• 关于

    系统登录可以做什么

    的搜索结果

回答

1.把 openid 入库,因为每次登录后的 openid 都一样2.一次请求之后如果你还想要用户的其它信息,可以将 access_token 存起来,过期时间是它给你的。3.你可以绑定自己的帐号,腾讯没做出永久开放的承诺,那么一旦腾讯不开放了,你的用户什么也不是,所以,可以绑定一个邮箱,至于密码,可以不要设置4.设置用户已经登录,具体你看 SF 是怎么做的就怎么做吧5.注意事项就是第三点:绑定自己的用户系统,和第二点:可以做一些其它动作

落地花开啦 2019-12-02 02:46:31 0 浏览量 回答数 0

问题

磁盘数据恢复,导出数据乱码,文件属性E、AE

ecs007 2019-12-01 20:17:39 1189 浏览量 回答数 1

回答

我不知道你的云服务器是什么操作系统,如果客户端无法正常登录时,先使用不同的SSH客户端基于相同账户信息进行登录测试。如果能正常登录,则判断是客户端配置问题,需要对客户端配置或软件运行情况做排查分析。 如果你的云服务器是linux操作系统,可以参考一下这里详细的问题排查教程:通过SSH无法远程登录Linux实例的排查指引

游客4iwvnlourklvm 2019-12-02 02:14:22 0 浏览量 回答数 0

阿里云试用中心,为您提供0门槛上云实践机会!

0元试用32+款产品,最高免费12个月!拨打95187-1,咨询专业上云建议!

回答

当时我正在使用xftp操作linux,且一直没有关闭,这个为以下操作的前提。也做个提示,如果有类似的误删操作系统的文件,千万不要将已经连接的ssh,或者xftp连接给关闭了,如果关闭了,就很有可能再也不能远程连接了。/bin目录下文件介绍先了解了一下bin目录下文件内容的作用:bin文件夹下的内容文件为常用的shell命令,在下面的截图中可以看到:cat,chmod,cp,login... 等常用命令。看到login也在里面,感觉有点不妙,会不会是这台服务器已经不能再远程登录了?黑人脸问号.png。修改权限使用ssh测试远程连接,果然连接不上了。于是网上搜索补救措施,看了好多网上教程,好多都是使用ssh连接(在没有关闭ssh连接的前提下操作),远程恢复的。网络上的恢复教程大致是:从其他的相同的linux操作系统中复制一份bin文件到已经删除的linux系统中。但远程ssh登录不了,复制不了文件到这个linux系统中。但是想到有xftp还没有关闭连接,于是就打算采用这个xftp恢复bin目录。2.注意:如果已经正在远程连接,不要关远程连接,例如:ssh连接,xftp连接3.在相同配置的linux系统复制一份bin文件使用虚拟机软件,创建一台相同liunx版本的系统,再将系统中bin文件夹中的内容复制一份。并使用xftp将bin文件内容复制到删除的目录中。重新测试ssh远程登录连接系统,结果还是不行。继续思考为什么会不行。想到会不会是文件权限引起的问题,还好xftp可以查看文件权限,果然有这个问题,xftp复制进系统的文件权限只有只读权限,可bin目录下的文件都是需要执行权限的啊。还好xftp可以修改文件权限,于是有了以下的修改权限的截图。绿色的文件代表可以执行,也就说先将以下的的文件中比较重要的文件(绿色的文件,修改权限前文件为灰色)权限改为755。然后再ssh远程登录系统,果然ok,可以登录且可以操作系统。接下来将bin文件夹中的所有文件权限改为 755,恢复完成。修改权限5.总结不要随便使用root权限!不要随便使用root权限!不要随便使用root权限!重要的事情说三遍。于是新建了一个用户,专门用部署前端应用,限制权限,够用的操作权限。当错误已经发生时,不要慌,不要想着逃避,而是思考如何补救,如何将这个错误的影响降到最低,并记录下错误,反思为什么会有这种情况发生,如何防止这种错误。任何事情不要想当然,不要以为你以为的就是你以为的(我以为xftp会打开历史操作的html目录,事实上并没有,打脸)。

小六码奴 2019-12-02 02:02:15 0 浏览量 回答数 0

问题

Linux下怎么将从终端输入的帐号密码与系统保存的密码密文进行对比?

