FizzL

集群概念 集群由一组相互连接的计算机（称为节点）组成，它们协同工作以执行任务。这些节点可以是物理服务器、虚拟机或容器。集群设计用于提高性能、可靠性和可扩展性，通过将工作分布在多个节点上，集群能够处理更高的负载，并且在单个节点发生故障时，仍然能够继续运行。 优点高性能（Performance）： 一些国家重要的计算密集型应用（如天气预报、核试验模拟等）需要计算机有很强的运算处理能力。以全世界现有的技术，即使是大型机，其计算能力也是有限的，很难单独完成此任务。因为计算时间可能会相当长，也许几天，甚至几年或更久。因此，对于这类复杂的计算业务使用了计算机集群技术，集群中有几十台、上百台，甚至成千上万台计算机协同计算。 价格有效性（Cost-effectiveness）： 通常一套系统集群架构，只需要几台或数十台服务器主机即可。与动辄价值上百万的专用超级计算机相比便宜了很多。在达到同样性能需求的条件下，采用计算机集群架构比采用同等运算能力的大型计算机具有更高的性价比。 可伸缩性（Scalability）...

XXE 一、定义XML 外部实体注入（XML External Entity，XXE）漏洞是一种基于 XML 数据解析的严重安全漏洞，允许攻击者通过操纵 XML 输入干扰应用程序的逻辑、窃取敏感数据甚至控制服务器基础设施。 二、原理XML 实体基础XML（可扩展标记语言）通过实体（Entity）机制实现数据的复用，实体分为： 内部实体：定义在文档内部的文本片段 1<!ENTITY example "Hello World"> 外部实体：引用外部资源（文件/URL/网络服务） 1<!ENTITY xxe SYSTEM "file:///etc/passwd"> 参数实体（DTD 内部使用，以 % 开头） 1<!ENTITY % param_entity "恶意内容"> DTD（文档类型定义）DTD 是 XML 的早期模式定义语言，允许声明实体和文档结构。XXE 的核心在于攻击者劫持 DTD 的实体解析过程。 例如： 1234<!DOCTYPE attack...

后端基础【PHP面向对象】类与对象概念123456789101112131415161718192021222324252627<?php//创建一个对象class cat { public $name; public $age; public $color; } //创建一个猫$cat1= new cat;$cat1->name="mingming";$cat1->age=18;$cat1->color="yellow"; //再创建一个猫$cat2= new cat; $cat2->name="honghong"; $cat2->age=16; $cat2->color="pink"; //输出两个猫的信息if ($cat1->name="mingming"){ echo...

...

业务逻辑漏洞业务逻辑漏洞是应用程序在业务流程或逻辑设计上的缺陷，允许攻击者绕过正常规则、执行未授权操作或破坏业务目标。 这类漏洞不依赖技术实现漏洞（如缓冲区溢出），而是利用业务规则的不严谨性，通常难以通过自动化工具检测，需人工审计。 暴力破解Brute...

SSRF 一、漏洞概述 定义 ：SSRF（Server - Side Request Forgery）即服务器端请求伪造，是一种攻击者通过操纵服务器端的应用程序，使其向攻击者指定的地址发送请求的攻击方式。 背景 ：SSRF 漏洞通常发生在服务器端提供了从其他服务器获取数据的功能，但没有对目标地址做过滤与限制的情况下。攻击者可以利用这个漏洞，让服务器向内部网络或外部网络中的任意地址发送请求，从而获取敏感信息或执行攻击操作。 二、漏洞成因 服务器端对用户输入的 URL 过于信任 ：服务器端没有对用户输入的 URL 进行严格的过滤和验证，直接使用用户输入的 URL 来发起请求，导致攻击者可以构造恶意的 URL 来控制服务器的请求目标。 缺乏对请求地址的限制 ：服务器端没有对请求的地址进行限制，允许服务器向任意地址发送请求，包括内部网络和外部网络中的敏感地址。 三、漏洞危害 内网探测与攻击 ：攻击者可以利用 SSRF 漏洞探测服务器所在的内网环境，获取内网中的敏感信息，如服务器的 IP 地址、端口号、服务版本等，进而对内网中的其他服务器或应用进行攻击。 本地文件读取...

