服务器端

Linux 挂载windows系统共享目录： mount -t cifs -o username=用户名,password=密码,iocharset=utf8,sec=ntlm //windowsIP地址/共享文件名 /本地挂载目录 Linux挂载虚拟机共享目录： mount -t nfs -o nolock 虚拟机IP:/虚拟机共享文件名 /本地挂载目录 ----------------------------- mount.cifs 中文手册 --------------------------- mount.cifs(8) System Administration mount.cifs(8) 名称 mount.cifs - 挂载通用网际文件系统(Common Internet File System) 语法 mount.cifs {service} {mount-point} [-o options] 描述 这个工具是 samba(7) 软件包的一部分。 mount.cifs 用于挂载 CIFS 文件系统。它通常由使用"-t cifs"选项的 mount(8) 命令间接调用。 这个命令只能在支持 CIFS 文件系统的Linux内核上使用。CIFS 协议是 SMB 协议的替代版本， 它被包括 Windows 在内的几乎所有操作系统所以及 NAS(Network

题目连接： https://github.com/otakekumi/CTF-Challenge/blob/master/PHP/chall_3/index.php 一个文件上传题，尝试上传个图片，结果： 好吧，环境没搭好，这不能怪我了，我只能看源码来搭了。 但是就目前来看似乎可以SSRF. 什么是ssrf？是时候系统的学一波了。 参考链接： 《SSRF漏洞中绕过IP限制的几种方法总结》 《SSRF攻击原理与技巧》 （Server-Side Request Forgery，服务器端请求伪造）：通俗的来说就是我们可以伪造服务器端发起的请求，从而获取客户端所不能得到的数据。SSRF漏洞形成的原因主要是服务器端所提供的接口中包含了所要请求的内容的URL参数，并且未对客户端所传输过来的URL参数进行过滤。这个漏洞造成的危害有： (1)、可以对外网、服务器所在内网、本地进行端口扫描，获取一些服务的banner信息; (2)、攻击运行在内网或本地的应用程序（比如溢出）; (3)、对内网Web应用进行指纹识别，通过访问默认文件实现; (4)、攻击内外网的Web应用，主要是使用Get参数就可以实现的攻击（比如Struts2漏洞利用，SQL注入等）; (5)、利用File协议读取本地文件。 我的理解是，在web程序中用如果使用URL作为参数并且这个URL可以被客户端修改

一、攻击原理 SSRF：服务端请求伪造，不要把它和CSRF（跨站点请求伪造）攻击搞混了哦，CSRF利用的是客户端请求，而SSRF利用的是服务器端请求，这个是本质区别。 简单来说，SSRF攻击原理是服务器端请求了来自客户端构造的链接，这个是不是和CSRF攻击类似呢，攻击者构造的请求由客户端用户执行了，没错，都是由攻击者构造了请求，不过一个是用户浏览器端执行，一个是服务器端执行。 但这其中的原理不是相同的哦：CSRF攻击利用的是浏览器请求会自动附带该站点的用户身份标识，而SSRF攻击和用户身份标识没有半毛钱关系，通过SSRF攻击，我们可以指定服务器访问某些链接，那么问题来了，我们可以控制服务器访问某些链接，可以达到什么目的呢？ 1、进行端口探测：我们知道，可以通过HTTP加端口号来探测指定服务器端口是否开放。如http://127.0.0.1:80，那么就可以利用SSRF进行端口扫描了，有些服务还会返回banner信息，如ssh、FTP等，那么就可以完成内网端口探测了。 2、读取任意文件：如果服务器支持file协议，还可以通过file协议读取任意文件。 3、其它利用，基于HTTP-GET请求攻击，如溢出、sql注入等等，一般是无法外网直接访问，由服务器端发起攻击。 二、SSRF攻击演示 既然知道了SSRF攻击是由于服务器端执行了来自客户端的发起请求

SSRF 什么是SSRF 利用方法 进阶 防御 检测请求url流程 什么是SSRF SSRF(Server-Side Request Forgery)，服务器端请求伪造，利用漏洞伪造服务器端发起请求，从而突破客户端获取不到数据限制。 利用方法 进阶 ssrf绕过技巧 file协议的运用 gopher协议的运用 dict协议应用 防御 代码防御（严格按照公司的内部代码规范进行代码的编写） 检测请求url流程 解析目标url，获取其host 解析host，获取host指向的ip地址 检查ip地址是否为合法ip 请求url 如果有跳转，取出跳转url，重复执行步骤a 来源： CSDN 作者： sh0rk 链接： https://blog.csdn.net/Home_pig/article/details/84422168