杨冬芳 2019-12-01 20:25:19 809 浏览量 回答数 1

问题

请教用PHP做服务器接口客户端用http协议POST访问安全性一般怎么做?

落地花开啦 2019-12-01 19:54:04 1200 浏览量 回答数 1

问题

为什么SSH 登录时出现如下错误:Too many authentication failures for root

boxti 2019-12-01 22:00:05 1505 浏览量 回答数 0

问题

为什么SSH 登录时出现如下错误:User root not allowed because not listed in

boxti 2019-12-01 22:00:11 1859 浏览量 回答数 0

回答

抱歉亲,先不要用IE浏览器了,换 一个浏览器先用,问题我们已经在排查了 ------------------------- 回 2楼(mike0104) 的帖子 呃,你在那里办公的,使用的是什么网络环境,你的帐号是多少,发来看一下 ------------------------- 回 4楼(ciqtian) 的帖子 你是什么系统的电脑,以及使用的什么网络环境,学校吗?还是公司办公网络环境,更换一个电脑试试,感觉像是代理DNS的问题,如果有网管的话让他帮你看 一下DNS就知道了 ------------------------- 回 8楼(为什么) 的帖子 亲,你使用也是XP系统IE或者360浏览器吗?如果是的话,建议亲更换一个其它的浏览器,如果是WIN7系统也不行,亲,提供一下在线的联系方式,我这里远程帮你看一下,在线联系方式最好是私信给我吧,以防你的信息爆光,带来不必要的麻烦,谢谢! ------------------------- 回 11楼(happyrain) 的帖子 亲,你使用也是XP系统IE或者360浏览器吗?如果是的话,建议亲更换一个其它的浏览器,因为我们的安全证书更换成新的了,XP系统已经不在维护,内核不更新,存在安在因素,他们对证书也不再做更新了,所以就会登录不了. 如果是WIN7以上系统也不行,提供一下在线的联系方式,我这里远程帮你看一下,在线联系方式最好是私信给我吧,以防你的信息爆光,带来不必要的麻烦,谢谢! ------------------------- 回 13楼(忆于风) 的帖子 亲是登录 不上还是什么问题,可否描述一下,因为我们的这个界面是公司统一的一个认证中心,支付宝都是一套体系,如果你云邮箱页面打不开,支付宝也同样存在打不开的情况,如果你是登录不了,可以提供一下帐号,我们帮你查一下帐号的属性.目前会存在注册hi开头的邮件.因为多网站连接创建的问题,存在一些问题,还在协调处理中,暂时注册完后需要我们手工同步创建才能登录的. ------------------------- 回 15楼(忆于风) 的帖子 抱歉亲,现在应该可以了,这个是有点问题,我们会尽快完善一下,是在注册的时候调创建超时了,没有创建成功,已经手工给你同步创建,现在已经创建了,你登录试一下吧. ------------------------- 回 19楼(ciqtian) 的帖子 邮箱的登录页面是与支付宝一个界面的,支付宝的安全证书更换了,XP系统微软已经不在维护,内核不更新,存在安全隐患,并且不再兼容新的安全证书,所以就会导致窗口打不开

