网站服务器

我们通常衡量一个Web系统的吞吐率的指标是QPS（Query Per Second，每秒处理请求数），解决每秒数万次的高并发场景，这个指标非常关键。举个例子，我们假设处理一个业务请求平均响应时间为100ms，同时，系统内有20台Apache的Web服务器，配置MaxClients为500个（表示Apache的最大连接数目）。 那么，我们的Web系统的理论峰值QPS为（理想化的计算方式）： 20*500/0.1 = 100000 （10万QPS） 咦？我们的系统似乎很强大，1秒钟可以处理完10万的请求，5w/s的秒杀似乎是“纸老虎”哈。实际情况，当然没有这么理想。在高并发的实际场景下，机器都处于高负载的状态，在这个时候平均响应时间会被大大增加。 普通的一个p4的服务器每天最多能支持大约10万左右的IP，如果访问量超过10W那么需要专用的服务器才能解决，如果硬件不给力 软件怎么优化都是于事无补的。主要影响服务器的速度 有：网络-硬盘读写速度-内存大小-cpu处理速度。 就Web服务器而言，Apache打开了越多的连接进程，CPU需要处理的上下文切换也越多，额外增加了CPU的消耗，然后就直接导致平均响应时间增加。因此上述的MaxClient数目，要根据CPU、内存等硬件因素综合考虑，绝对不是越多越好。可以通过Apache自带的abench来测试一下，取一个合适的值。然后

自媒体快速发展的时代，很多人都有搭建自己网站的想法，这里我就教大家一种简单的搭建方法。 搭建自己的网站，可以使用网上的免费资源，当然免费的资源需要你花时间去找，而且有些资源不是很稳定。 本教程是基于阿里云的教程，我是花钱买了阿里云的轻量级的服务器和域名，然后就可以搭建自己的网站了。 使用的软件是宝塔和Wordpress。 这就是本人搭建的网站： http://wuxiaolong.tech/ ；有兴趣的朋友可以和我交流学习，我的微信公众号是：吴晓龙 一、准备工作 1、服务器（必须） 在阿里云上买了阿里云的轻量级服务器。大家也可以使用其他的商业云。如果有自己的公网服务器，也可以。 在阿里云上买相关的服务器和域名需要先注册阿里云的账号，登陆账号后，进入控制台，就可以看到自己买的产品了；如果没有开通任何产品，需要现在阿里云买 轻量应用服务器 ；我买的阿里云的产品比较多，所以显示的比较多。 下面就是我买的轻量应用服务器，一年609元，相关的配置如下： 如果您也要买，建议根据自己的情况买相关的配置就好了，需要注意的是，需要选系统镜像-centos7.3，因为后面需要安装宝塔面板要求cengtos7以上；下面是购买的地址： https://s.click.taobao.com/t?e=m%3D2%26s

HTTP协议请求 　　前言：这几天在学习HTTP协议的请求响应等知识点，使我也慢慢地了解了HTTP协议，以前写网站的时候根本不考虑这些，也就是所谓的”托控件”，这几天学习了这些知识点感觉真的是一个提升，由于我比较笨，所以写个笔记记录一下，要是以后忘了可以再研究研究。顺便也共享一下，可能有错误，希望大家能够指出来。 1. 什么是浏览器? 什么是服务器? 　　(1)我们一直在浏览网页，比如我们去博客园 www.cnblogs.com ，那么我们知道当我们输入这段网址的时候我们的浏览器以及服务器做了什么吗？下面简单的看一下这张图： 　　 　　(2)当我们在浏览器中输入： http://127.0.0.1:8080/proscenium/ 的时候，浏览器请求后台服务器，后台服务器会返回给我们一个网页，那么后台服务器到底干了什么呢？我们可以使用Chrome，IE自带的开发者人员工具，或者DebugBur，Fiddler，和HttpWatch查看，下面就是我查看的网站的访问记录 　　　　 　　注解：当我们输入网址回车的时候，浏览器自动的将我们请求的地址封装成了HTTP报文，HTTP报文就是一串字符串，而后通过Socket发送到服务器对应的IP和端口上去，请求的报文格式如下： 　　GET /proscenium/ HTTP/1.1 　　Host: localhost:8080 　