#数据库连接池 ##建立连接 通过 conncetion = DrvierManager.getConnection() 获取数据库连接，这段代码通过对应的JDBC驱动，完成了客户端与服务器的大量交互。由于数据库连接经过4次，才能连接成功。则在复杂的网络环境下，建立数据连接的网络开销比较高。 ###MySQL获取数据库连接 1.请求建立连接 MySQL客户端向MySQL服务器发起请求建立连接 2.发送随机密码种子 服务器端会随机生成一组密码种子返回给客户端 3.发送加密密码 客户端利用密码种子和连接数据库的密码，按照约定的加密算法，可以计算得到加密的密码，然后在将这个密码发送到MySQL服务器端进行验证 4.连接建立成功 MySQL服务器经过对加密密码的验证，连接建立成功 ##多线程数据库访问 在实际业务场景中，多个用户访问Java应用程序，我们会启动线程去处理用户请求，如果要访问数据库，则我们需要创建connection对象，建立到后端数据库的物理连接，在SQL执行结束之后，随着close方法结束，数据库连接被销毁，线程也会被释放。 当用户再次访问时，会重复这个过程，这个过程花费大量的时间建立连接。 ##连接复用 由于建立连接需要花费大量时间，我们可以使用数据库连接池对连接进行重复使用。每个线程在使用数据库连接后并不是立即销毁。而是把数据库连接交给下一个需要访问数据库的线程

1.socket 在进行网络编程前，我们需要了解socket。我们知道IP协议对应于网络层，TCP协议对应于传输层，而HTTP协议对应于应用层。 TCP/IP协议是传输层协议，主要解决数据如何在网络中传输，而HTTP协议是应用层协议，主要解决如何包装数据。 那么socket是啥呢？ 首先呢，socket就是网络通信的工具，任何一门语言都有socket，他不是任何一个语言的专有名词，而是大家通过自己的程序与其他电脑进行网络通信的时候都用它。 实际上socket是对TCP/IP协议的封装，它的出现只是使得程序员更方便地使用TCP/IP协议栈而已。socket本身并不是协议，它是应用层与TCP/IP协议族通信的中间软件抽象层，是一组调用接口（TCP/IP网络的API函数）。 socket非常类似于电话插座。以一个国家级电话网为例。电话的通话双方相当于相互通信的2个进程，区号是它的网络地址；区内一个单位的交换机相当于一台主机，主机分配给每个用户的局内号码相当于socket号。任何用户在通话之前，首先要占有一部电话机，相当于申请一个socket；同时要知道对方的号码，相当于对方有一个固定的socket。然后向对方拨号呼叫，相当于发出连接请求。对方假如在场并空闲，拿起电话话筒，双方就可以正式通话，相当于连接成功。双方通话的过程，是一方向电话机发出信号和对方从电话机接收信号的过程

目录 1. 服务器端的检测 2. 客户端的检测 ——参考博客 https://www.zhuyingda.com/blog/article.html?id=17 机器人协议 爬虫领域有一个“白道手段”——robots协议，这是一个君子协议，即用allow和disallow声明各个页面的爬取授权，但除了商业搜索引擎的爬虫程序，野生爬虫根本不会管你这个（明白了scrapy框架中的ROBOTSTXT_OBEY 默认为True） 1. 服务器端的检测 服务器端针对user-agent、referer、cookie等字段进行检查，但这种检查方式存在明显的缺点，这些字段都是可以轻易伪造的，甚至还能不断变换这些字段和ip代理，伪装成多个用户在访问，所以这种检查方式还是不太靠谱。 另一种检查方式是，服务器端可以检查浏览器http头指纹，根据声明的浏览器厂商和版本，来鉴别http header中的各字段是否符合该浏览器的特征。典型的就是PhantomJS 1.X版本采用的Qt框架，在http头里面有明显的Qt框架网络请求特征，可以被服务器直接识别拦截 还有一种变态的检测机制，服务器对所有的页面请求，在http response中种下一个cookie token，然后在这个页面内异步执行一些的ajax接口里面去校验来访请求是否含有cookie token，并将token传回表明这是一个合法的浏览器