仙游 2019-12-02 01:47:40 0 浏览量 回答数 0

回答

MAS至少有API和直接写数据库两种方法的。貌似里面的MySQL是4.1以下,这个比较郁闷。 ######你看下我下面的回答######我刚进这个公司,也没人带我这个新人,MAS的相关开发API和文档我已经拿到了,然后呢公司里,有一个OA办公的系统,就是我们平时上班和办公用的,上面可以发送短信的,公司的内部人员之间,也可以跟外部的人发,不过用的是短信猫,现在业务量大了,短信猫承受不了,所以觉得用移动的MAS机,让我开发一个平台,因为公司的OA是可以任意嵌入一个新的功能什么的,我也不知道怎么做汗 序号模块名称项目描述1系统登录  用户登录验证用户登录验证(密码由管理员分配)   2用户管理  用户基本信息1、显示公司人员基本信息、进行部门分组、部门内部分组显示方式 权限配置1、管理员赋予OA通讯录人员发短信权限。  2、系统目前分管理员、可发短信人员、可查看统计分析报表三种用户权限。   3收发短信  收发短信1、支持可以指定OA通讯录的人员发送短信,包含群发。  2、支持可以手动输入外部联系人号码发送短信,支持群发。  3、支持接收短信功能。  4、支持设置短信定时发送功能,实现定时发送设置好的短信。  5、支持管理员配置通讯录分组,方便不同部门发送短信。  6、支持OA实现业务功能,通过此系统实现短信提醒。   4统计分析 短信查询可根据时间、发短信人员、收短信人员模糊查询相应的短信内容记录 短信统计可以统计某个时间段的短信数量、各部门、个人的发送短信量   5对外接口  对外接口提供标准的外部接口((DB接口、API接口、webservice接口))   6需求调研需求调研   7系统设计系统设计   8测试测试   9实施实施   合计   这是需求,貌似还是我整理的。。。。。无语了,求一点点思路。。。######求什么思路啊?MAS就是一个工具而已,你针对它API做开发,应该按照你们的需求去做吧? 使用MAS的顺序一般是这样的: 1、权限验证(对比MAS后台设置的用户密码及权限) 2、发送短信 或 接收短信 或 查看发送状态 然后,然后就没了。MAS只不过是你这个短信模块的一个外部小工具而已。######回复 @柳天俊 : 怎么写,看文档。我做的是直接写数据库的。######那JAVA发送短信是怎么回事,是我写意个类调用MAS的接口,还是调用什么方法的,这个具体又要怎么写啊######mas就是手机 api就是你的手指######不明白。。######别着急,有方法的,用户管理、统计分析那块应该是自己做,后面收发短信应该是调用API。对外接口这个,也就是使用WebService。######前面的就是给我一个公司的的员工通讯录的数据,我把它提取出来了,也实现了分组啊什么的,后面那个什么赋予权限的,我一点思路都没有,在后面的我问公司的现在MAS机还没下来,具体怎么做还不晓得,我以前从来没坐过什么的,刚毕业出来,那人就叫我说你搭个架子做吧。。。汗。。。我都不晓得做什么东西,。。。。######MAS机?华为的还是嘉讯的?中兴的?在机器的箱子里有个光盘,里面有API和Demo,把mas先配置好,使用mas里的软件看能不能发短信,然后调用API发短信。。。######是上海一个什么若雅的 现在MAS机还没拿到手 公司 就给了份文档######权限管理别人做好的模板,你照着用就行了,不知道就Google吧######还真没做好的模板,我百度看看吧,不知道能否搜到模板啊######帮你项一下 。 ######之前在国内一家OA厂商就职时,做过类似这种东西,短信猫,华为短信机,短信易都做过,原理都一样,看清楚API,初始化,连接,发送,断开,就这么个过程!没有什么深奥的!看文档,不行就看例程!######你换来换去换的还是卡发,你公司怎么没有想过换换网关的,MAS还需要自己的机器和程序员,成本很高,可以试试网关的

