网站服务器

网页向后端传送数据的时候有两种方式,get和post。通过设置form中的method来达到是否采用get或者是post <form action="/show_all/" method="POST"> 但是django中使用post的话会遇到如下的错误 这个错误的意思是csrf校验失败，request请求被丢弃掉。我们先来了解下什么是csrf。 CSRF, Cross Site Request Forgery, 跨站点伪造请求。举例来讲，某个恶意的网站上有一个指向你的网站的链接，如果某个用户已经登录到你的网站上了，那么当这个用户点击这个恶意网站上的那个链接时，就会向你的网站发来一个请求，你的网站会以为这个请求是用户自己发来的，其实呢，这个请求是那个恶意网站伪造 举个例子： 假如用户abc登录了银行的网站，并且向abc2进行了转账，对银行发送的请求是 http://bank.example/withdraw?account=abc&amount=1000000&for=abc2 . 通常情况下，请求发送到服务器后，服务器会首先验证是否是合法的session，如果是则转账成功。假设黑客也有同样银行的账号。他知道转账的时候会生成如上的请求链接。黑客也可以发送同样的请求给服务器要求转账给自己。但是服务器校验他的这个请求不是合法的session。因此黑客想到了CSRF的方式

在闲下来的时候喜欢自己研究和捣鼓，这几天在网上发现了一个非常有用的网站——三丰云主机网络一站式服务。https://www.sanfengyun.com 这个网站适合各种范围的人群。不管你是刚刚踏入web网络开发的新手，比如我。还是在web网络开发有着深厚经验的高级技师，这里都有你所需要的。它不仅提供了免费虚拟主机，免费云服务器，还有域名服务，备案服务等许多有用的服务。它不仅提供大量的免费服务给一些初创团队和学生，还提供非常专业的高性价比的服务体系 来源： CSDN 作者： qq_39608688 链接： https://blog.csdn.net/qq_39608688/article/details/104069786

1.sql注入 2.xss（跨站脚本） XSS 概念： 通常指黑客通过HTML注入纂改了网页，插入恶意脚本，从而在用户浏览网页时，控制用户浏览器的一种攻击。 XSS 有三种： 反射型xss：只是简单地把用户输入的数据反射给浏览器，简单来说，黑客往往需要用户诱使用户点击一个恶意链接，才能攻击成功。 存储型XSS：将用户输入的数据存储在服务器端。 DOM　XSS：通过修改页面的DOM节点形成的XSS。 反射型xss我之前写过关于它的文章了：https://www.cnblogs.com/xiaoqiyue/p/8645108.html 存储型xss攻击流程： 一个论坛提供了留言板功能，恶意用户在留言板内插入恶意的html或者js代码，并且提交，那么这段恶意代码就会被保存进入数据库中，然后其他用户在浏览这个论坛时，浏览器会解释执行这段恶意代码，也就说当其他用户浏览的时候，这段代码就会窃取用户的cookie（当然存储型xss还可以将网站重定向到一个钓鱼网站，或者重新更改页面内容，欺骗用户输入用户名，密码，然后提交到恶意用户的服务器上） 3.文件包含 4.命令执行 原理：由于开发人员在编写源代码时，没有对源代码中可执行的特殊函数入口做过滤，导致客户端可以提交一些cmd命令，并交由服务器程序执行。导致攻击者可以通过浏览器或者其他客户端软件提交一些cmd命令（或者bash命令）至服务器程序

缓存是分布式系统中的重要组件，主要解决高并发，大数据场景下，热点数据访问的性能问题。提供高性能的数据快速访问。 本文是缓存在分布式应用第一篇文章，介绍缓存的原理，缓存的分类，缓存的设计，CDN缓存（原理，架构参考和技术实践），反向代理缓存（原理，Squid架构实践和常用代理缓存之间的比较）。本文主要是自己的学习总结和网络文章摘录，供学习之用。 本次分享大纲 缓存概述 CDN缓存 反向代理缓存 分布式缓存 本地缓存 缓存架构示例 参考资料 分享总结 一、缓存概述 缓存是分布式系统中的重要组件，主要解决高并发，大数据场景下，热点 数据访问的性能问题 。 提供高性能的数据快速访问 。 1.1缓存的原理 (1)将数据写入/读取速度更快的存储（设备）； (2)将数据缓存到离应用最近的位置； (3)将数据缓存到离用户最近的位置。 1.2缓存分类 在分布式系统中，缓存的应用非常广泛，从部署角度有以下几个方面的缓存应用。 (1)CDN缓存； (2)反向代理缓存； (3)分布式Cache； (4)本地应用缓存； 1.3缓存媒介 常用中间件：Varnish，Ngnix，Squid，Memcache，Redis，Ehcache等； 缓存的内容：文件，数据，对象； 缓存的介质：CPU，内存（本地，分布式），磁盘（本地，分布式） 1.3缓存设计 缓存设计需要解决以下几个问题： (1)缓存什么？

原文: 大型网站架构系列：缓存在分布式系统中的应用（一） 缓存是分布式系统中的重要组件，主要解决高并发，大数据场景下，热点数据访问的性能问题。提供高性能的数据快速访问。 本文是缓存在分布式应用第一篇文章，介绍缓存的原理，缓存的分类，缓存的设计，CDN缓存（原理，架构参考和技术实践），反向代理缓存（原理，Squid架构实践和常用代理缓存之间的比较）。本文主要是自己的学习总结和网络文章摘录，供学习之用。 本次分享大纲 缓存概述 CDN缓存 反向代理缓存 分布式缓存 本地缓存 缓存架构示例 参考资料 分享总结 一、缓存概述 缓存是分布式系统中的重要组件，主要解决高并发，大数据场景下，热点数据访问的性能问题。提供高性能的数据快速访问。 1.1缓存的原理 （1） 将数据写入/读取速度更快的存储（设备）； （2） 将数据缓存到离应用最近的位置； （3） 将数据缓存到离用户最近的位置。 1.2缓存分类 在分布式系统中，缓存的应用非常广泛，从部署角度有以下几个方面的缓存应用。 （1） CDN缓存； （2） 反向代理缓存； （3） 分布式Cache； （4） 本地应用缓存； 1.3缓存媒介 常用中间件：Varnish，Ngnix，Squid，Memcache，Redis，Ehcache等； 缓存的内容：文件，数据，对象； 缓存的介质：CPU，内存（本地，分布式），磁盘（本地，分布式） 1.3缓存设计