转自：https://www.cnblogs.com/fundebug/p/details-about-6-web-security.html 一、XSS XSS (Cross-Site Scripting)，跨站脚本攻击，因为缩写和CSS重叠，所以只能叫XSS。跨站脚本攻击是指通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击 跨站脚本攻击有可能造成以下影响： 利用虚假输入表单骗取用户个人信息 利用脚本窃取用户的Cookie值，被害者在不知情的情况下，帮助攻击者发送恶意请求 显示伪造的文章或图片 XSS的原理是恶意攻击者往Web页面里插入恶意可执行网页脚本代码，当用户浏览该页之时，嵌入其中Web里面的脚本代码会被执行，从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的 XSS的攻击方式千变万化，但还是可以大致细分为几种类型 1.非持久型XSS（反射型XSS） 非持久型XSS漏洞，一般是通过给别人发送 带有恶意脚本代码参数的URL ，当URL地址被打开时，特有的恶意代码参数被HTML解析、执行 举一个例子，比如页面中包含有以下代码： <select> <script> document.write('' + '<option value=1>' + location.href.substring(location

大型网上购物系统除了能让会员选择货到付款结账方式外，还应该提供一些更方便快捷的网上支付方式。如果网上商店没有足够的实力提供会员直接在网站中建立现金账户的功能，就可以将订单信息转接到支付宝，让会员从支付宝付款。当然就算会员可以在网站上建立自己的现金账户，提供支付宝支付功能也不失为另一种方便快捷的支付方式，这可以给客户提供更多可选的支付方式。 首先，网上购物系统必须与支付宝公司签订合作协议，以确保从本购物网站上传到 支付宝网站上的订单信息能被正确接收。 当会员于购物网站上买下一系列商品并选择支付宝付款方式后，购物系统即将会员购物的订单信息转发到支付宝，网站页面也会转到支付宝的付款页面。此时，支付宝页面会发送一个验证信息到本网站以确认支付宝正确收到订单信息。 会员于支付宝网站付款完成后，网站页面会重新跳回本购物网站，同时支付宝会将已付款的订单信息发回本网站以便对本购物网站的数据库进行必要的修改操作。另外本网站还需要向支付宝网站发送一个返回信息，告知支付宝本系统已正确收到付款完毕的订单信息并且已经完成对数据的处理操作。 向支付宝网站传送订单信息时主要参数的含义: gateway ：支付接口 service：识别是何接口实现何功能的表示 seller_email：商家签约时的支付宝账号，即收款的支付宝账号 key：安全校验码，与partner是一组 partner：商户ID，合作伙伴ID

Web服务基础 用户访问网站的基本流程 我们每天都会用web客户端上网，浏览器就是一个web客户端，例如谷歌浏览器，以及火狐浏览器等。 当我们输入www.oldboyedu.com/时候，很快就能看到老男孩教育的官网了，这一切看起来很平淡无奇，背后又是什么道理呢？普通人可以不知道，但是咱们作为it开发人员，必须得掌握清楚背后的技术。 下面超哥为你揭晓用户访问网站的基本流程 老男孩教育某python总监，讲了一天课感觉很累，下了班躺床上打开他的macbook pro，双击浏览器，输入www.pornhub.com网址后，系统首先会查找本地的DNS缓存以及hosts文件信息，确定是否存在www.pornhub.com域名对应的ip解析记录，如果有就直接获取ip进行访问服务器，第一次请求时，dns缓存是没有解析记录的，hosts文件多数是开发临时测试用 如果本地dns缓存和hosts文件都没有域名解析记录，系统就会把某python总监访问的网址解析请求发送给 客户端设置的DNS服务器 去解析，也叫做Local DNS，如果LDNS服务器的本地缓存有对应的解析记录就会直接返回给客户端IP地址，如果没有LDNS就会继续请求其他的DNS服务器 LDNS继续从DNS系统的"."(根)开始请求www.pornhub.com域名的解析，并且根据每个层级的DNS服务器系统进行系列的查找

Web服务基础 用户访问网站的基本流程 我们每天都会用web客户端上网，浏览器就是一个web客户端，例如谷歌浏览器，以及火狐浏览器等。 当我们输入www.oldboyedu.com/时候，很快就能看到老男孩教育的官网了，这一切看起来很平淡无奇，背后又是什么道理呢？普通人可以不知道，但是咱们作为it开发人员，必须得掌握清楚背后的技术。 下面超哥为你揭晓用户访问网站的基本流程 老男孩教育某python总监，讲了一天课感觉很累，下了班躺床上打开他的macbook pro，双击浏览器，输入www.pornhub.com网址后，系统首先会查找本地的DNS缓存以及hosts文件信息，确定是否存在www.pornhub.com域名对应的ip解析记录，如果有就直接获取ip进行访问服务器，第一次请求时，dns缓存是没有解析记录的，hosts文件多数是开发临时测试用 如果本地dns缓存和hosts文件都没有域名解析记录，系统就会把某python总监访问的网址解析请求发送给客户端设置的DNS服务器去解析，也叫做Local DNS，如果LDNS服务器的本地缓存有对应的解析记录就会直接返回给客户端IP地址，如果没有LDNS就会继续请求其他的DNS服务器 LDNS继续从DNS系统的"."(根)开始请求www.pornhub.com域名的解析，并且根据每个层级的DNS服务器系统进行系列的查找