kun坤 2020-06-11 16:52:05 0 浏览量 回答数 0

回答

主板原因,主板的电源管理不支持,还是加大内存装虚拟机玩吧回复<aclass="referer"target="_blank">@long_ai_xin:这就不清楚了,不过我的跟硬盘有关系,我的本子机械硬盘在光驱位,无论是ubuntu,centos,deepin,fodera都有问题,重启就死机。买了512G固态以后,我把系统装到固态上,win10,deepin,fodera三系统都正常,deepin同时可以发现三个系统的引导,开机选择也很方便(把deepin和fodera的efi引导都装到win引导分区)电源管理不支持,所以deepin无法关机?这也太坑了.还有就是deepin开机,5分钟就开始卡,明明什么都没做呢.这个是什么原因呢?用单系统多好,为什么一定要双系统呢如果不是处理性的软件,一般没什么问题想换linux,但是一下子换了影响工作,想双系统过度下.ubuntu你换个桌面环境试试,gnomeak,cinnamon等,Plasma貌似不太稳定,我的电脑上kwin老出问题。我当前用的是debianstretch。回复<aclass="referer"target="_blank">@long_ai_xin:先安装桌面环境,以cinnamon为例:sudoaptinstallcinnamon-desktop-environment完成后退出登录,回到登录界面,就会有会话类型的选项。换桌面?这个怎么换.desktop不行,command可以,是不是显卡驱动问题???可能把,也不确定.之前还能进去的,突然就跪了. ubuntu可能是x系统某些配置挂了,要查日志 deepin估计是内存什么的不够,信息不足,不好说。 装Fedora理论上跟ubuntu没啥大的区别,按步骤搞应该可以的。fedora的iso文件安装到u盘,u盘就只有5m了,还是efi格式,不知道什么情况,然后安装就失败.

爱吃鱼的程序员 2020-06-08 18:10:06 0 浏览量 回答数 0

问题

建立审计制度;SQL Server后端上的MS Access前端

心有灵_夕 2019-12-24 22:24:53 3 浏览量 回答数 1

问题

Tomcat+Mysql时,驱动要放在tomcat 中lib文件夹下中吗?

落地花开啦 2019-12-01 19:50:28 2060 浏览量 回答数 1

回答

Re阿里云主机和服务器及VPS有什么区别? 当然是共享的,只是阿里云是一个庞大的系统来做这个VPS,而且有比较好的web功能去控制。 物理服务器重装系统,我以前是用远程GHOST 恢复的,或者让机房的人安装。 做一些配置后,再GHOST备份自动重启。比较麻烦。  特别是长期的远程登录记住密码,有几次都忘记服务器密码了。 而这些阿里云可以方便快照,回滚,还有就是自由的升级。  要是能自由降级就好了,主要涉及费用问题,降级不是太好弄。最好是能续费的时候给与降级。

banian 2019-12-02 02:46:13 0 浏览量 回答数 0

问题

为什么SSH 登录时出现如下错误:Maximum amount of failed attempts was reached

boxti 2019-12-01 21:59:27 1705 浏览量 回答数 0

问题

为什么SSH 登录时出现如下错误:requirement &quot;uid &gt;= 1000&quot; not met by user &quot;root&quot;

boxti 2019-12-01 21:59:29 2092 浏览量 回答数 0

问题

suse linux升级bash后无法登录系统?报错

爱吃鱼的程序员 2020-06-14 20:58:02 0 浏览量 回答数 1

回答

没看懂什么意思?你说的是你本地的系统重做了把wp本地的丢失了。 你可以使用ftp下载到本地。 ftp无法链接是什么鬼? ------------------------- FTP连接时提示:响应: 331 Please specify the password.命令: PASS ************响应: 530 Login incorrect.错误: 严重错误: 无法连接到服务器错误提示原因一般是由于FTP密码不正确导致,可重置FTP密码后再做登录测试。也有可能是FTP用户权限配置有问题,如果密码正确还是提示530,建议检查一下FTP用户的主目录是否存在以及用户是否有权限访问主目录。

