com" 在本地创建代码仓库 首先需要在本地创建对应目录 mkdir S

设置ubuntu 下git 的用户名和邮箱 摘自  慢慢修远路,上下求索心http://yanshaozhi.iteye.com/blog/386752 虽然我没看怎么明白 但我用第一总方法就设置好了,设置好了是不会有提示的. 设置好以后就用 :git config --list 命令查看. Guides: Tell git your user name and email address  Git needs to know your username and email address to