目录 网络编程 一、软件开发架构 二、互联网协议 网络编程 一、软件开发架构 C/S架构：客户端与服务器端架构 C就是Client：客户端 S就是Server：服务端 客户端一般指客户端应用程序exe，程序需要先安装后，才能运行在用户的电脑上，对用户的电脑操作系统环境依赖很大 比如：微信客户端、QQ客户端等 优点 软件的使用稳定 节省网络资源 缺点 安装麻烦，用户体验差 软件的每一次更新，用户都需要重新下载或更新版本 B/S架构：浏览器端与服务器端架构 B就是Browser：浏览器端 S就是Server：服务器端 Browser浏览器端，其实也是客户端，只是这个客户端并不需要大家去装什么应用程序，只需要在浏览器上通过HTTP请求服务器端相关的资源（网页资源），客户端Browser浏览器就能进行增删改查 比如：淘宝网页版、京东网页版等 优点 软件的使用方便 无须跟着软件的更新去下载 缺点 如果网络不稳定，软件的使用就不稳定 二、互联网协议 计算机与计算机之间通信 语言 是人与人之间沟通的介质 协议 是计算机与计算机之间沟通的介质 互联网协议按照功能 不同分为OSI七层或TCP/IP五层或TCP/IP四层 ​ 这七层协议从下往上记会比较好记 连接通信 交换机 ：所有连接了同一个交换机的电脑彼此之间都是互联的 三层交换机：既有叫交换机功能，又具有路由器功能 四层交换机

数据的实时同步 实现实时同步 要利用监控服务（inotify），监控同步数据服务器目录中信息的变化 发现目录中数据产生变化，就利用rsync服务推送到备份服务器上 实现实时同步的方法 inotify+rsync 方式实现数据同步 sersync ：金山公司周洋在 inotify 软件基础上进行开发的，功能更加强大 inotify： 异步的文件系统事件监控机制，利用事件驱动机制，而无须通过诸如cron等的轮询机制来获取事件，linux内核从2.6.13起支持 inotify，通过inotify可以监控文件系统中添加、删除，修改、移动等各种事件 实现inotify软件： inotify-tools，sersync，lrsyncd inotify和rsync实现实时同步 inotify+rsync使用方式 inotify 对同步数据目录信息的监控 rsync 完成对数据的同步 利用脚本进行结合 查看服务器内核是否支持inotify Linux下支持inotify的内核最小为2.6.13 ll /proc/sys/fs/inotify #列出下面的文件，说明服务器内核支持inotify -rw-r--r-- 1 root root 0 Dec 7 10:10 max_queued_events -rw-r--r-- 1 root root 0 Dec 7 10

网络编程 软件开发架构： 1.应用类(C/S架构）：一些像qq，微信等桌面应用。​• C:Client（客户端）：是一个需要先安装后才能运行在用户的电脑上，对客户的电脑操作系统环境依赖很大。​• S:Server(服务器端) • 2.Web类(B/S架构)：一些通过像百度，博客园等通过浏览器就可以直接访问的应用。 ​• B:Browser(浏览器):也是一种客户端，是一种不用安装程序的客户端。 • S:Server(服务器端)​• 本质：实现两个程序之间通讯 网络协议 不同计算机之间实现无障碍的通信，除了要物理介质外还要由一套共有的标准，这个标准就是互联网协议。​网络协议：​• **os**七层架构：​• 应用层： 各种应用程序和网络之间的接口，其功能是直接向用户提供服务，完成用户希望在网络上完成的各种工作 。​• ~~表示层：~~对来自应用层的命令和数据进行解释，对各种语法赋予相应的含义，并按照一定的格式传送给会话层。​• ~~会话层：~~负责连接，建立和断开连接的时机，数据的发送顺序。​• 传输层：实现软件与软件之间的通信。​• 网络层：ip协议可以跨局域网传输并且ip地址生成唯一标识互联网中独一无二的一台机器。​• 数据链路层：基于以太网协议的通信方式，无法跨局域通信，会有广播风暴。​• 物理层：物理链接介质，传递电信号。 TCP协议： 三次握手，四次挥手原则： 发送数据：