[转帖]Redis 禁用 危险命令

一、Redis 危险命令 keys * :虽然其模糊匹配功能使用非常方便也很强大,在小数据量情况下使用没什么问题,数据量大会导致 Redis 锁住及 CPU 飙升,在生产环境建议禁用或者重命名!flushdb :删除 Redis 中当前所在数据库中的所有记录,并且此命令从不会执行失败flushall

[转帖]Redis禁用命令、危险命令及规避方法

https://cloud.tencent.com/developer/article/1953714?areaSource=104001.147&traceId=7WZNP412yK3vh7ebw4th0 Redis的危险命令 1、flushdb,清空数据库,而且从不失败 2、flushall,清

Java反射与Fastjson的危险反序列化

Preface 在前文中,我们介绍了 Java 的基础语法和特性和 fastjson 的基础用法,本文我们将深入学习fastjson的危险反序列化以及预期相关的 Java 概念。 什么是Java反射? 在前文中,我们有一行代码 Computer macBookPro = JSON.parseObje

本年度软件供应链攻击事件回顾

软件供应链攻击在过去几年呈上升趋势,并且迅速成为最危险的安全威胁之一。本文将重点介绍了 2022 年到目前为止观察到的一些最值得注意的软件供应链攻击事件。 盘点2022五大软件供应链攻击 Okta 身份验证服务主要提供商 Okta 的网络遭到知名数据勒索组织 Lapsus$ 的攻击,该组织当时表示,

[转帖]Redis 可以禁用的高危命令

https://cloud.tencent.com/developer/article/2064127 高危命令禁用 redis一款高并发的内存K-V数据库,提供了好多命令,但是其中有部分对于生产环境来说比较危险,需要禁用掉。 keys 命令 keys 命令执行的时候是需要进行全库扫描的,因为red

Nacos集群启动注意事项

简介 Nacos是阿里巴巴开源的一套服务注册发现的应用 使用简单灵活, 是spring Cloud Alibaba的组成部分 现在拆分微服务的部署情况下,极大的需求nacos服务作为支撑 单点情况下存在宕机的危险, 所以最近为了进行测试验证. 所以准备启用一套集群版本的nacos集群进行测试兼容性验

[转帖]Redis之安全措施

指令安全 Redis的一些指令会对Redis服务的稳定性及安全性各方面造成影响,例如keys指令在数据量大的情况下会导致Redis卡顿,flushdb和flushall会导致Redis的数据被清空。 Redis在配置文件中提供了 rename-command 指令用于将一些危险的指令修改成其他指令,

[转帖]LVM条带化

一、条带化的概念 一般以LVM管理的存储,一个vg中可能会有很多pv,同样的,一个lv可能跨越多块pv,为了使硬盘存储速度加快,就会用到条带化的技术,即把连续的数据分成大小相同的数据块,然后依次存储在各个pv上。类似于RAID0,使存储速度加快。但并不会使数据像RAID0一样危险容易丢失,因为在正式

netty系列之: 在netty中使用 tls 协议请求 DNS 服务器

简介 在前面的文章中我们讲过了如何在netty中构造客户端分别使用tcp和udp协议向DNS服务器请求消息。在请求的过程中并没有进行消息的加密,所以这种请求是不安全的。 那么有同学会问了,就是请求解析一个域名的IP地址而已,还需要安全通讯吗? 事实上,不加密的DNS查询消息是很危险的,如果你在访问一

php+sql后台实现从主表迁出至副表(数据超万条)

上万条甚至上百万数据进行迁出做备份或者进行不妨碍原系统数据的操作,现在很多企业都会用到,目前就需要将上百万条数据进行迁出到副表保存并操作,直接再后台写一个按钮进行操作,既方便操作也不会很慢。毕竟是客户需要,不能每次迁出都要客户去数据库操作,操作的不好那数据危险度挺高的。 1、分页查询数据库主表数据

