慢速连接攻击
admin 9年前 (2016-06-03) 4706浏览 0评论
提起攻击,第一反应就是海量的流量、海量的报文。但有一种攻击却反其道而行之,以慢著称,以至于有些攻击目标被打死了都不知道是怎么死的,这就是慢速连接攻击。 slowhttptest是一款对服务器进行慢攻击的测试软件,包含了几种攻击方式,像Slowlori...
admin 9年前 (2016-06-03) 4706浏览 0评论
提起攻击,第一反应就是海量的流量、海量的报文。但有一种攻击却反其道而行之,以慢著称,以至于有些攻击目标被打死了都不知道是怎么死的,这就是慢速连接攻击。 slowhttptest是一款对服务器进行慢攻击的测试软件,包含了几种攻击方式,像Slowlori...
admin 10年前 (2015-04-22) 3790浏览 0评论
OAuth是一个关于授权(authorization)的开放网络标准,在全世界得到广泛应用,目前的版本是2.0版。 本文对OAuth 2.0的设计思路和运行流程,做一个简明通俗的解释,主要参考材料为RFC 6749。 一、应用场景 为了理解OAuth...
admin 10年前 (2014-11-10) 3127浏览 0评论
FastCGI模块(FastCGI) – 范圣帅 – 博客园 这个模块允许nginx同FastCGI协同工作,并且控制哪些参数将被安全传递。 例: location / { fastcgi_pass localhost:900...
admin 10年前 (2014-07-21) 3801浏览 0评论
随着nginx的迅速崛起,越来越多公司将apache更换成nginx. 同时也越来越多人使用nginx作为负载均衡, 并且代理前面可能还加上了CDN加速,但是随之也遇到一个问题:nginx如何获取用户的真实IP地址,如果后端是apache,请跳转到&...
admin 11年前 (2014-03-21) 3448浏览 0评论
今天在使用http post(curl)获取一个数据的时候发现了问题,死活拿不到数据。获取永远为空。 场景是这样的:我向微信发起一个请求,QQ请求我的服务器,由我请求接口服务器。返回结果 但问题是,如果由微信直接请求接口服务器。一切正常。反而因为我做...
admin 11年前 (2014-03-14) 3830浏览 0评论
HTTP协议新增了Content-MD5 HTTP头,但是nginx并不支持这个功能,而且官方也明确表示不会增加这项功能,为什么呢?因为每次请求都需要读取整个文件来计算MD5值,以性能著称的nginx绝对不愿意干出违背软件宗旨的事情。但是有些应用中,...
admin 11年前 (2014-02-27) 15164浏览 0评论
平时用 Chrome 开发者工具抓包时,经常会见到 Proxy-Connection 这个请求头。之前一直没去了解什么情况下会产生它,也没去了解它有什么含义。最近看完《HTTP 权威指南》第四章「连接管理」和第六章「代理」之后,终于搞明白了这是因为给...
admin 11年前 (2014-02-27) 3623浏览 0评论
现代浏览器提供了一些安全相关的响应头,使用这些响应头一般只需要修改服务器配置即可,不需要修改程序代码,成本很低。本文介绍一些这样的响应头: 1. Strict-Transport-Security HTTP Strict Transport Secu...
admin 11年前 (2014-02-27) 5218浏览 0评论
经常抓包看 HTTP 请求的同学应该对 Vary 这个响应头字段并不陌生,它有什么用?用 PageSpeed 工具检查页面时,经常看到「Specify a Vary: Accept-Encoding header(请指定一个 Vary: Accept...
admin 11年前 (2014-02-27) 3452浏览 0评论
这两天写Jedi时涉及到一个小问题。Jedi的可能特性之一是可为不同的UA自动输出不同的HTML/CSS等(比如当遇到html5新标签,对IE6~8输出带namespace的xml标签)。 但是如果不考虑一开始就根据UA来redirect到不同的UR...
admin 12年前 (2013-04-15) 2796浏览 0评论
一、 浏览器端缓存 要利用浏览器缓存则要先了解http协议内容,这里主要利用http协议头部header的一些头域名,主要“Expires”,“Etag”,“Last-Modified”; 先看张原理图: 当然还有其他http头域上图没说明,要...