51干警网 2019-12-02 02:10:50 0 浏览量 回答数 0

回答

[健] 一个系统最基本的功能就是  登录权限 但是往往别人觉得没技术含量 其实里面学问挺大 可以贴出来一起探讨下 比如数据权限 菜单权限 登录和验证方式啥的 [犀利豆] 好巧,我之前也做个一个,我主要介绍的是技术上的一些点 「如何利用 Spring Hibernate 高级特性设计实现一个权限系统」**[元清] 树描述组织结构少不了,但是我觉得用rbac 思想指导更好[犀利豆] 主要是业务有一些要求,要根据组织架构做一些数据的隔离[元清] 嗯,数据隔离是少不了的,我是把角色作为一个租户id [犀利豆] 先有的系统,后有的权限系统,考虑了很多 接入方怎么快速接入,怎么做到无侵入[元清] 为什么要做到数据库层呢,做到数据库层已经侵入了吧,我这个就是配置一下,就可以了,配置一层filter [犀利豆] 这个的问题是比较具体的,我们的数据要按照公司的组织架构做数据隔离[元清] 都是按照组织架构做数据隔离的[犀利豆] 比如,公司分成了华南,华东,华北。三个地区的用户之间看到的信息是隔离的。[元清] 嗯,这个当然是的,用一个租户id 就可以了[犀利豆] 是的,所以这个租户id 要拼接到sql 里面,查询数据[元清] 哦,你们没有在原有表上面加字段是吧[犀利豆] 这个隔离不是全部隔离,还有横向部门的人,可以看见某几个区域的数据。[元清] 哦,你们是没有改数据库表结构,通过命名方式,来做数据查询么,比如命名规则租户id+xxxx,这个就是树形结构的描述了,我的树形是父拥有所有子的权限,我们还是侵入的,业务端的表都要加租户id 去标示[犀利豆] 没有 系统运行很长一段时间了 不太有时间改 所以想到的方法是用hibernate 的filter 在session层级做的 [元清] 可以的,hibernate我都没用过[犀利豆] 我们也要加租户id,只是已经有了。用hibernate的filter的好处只是,不需要改动controller和service层级,dao层级需要在entity 实际上配置,一个隔离租户的sql,在执行查询的时候,利用aop 把查询的session取出来,自动把过滤的条件拼接在业务sql上[元清] **听起来就很复杂,不过思路还蛮好的,应该也不难维护 来源:云原生后端社区https://www.yuque.com/server_mind/answer

montos 2020-04-20 18:27:23 0 浏览量 回答数 0

回答

这个问题我尝试了下,做成服务后,在services.msc打开服务,找到我安装的tomcat的服务后,设置属性-->登录的登录身份没使用“本地系统帐户”,而是在此帐户中找到自己登系统的用户名,再输入密码,应用重启后,转换正常了。 现在想这是什么原因造成的,猜测是权限,但是如何在注册服务时就设置好权限,而不需要用户在服务里来再选用户名和输密码呢?回复 @kimmking:为什么我的不行呢?解决就好。路过的帮忙顶顶都行啊 答案是:没办法。 1、Jacob通过com方式调用excel,其实是起了一个excel进程,这个进程是有一个隐藏的excel界面的。windows服务状态下通常是不能有交互界面的。 所以,你可以试试不按服务的方式启动。 2、你也可以试试Aspose组件,纯java,比jacob好用,也不需要excel环境。 -------------------------------- 看来我搞错了,还是权限问题。用代码创建windows服务可以设置一些选项。tomcat自带的就不清楚了。  多谢建议,我先了解下Aspose是什么解压版的tomcat大家都知道在bin目录下有个service.bat文件,安装服务就通过这个bat来实现,这里有设置服务的安装、卸载、启动方式等等,我对bat脚本也不熟,怎么在这个bat里设置好登录身份呢?openofficeexcel2pdf

爱吃鱼的程序员 2020-06-14 22:16:36 0 浏览量 回答数 0

回答

在 Linux 操作系统,"/bin/bash" 是默认登录 Shell,是在创建用户时分配的。 使用 chsh 命令可以改变默认的 Shell 。示例如下所示: chsh <用户名> -s <新shell> chsh ThinkWon -s /bin/sh 1 2 在 Shell 脚本中,如何写入注释? 注释可以用来描述一个脚本可以做什么和它是如何工作的。每一行注释以 # 开头。例子如下: #!/bin/bash This is a command echo “I am logged in as $USER”

