后台(内网)打穿神器→xss蠕虫

后台(内网)打穿神器→xss蠕虫
首先要说一下,有这个插件是因为看了一篇文章,然后根据文章提供的dom稍作修改。 文章地址:延长 XSS 生命期 作者:EtherDream   有兴趣的朋友可以看看。本插件至少在chrome浏览器已经测试成功完全没问题。其他浏览器未测。 插件使用方法及注意事项: 首先使用这个插件必须要有一个使用【默认模块】的一个项目,注意这个项目只能使用【默认模块】不要使用其它模块配合。 此...

百度搜索框反射XSS分析 (2015年案例)

百度搜索框反射XSS分析 (2015年案例)
最近迷恋上了反射XSS,搜集各种相关知识,案例。最近发现一个2015年某大神找到的百度搜索框的反射XSS,看完之后觉得还是很有学习的意义的。 【案例一:百度搜索框反射XSS分析】 首先上图加完整payload如下: 百度搜索框反射XSS http://www.baidu.com/s?wd=site:<script/xx>/**/alert(/XSSPAYLOAD/)// 不过还好,有曾经这个网页的快照来分析代码,所以废话不多说,直接...

swf\flash反编译工具 JPEXS Free Flash Decompiler

swf\flash反编译工具 JPEXS Free Flash Decompiler
很多人网上找到的swf\flash反编译工具不是被捆木马,就是病毒文件,巨坑,还有什么需要注册码,还有什么全是广告也无法下载,这里本人推荐一款软件swf\flash反编译工具,免费且真的好用,本人亲测。如图: JPEXS Free Flash Decompiler工具截图 下载地址:http://pan.baidu.com/s/1gf5SWin  密码:amme 官方网站:https://www.free-decompiler.com/flash/ 当然了它也需要你...

密码保护:规范区–运维(组织级)-运维日常操作规范

密码保护:规范区–运维(组织级)-运维日常操作规范
运维日常操作规范 服务器上架规范 服务器出厂前按要求配置RAID信息并设置相关参数 服务器到货前规划好机器机柜、机架号、主机名和网络配置信息并导入资产管理系统 Cobbler配置相关服务器的网络配置和主机名信息 服务器系统安装完成后,自动完成系统初始化和基本监控 服务器配置变更规范 负载均衡器 上班时间或业务高峰仅允许操作新增删除后端节点服务器,禁止修改任何其他配...

密码保护:规范区–运维(组织级)-软件类安装规范

密码保护:规范区–运维(组织级)-软件类安装规范
1. 操作系统(LINUX) 1.1、版本:操作系统的版本必须使用当前在用的主要版本,不得自行选择其他版本,如因特殊情况需要使用其他版本或者其他操作系统,需经运维总监审批。 1.2、安装方式:操作系统的安装必须使用已经搭建好的Cobbler等系统,不得手工进行安装,如有例外,需运维总监审批。 2. 应用程序 2.1、所有需要在生产环境安装的应用程序及其版本,必须为当前允许使用...

密码保护:规范区–运维(组织级)-生产环境服务器账号申请规范

密码保护:规范区–运维(组织级)-生产环境服务器账号申请规范
务器账号申请条件 原则上非运维人员禁止登陆生产环境服务器,有如下需求的可以申请临时账号: 1、特殊业务,运维人员暂时无法管理,需要研发人员暂时自行管理; 2、运维平台未能覆盖到,而且使用很频繁的需求,可以开通普通用户权限账号。 账号申请流程 为保障服务器安全,账号有效期为1-3个月,到期前会有邮件提醒续期,如需继续使用,请再次提交Jira流程。 1、提交Jira流...

密码保护:数据库操作规范 – 拆分切换规范

密码保护:数据库操作规范 – 拆分切换规范
全量拆分切换 和项目组确认拆分切换方案以及切换时间点、拆分切换规则等 搭建全量切换从库 与级联从库以及监控、备份、慢查 切换前检查主从一致情况、准备需要切换的域名 设置原主库read_only,同时kill原主库活动连接 切换域名解析,同时关闭新主库read_only,允许新库读写 再次kill老库连接,观察有无新连接产生 通知项目组验证有无问题 断开主从连接,配置双主 观察一周...

密码保护:数据库操作规范 – 数据库初始化规范

密码保护:数据库操作规范 – 数据库初始化规范
数据库初始化规范 机器初始化 所有数据库机器初始化zabbix、数据库监控均需要搭建 初始化机器备份脚本必须统一部署 初始化机器慢查脚本必须部署 初始化机器必须安装keepalived,配置VIP 数据库路径 数据库根目录统一存放/opt/xxxxx/mysql下,多实例统一以_+port方式 mysql.sock问题统一配置存放在数据库根目录下 数据库配置问题统一放置在数据库根目录下 有fusion-io卡机器...

密码保护:数据库操作规范 – 数据库备份规范

密码保护:数据库操作规范 – 数据库备份规范
备份远程目录命名:backup5575_3306(这里的5575为ip的后两位,3306为端口号) 现在的备份脚本只需要注意以下两点: 安装innobackupex,目录在/usr/local/bin中,可以直接把那二进制文件拷贝到此目录中,并赋予x权限 远程备份机目录挂载点命名:/backup_to_remote 其他的暂时不用管也不用修改(包括配置信息都是自动获取,特例(对于配置my.cnf启动没指定全路径的和我反馈))