XML实体注入漏洞

漏洞等级:高危 漏洞类型:XML实体注入漏洞描述:XXE漏洞全称XML Extemal Endy niecionlxm以外部实体注入漏洞,X在漏洞发生在应用程序经析XML输入时,没有禁止外部实体的加载,导致可加载恶意外部文件,造成文件读取、命令执行、内网端口扫描、攻击内网网站、发起d0s攻击等危害。

常见高危端口有哪些,如何封禁高危端口

常见高危端口有哪些,如何封禁高危端口 转载:https://support.huawei.com/enterprise/zh/doc/EDOC1100297669 了解端口和开放端口的风险 常见高危端口 如何封禁高危端口 如何保护风险端口 了解端口和开放端口的风险 什么是端口? 大家都知道,IP地址

Log4Shell 漏洞披露已近一年,它对我们还有影响吗?

在 Log4Shell 高危漏洞事件披露几乎整整一年之后,新的数据显示,对全球大多数组织来说,补救工作是一个漫长、缓慢、痛苦的过程。 根据漏洞扫描领先者 Tenable 公司的遥测数据来看,截至今年10月,超过70%被扫描的企业仍然受到 Log4shell 漏洞(CVE-2021-44228)的影响

不可重复读的危害

隔离级别 关于这个可重复读的隔离级别。 不可重复读的危害,书上说的事两次读取的值不一样,至于不一样的后果,从网上找的解释并不特别全面清晰。 举一个库存的例子。 事务A 根据库存量需要调配其他物流资源,一切资源配置都依据库存数值。 事务B 、事务C等等,可能是有人买东西,总之这些事务BCD等等都在修改

【逆向专题】【危!!!刑】(一)使用c#+Win32Api实现进程注入到wechat

引言 自从上篇使用Flaui实现微信自动化之后,这段时间便一直在瞎研究微信这方面,目前破解了Window微信的本地的Sqlite数据库,使用Openssl,以及Win32Api来获取解密密钥,今天作为第一张,先简单写一下,获取微信的一些静态数据,以及将自己写的c语言dll通过Api注入到微信进程里面

给博客园的几点现实建议

博客园又遇到了生存危机,老实说,意料之中。 因为,付费会员就能支撑一个完全免费的网站,这种商业模式还没成功过。 博客园的理念我完全理解,但是多听听现实性的建议才是正道。 第一计:祸水东引 博客园不接广告这种坚持我理解,但是,你就不能注册个小号? 比如注册个:hotspot.dev 开发热点网站,上面

Web 安全:OWASP TOP10 漏洞介绍

OWASP TOP 10漏洞是指由Open Web Application Security Project(OWASP)发布的十大最严重、 最普遍的Web应用程序安全漏洞。这些漏洞在当今的Web应用程序中非常普遍,而且具有很高的危害性。 因此被视为web应用程序安全领域必须认真防范和修复的关键问题

毕业季,终于毕业了!

2023.10-2024.06十年有余,没想到在一家公司可以干这么久,属于超长期服役。原本3年前掀完桌子就该背包走人的,没想到又赖了三年。公司属于危机自救无奈减兵过冬,在国法的基础上还加了一点点毕业礼包,在这里真心感谢老板、感谢CCTV、MTV、BTV、皇恩浩荡。 从6.18接到人事通知到6.21最

C++11智能指针 unique_ptr、shared_ptr、weak_ptr、循环引用、定制删除器

目录智能指针场景引入 - 为什么需要智能指针?内存泄漏什么是内存泄漏内存泄漏的危害内存泄漏分类如何避免内存泄漏智能指针的使用及原理RAII简易例程智能指针的原理智能指针的拷贝问题智能指针的发展历史std::auto_ptr模拟实现auto_ptr例程:这种方案存在的问题:Boost库中的智能指针un

给程序员的10堂写作课(一)--30+的你,怎能错过写作?

你是否在职场打拼多年,却始终原地踏步,为升职无望而焦虑?你是否在风云变幻的环境中,整日提心吊胆,不知道何时会被裁员?你是否正步入 35+的行列,面临年龄危机,心生恐惧?如果你正被这些问题所困扰,又苦无对策,那么不妨尝试写作吧。