黄二刀 2020-03-06 23:09:41 0 浏览量 回答数 0

问题

阿里云让我拿什么再相信

江枫之夜 2019-12-01 21:30:27 1944 浏览量 回答数 1

问题

SSO CAS 单点登录疑问-请教下大家:报错

kun坤 2020-06-06 14:49:54 0 浏览量 回答数 1

回答

追加一个补充. 我的问题初始点是从安全登入问题开始的,选择密码存储后默认都会以创始人登录,结果会发现再登入或选择一些设定时需要重登入,这时候就需要安全问题,可是我就没有设定过安全问题. 然后就是不管到前台后台都提示需要安全问题,怎么都没法登入.真是要命. 然后搜索google,确实有人给出怎么修改config档案解决,可是linux主机系统文件配置在哪里可不像windows这样远程登录就可以查看处理.然后我就想要恢复到购买后刚开始的状态,就选择全部重置,结果是什么都没有了. 希望阿里云能有一个类似给我这样新手的傻瓜化配置方案,我这样的新手想做的就是DNS解析加内容管理. 以上补充下

hispeed 2019-12-02 02:27:25 0 浏览量 回答数 0

问题

SSH 无法远程登录问题的处理思路是什么

boxti 2019-12-01 22:00:30 1833 浏览量 回答数 0

问题

如何快速定位云主机的故障

firstsko 2019-12-01 21:43:10 10637 浏览量 回答数 1

问题

运维人员处理云服务器故障方法七七云转载

杨经理 2019-12-01 22:03:10 9677 浏览量 回答数 2

回答

用cache实现session###### 你这个问题描述 真66 不是同一个浏览器  你居然想session共享? 貌似我没在开源看到过过。 单点登录和session共享 ??######回复 @easymbol : 服务器需要存储uid和session之间的映射吧……密码改了,全部的session都要过期######不是,如果写单点登陆的话,那么也就不会出现这个问题了,但是不想用单点登陆,想直接操作session来处理,所以考虑的方向到了session共享###### 当然是考虑做监听啊###### 你如果把这个功能做出来,请告诉我你公司的网址###### 这不太可能吧###### 只能每次操作里面去验证密码是否正确了###### 不需要那么麻烦   在修改密码的的逻辑里添加session相关验证就可以了,当然也可以反过来在session验证的时候添加上密码验证就可以了   没必要搞什么session共享     按照你的这个描述感觉系统应该挺小的,你要是上了session共享后,你会发现牛刀无地用;当然要是用来做研究的可以上    共享session推荐你个中间件mycat###### 如果密码修改了,将除了最后登录的那个客户端以外的其它客户端生成的所有 session 设置为过期,然后其它客户端自然会被踢出,并要求重新登录   这里的前提是,每个客户端拥有各自不同的 session######如何做到在一个浏览器修改密码,seesion过期######这种操作有想过,但是会引出一个问题,就是其他的用户会在同一时段同时请求用户表的查询操作...###### 不同的浏览器之间做session共享...这就有点牛逼了...######最靠谱的办法就是Jfinal说的那样,登录的时候把用户和session映射存起来,修改密码的时候,把其他session给过期就行了,不同的浏览器的session管理机制都不一样,而且在网页代码中,不开发浏览器插件的情况下是无法去改变这些东西的,通常意义的单点登录,是在本地安装有对应的客户端程序才能实现的,纯网页是实现不了的