文件上传漏洞 一、定义文件上传漏洞是指用户上传了一个可执行的脚本文件，并通过此脚本文件获得了执行服务器端命令的能力。 这种攻击方式是最为直接和有效的，“文件上传” 本身没有问题，有问题的是文件上传后，服务器怎么处理、解释文件。如果服务器的处理逻辑做的不够安全，则会导致严重的后果。 背景：文件上传功能在 Web 应用中非常常见，如用户上传头像、文档等。然而，如果开发人员对上传的文件没有进行充分的安全检查和验证，就可能被攻击者利用来上传恶意文件。 二、原因 服务器端验证不足 ：服务器端没有对上传的文件进行严格的类型、大小、内容等验证，或者验证机制存在缺陷，导致攻击者可以上传恶意文件。例如，仅通过检查文件扩展名来判断文件类型，而没有检查文件的 MIME 类型或内容，攻击者可以通过修改文件扩展名来绕过验证。 客户端验证绕过 ：仅在客户端进行文件验证，如使用 JavaScript 进行文件类型检查，而没有在服务器端进行验证。攻击者可以通过禁用 JavaScript 或修改请求来绕过客户端验证。 文件存储权限不当...

前端基础【HTML】 HTML 定义了网页的内容 CSS 描述了网页的布局 JavaScript 控制了网页的行为 什么是HTML　　HTML用来描述网页的一种语言 HTML – hyper text markup language 超文本标记语言 超文本包括：文字、图片、音频、视频、动画等等 标记语言：是一套标记标签，HTML使用标记标签来描述网页 HTML发展史 HTML5的优势 浏览器厂商对HTML5的支持 Microsoft edge Google chrome Opera Mozila …… 市场的需求 跨平台 W3C W3C World Wide Web Consortium – 万维网联盟 成立于1994年，Web技术领域最权威和具有影响力的国际中立性技术标准机构 http://www.w3.org/ http://www.chinaw3c.org/ W3C标准包括 结构化标准语言（HTML、XML） 表现标准语言（CSS） 行为标准（DOM、ECMAScript） HTML基本结构 　　示例 <!DOCTYPE...

文件包含漏洞一、定义因为相同代码重复出现在不同文件中会产生代码冗余，所以出现了文件包含函数，让代码更为高效。需要用到这部分代码就会去调用，且被包含的文件会被当做PHP代码执行，而且忽略后缀本身。 注意：文件包含并不是漏洞，但是被包含的文件能够被攻击者控制就是漏洞。 二、分类文件包含分为 本地包含（LFI） 远程包含（RFI） 【远程包含默认不开启 allow_url_include =...

CSRF 一、漏洞概述 定义 ：CSRF（Cross - Site Request Forgery）即跨站请求伪造，是一种攻击者利用受害者已登录的身份，在受害者不知情的情况下，诱使受害者在已认证的 Web 应用中执行非预期的操作的攻击方式。 背景 ：CSRF 攻击通常发生在用户已经登录了某个网站，并且在浏览器中保存了该网站的会话信息的情况下。攻击者通过构造恶意链接或表单，诱使用户点击或提交，从而在用户不知情的情况下，利用用户的会话信息向目标网站发送恶意请求。 二、漏洞成因 服务器端验证不足 ：服务器端没有对请求的来源进行严格验证，仅依赖于用户的会话信息来处理请求，导致攻击者可以伪造请求并利用用户的会话信息进行操作。 客户端验证绕过 ：仅在客户端进行请求验证，如使用 JavaScript 验证请求的合法性，但攻击者可以通过禁用 JavaScript 或修改请求来绕过客户端验证。 三、漏洞危害 恶意操作执行 ：攻击者可以诱使用户执行非预期的操作，如修改用户信息、进行交易、删除数据等，从而给用户带来损失。 信息泄露 ：攻击者可能通过 CSRF...