1、缓存服务器介绍 缓存服务器（英文意思cache server）,即用来存储（介质为内存及硬盘）用户访问的网页，图片，文件等等信息的专用服务器。这种服务器不仅可以使用户可以最快的得到他们想要的信息，而且可以大大减少服务端网络传输的数据量。缓存服务器往往也是代理服务器。对于网站的用户来说，缓存服务器和代理是不可见的，即在用户看来所有的网站信息都来自其正在访问的网站，而实际上可能是缓存服务器在提供访问数据。 目前国内互联网公司常用的缓存服务器有：squid，varnish（几乎绝迹），nginx，ats。 squid作为缓存和代理服务器的历史十分的悠久，本章我们主要讲述squid服务，尽管不少人谈及其他软件的缓存机制比squid如何优异，但我们还是要首先掌握这个老牌的开源cache软件，因为它经历的历程实在是太悠久了，等大家掌握了squid服务后，其他的软件就不在话下了。如果再有时间，可以测试下varnish，nginx，squid三者之间的性能对比，而不是轻易的听信于他人的说法，别人说好，只能代表他个人的观点，我们自己用事实证明，才是学习和工作的真谛。 国内基本上90%以上的商业CDN公司，象国内的CDN基本都在用squid，象蓝汛，网宿，帝联，sina在用ats。 Squid官方：http://www.squid-cache.org/ 2、squid服务介绍

我们在实际生活中总会遇到这样的事情，我们一旦登录（首次输入用户名和密码）某个网站之后，当我们再次访问的时候（只要不关闭浏览器），无需再次登录。而当我们在这个网站浏览一段时间后，它会产生我们浏览的记录，而且有的网站还提供购物车的功能。这些简单实用的功能就是通过Cookie与Session实现的，接下来，让我们一起探讨一下它们是如何运行的。 1、概念 Cookie 有时也用其复数形式Cookies，指某些网站为了辨别用户身份、进行session跟踪而 储存在用户本地终端上的数据 （通常经过加密）。 Session Session直接翻译成中文比较困难，一般都译成时域。在计算机专业术语中， Session是指一个终端用户与交互系统进行通信的时间间隔，通常指从注册进入系统到注销退出系统之间所经过的时间 。以及如果需要的话，可能还有一定的操作空间。 具体到Web中的Session指的就是用户在浏览某个网站时，从进入网站到关闭这个网站所经过的这段时间，也就是用户浏览这个网站所花费的时间。因此从上述的定义中我们可以看到，Session实际上是一个特定的时间概念。 需要注意的是，一个Session的概念需要包括特定的客户端，特定的服务器端以及不中断的操作时间。A用户和C服务器建立连接时所处的Session同B用户和C服务器建立连接时所处的Session是两个不同的Session。 2、区别 1

笔者《Qftm》原文发布《合天》： 信息收集-旅行记（上） + 信息收集-旅行记（下） 信息收集-旅行记 "只有不努力的黑客，没有攻不破的系统"。 这篇文章《信息收集-旅行记》是笔者几年的经验总结，在SRC漏洞挖掘中，信息收集占很大一部分，能收集到别人收集不到的资产，就能挖到别人挖不到的漏洞。 收集域名信息 知道目标域名之后，我们要做的第一件事情就是获取域名的注册信息，包括该域名的DNS服务器信息和注册人的联系信息等。 Whois 查询 Whois 简单来说，就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商、域名注册日期和过期日期、DNS等）。通过域名Whois服务器查询，可以查询域名归属者联系方式，以及注册和到期时间。 Kali下whois查询 https://www.kali.org/downloads/ 域名Whois查询 - 站长之家 http://whois.chinaz.com/ Whois 爱站 http://whois.aizhan.com/ ip138 https://site.ip138.com/ Whois Lookup https://www.whois.net/ ICANN Lookup https://lookup.icann.org/ 域名信息查询 - 腾讯云https://whois.cloud