kun坤 2020-06-06 14:56:36 0 浏览量 回答数 0

回答

1、端口扫描 第一步就是尽可能多地了解你的“敌人”,并且尽量不要惊动它们。 这时候,我开始启动计时器计时。 这次扫描花了大概两分钟。 扫描发现了很多开放的端口!通过 FTP(port 21) 和 SMB(ports 139/445),我们可以猜出这个服务器是用于保存文件和共享文件的。 与此同时,它还是一个 Web 服务器 (port 80/443 和相应的代理 8080/8081) 。 如果上面的信息不够,我可能还会做一个 UDP 端口的扫描。现在唯一允许我们与之交互的端口 (不需要登录服务器) 是 80/443。 没有浪费一点儿时间,我启动了 gobuster 来探索这个 Web 服务器上让我“感兴趣”的文件。与此同时,我也通过手工的方式开始挖掘。 $gobuster -u http://example.com -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -t 100 /admin /login 我发现/admin这个路径对应这“管理工具”,通过认证的用户可以修改这个 web 服务器上的东西,由于我没有用户名和密码,在这里走不下去了。(剧透:gobuster 也没有发现什么有价值的东西) 已经过去三分钟了,还没有发现有用的东西。 2、获取 Webshell 浏览这个网站的时候,它需要我登录,没问题,用一个假的 e-mail 创建一个账户,点击确认邮件,几秒钟后就登录了。 这个网站对我的登录表示欢迎,提示我到个人主页去修改头像,很贴心嘛! 网站看起来像是自己开发的,要不要“试试不受限的文件上传”漏洞? 我迅速在本机生成了一个文件: 然后试着把它当作图像文件上传, 成功了! 为了避免这个漏洞,上传者一定要对上传的文件做处理,检查文件扩展名,把它替换成.jpeg、.jpg,这样可以避免远程代码执行。 当然,我上传的文件没有缩略图: 通过“复制图片地址”的功能,我得到了这个 URL ,在浏览器中运行一下: 看起来我们已经有一个可以工作的 webshell 了。 这个 web 服务器居然运行着 Perl 脚本,我从我最喜欢的备忘录中找了一个 reverse shell 脚本,设置好了 IP 和端口,这样我就获得了一个低权限的 shell ——抱歉,没有屏幕截图。 大约 5 分钟以后,我获得了一个低权限的 shell。 3、拿下数据库 让我十分惊奇的是,这个服务器不仅 host 一个 web 站点,而是 40 个! $ ls /var/www access.log site1/ site2/ site3/ {… 更多的 sites} 你也许猜到了,我具备这些 web 站点目录读的权限,可以读任意的后端代码。 我把注意力集中到example.com的代码中,很明显,在cgi-admin/pages目录中,所有的 perl 脚本都是用 root 来连接 MySQL 数据库的,密码也是明文存放的, 我们假设它们是 root:pwned42 执行这条命令: mysql -u root -p -h localhost victimdbname Password: pwned42 我就以 root 权限登录了数据库。 仅仅 7 分钟, 我具备了对 35 个数据库完全的读写权限! 在这里,我有道德义务停下来,潜在的损害非常巨大。一个攻击者可以做这些事情: dump 这些数据库,这将导致 35 家公司的数据泄露。 删除所有数据库。 使用 cronjob 在 apache 里留个后门 该休息一下了,停止计时器。 4、还会有什么问题呢? 我告诉朋友这些发现,获得进一步挖掘的许可。 在将权限升级到威力巨大的 root 之前,我先看看我这个有限权力的用户能访问哪些有趣的文件。 此时我想起来那个开放的 SMB 端口,这意味着系统中应该有个文件夹在用户之间共享,经过一番探索,我找到了这个目录/home/samba/secured,里边的内容如下(请原谅为了隐私,我隐去了大量信息) 在这些目录中发现了大量的属于公司用户的敏感数据,包括: .psd/.ai files (设计师应该知道这些文件多重要,这是它们的工作成果) Cookie sqlite files 发票 盗版的电子书 (我看到这些的时候不由得笑了,谁说老外不看盗版?) Wifi 密码 攻击者就可以做这些事情: 到这些公司办公室的外边“露营”, 登录公司的内网,然后做各种各样有趣的、能在内网实施的攻击。 把这些敏感数据泄露出去。 这些目录花费了我不少时间,这个漏洞后果非常严重。 最后一击 用 apache 这个账户在四周看了很久以后,我决定是时候去钓个大鱼了:获取 root 权限。 通常,操作系统是打过补丁的,只有那些配置错误的服务才有可能给你想要的 root 权限, 但是在现实的世界中,人们很少给操作系统打补丁! 这个服务器运行的是什么操作系统呢? 内核是什么版本? 看起来这是一个老版本!这个版本有个漏洞,叫 Dirty Cow,可以提升用户的访问权限。 网上有篇博客讲述了如何测试内核是否有这个漏洞,并且提供了一个脚本。 执行这个脚本,root 最终到手! 游戏结束了 我立刻给朋友写了一封邮件,全面地告诉他这些渗透测试的细节和每一步的可能影响,然后结束了当晚的活动。 一个攻击者可以做的事情: 读 / 写服务器上所有的文件 植入一个持久的后门 安装恶意软件,并且传播到内网 安装勒索软件(劫持 35 家公司的数据库和相关数据可不是一件小事) 把这个服务器当作矿机 把服务器当作僵尸网络的一部分 把服务器当作 C2C 服务器 … (发挥你的想象力) 第二天,朋友联系了我,说他联系了负责那个服务器的公司,那个文件上传的漏洞已经 fix 了。 总结 有文件上传漏洞的 Web 应用可能导致黑客获得一个低权限的 shell 要仔细设计文件上传组件 明文的密码,让我们可以读写 35 个 Mysql 数据库 所有的数据库都用同一种密码可不是什么好事情 有很多的敏感数据可以阅读 要小心地给用户分配文件访问权限,遵循最小权限原则 内核的漏洞让我们获得了 root 权限, 记住给操作系统打补丁

游客pklijor6gytpx 2019-12-27 10:06:49 0 浏览量 回答数 0

回答

什么是微服务?举个简单的例子,做一个用户管理项目,里边就三个功能:用户注册、用户登录、用户详情浏览。按照传统的软件开发方式直接创建一个Web项目,分分钟就把这三个功能开发出来了,但是我现在想使用微服务+服务治理的方式来开发:首先我将这个项目拆分为四个微服务,四个微服务各建一个模块,分别是用户注册模块、用户登录模块、用户详情浏览模块和数据库操作模块,这四个模块通过内部服务治理互相调用。但是现在存在一个问题,这四个模块通过服务注册与订阅的方式互相依赖,如果一个模块出现故障会导致依赖它的模块也发生故障从而发生故障蔓延,进而导致整个服务的瘫痪。比如说这里的登录模块依赖于数据库模块,如果数据库模块发生故障,那么当登录模块去调用数据库模块的时候可能得不到响应,这个调用的线程被挂起,如果处于高并发的环境下,就会导致登录模块也崩溃。当一个系统划分的模块越多,这种故障发生的频率就会越高,对于这个问题,Spring Cloud中最重要的解决方案就是断路器,那么本文我们就来看看什么是断路器。首先我们分别启动服务注册中心,再启动两个服务提供者的实例,端口号分别是8080和8081,然后再启动一个服务消费者,服务消费者的端口号为9000,这几个都启动成功之后,我们访问http://localhost:9000/ribbon-consumer这个地址,可以看到如下效果:Spring Cloud中的断路器Hystrix-博客-云栖社区-阿里云 https://yq.aliyun.com/articles/293633

zwt9000 2019-12-02 00:34:15 0 浏览量 回答数 0
阿里云大学 云服务器ECS com域名 网站域名whois查询 开发者平台 小程序定制 小程序开发 国内短信套餐包 开发者技术与产品 云数据库 图像识别 开发者问答 阿里云建站 阿里云备案 云市场 万网 阿里云帮助文档 免费套餐 开发者工具 企业信息查询 小程序开发制作 视频内容分析 企业网站制作 视频集锦 代理记账服务 2020阿里巴巴研发效能峰会 企业建站模板 云效成长地图 高端建站