内容分发网络 是一种新型 网络 内容 服务 体系，其基于IP网络而构建，基于内容访问与应用的效率要求、质量要求和内容秩序而提供内容的分发和服务。而从广义的角度，CDN代表了一种基于网络而构建的高质量、高效率、具有鲜明网络秩序的网络应用服务模式。 简单地说，内容分发网络是一个经策略性部署的整体系统，包括 分布式存储 、 负载均衡 、网络请求的重定向和内容管理4个要求，而内容管理和全局的网络 流量管理 是CDN的核心所在。通过用户就近性和 服务器 负载的判断，CDN确保内容以一种极为高效的方式为用户的请求提供服务。 总的来说，内容服务基于 缓存服务器 ，也称作 代理缓存 ，它位于网络的边缘，距用户仅有"一跳"之遥。同时， 代理缓存 是内容提供商源 服务器 的一个透明 镜像 。这样的架构使得CDN 服务提供商 能够代表他们客户，即内容供应商，向最终用户提供尽可能好的体验，而这些用户是不能容忍 请求响应时间 有任何延迟的。 使用CDN的好处？ 1. 不用担心自己网站访客，在任何时间，任何地点，任何网络运营商，都能快速打开 网站 。 2. 各种服务器虚拟主机带宽等采购成本，包括后期运维成本都会大大减少。 3. 给网站直接带来的好处就是： 流量 ，咨询量，客户量，成单量，都会得到大幅度提升。 CDN的价格？ 大家提起CDN,都会望而却步，因为CDN太贵，都是大企业才能用得起的贵族式服务

1.目标关键词 目标关键词是：你网站的主要关键词 目标关键词比较合适的数量：建议做1-3个，这三个要相关 关键词要做很多应该：用栏目页面和内容页面来做 seo特点：定向流量，顾客主动找我们 关键词注意事项：例如你做减肥的，就不要去写个“雀斑”的关键词 2.长尾关键词 二八定律：也叫巴莱多定律，19世纪初意大利经济学家巴莱多发明的；企业80%的利润来自20%的项目 seo的80%流量，来自20%的关键词 长尾理论（The Long Tail）：是网络兴起的一种新理论，由美国人克里斯·安德森提出。长尾理论被认为是对传统的“二八定律”的彻底叛逆 seo中运用就叫做长尾关键字 长尾关键词：一个网站上，各种各样给你带来流量，但流量又不大的词，都算长尾关键词。 例如目标关键词“上海家装”、“上海装潢”“上海家装装修”，长尾关键词“上海家装哪家好”，长尾关键词比目标关键词成交意向更高 优化长尾关键词：用栏目页或内容页优化。 栏目页他的权重比首页少，但是栏目页权重比内容也大，优化长尾关键词用栏目页即可，无需用首页优化，首页是很重要的，首页用来优化高质量的关键字 找长尾关键词：一种是根据一篇文章提炼出长尾关键词；另一种是根据相关搜索找到长尾关键词。 一般这两种方法同时使用比较好，例如“上海装潢”之类的一些长尾关键字，首先百度搜索“上海装潢”都可以，找到一篇文章，这篇文章的“长尾关键字”提炼出来

CSRF CSRF是Cross Site Request Forgery的缩写，翻译过来就是跨站请求伪造。 跨站：顾名思义，就是从一个网站到另一个网站。 请求：即HTTP请求。 伪造：在这里可以理解为仿造、伪装。 综合起来的意思就是：从一个网站A中发起一个到网站B的请求，而这个请求是经过了伪装的，伪装操作达到的目的就是让请求看起来像是从网站B中发起的，也就是说，让B网站所在的服务器端误以为该请求是从自己网站发起的，而不是从A网站发起的。 CSRF 攻击是黑客借助受害者的 cookie 骗取服务器的信任，但是黑客并不能拿到 cookie，也看不到 cookie 的内容。另外，对于服务器返回的结果，由于浏览器同源策略的限制，黑客也无法进行解析。因此，黑客无法从返回的结果中得到任何东西，他所能做的就是给服务器发送请求，以执行请求中所描述的命令，在服务器端直接改变数据的值，而非窃取服务器中的数据。所以，我们要保护的对象是那些可以直接产生数据改变的服务，而对于读取数据的服务，则不需要进行 CSRF 的保护。 原理 图片来源： CSRF攻击原理以及nodejs的实现和防御 　从上图可以看出，要伪装成从A网站发起请求，必须依次完成两个步骤： 　　1.登录受信任网站A，并在本地生成Cookie。 　　2.在不登出A的情况下，访问危险网站B。 　　 之所以要伪装成从A网站发起

首先，观察指定网站。 入侵指定网站是需要条件的： 要先观察这个网站是动态还是静态的。 首先介绍下什么样站点可以入侵：我认为必须是动态的网站 如ASP、 PHP 、 JSP等代码编写的站点 如果是静态的（.htm或html）,一般是不会成功的。 如果要入侵的目标网站是动态的，就可以利用动态网站的漏洞进行入侵。 Quote: 以下是入侵网站常用方法： 1.上传漏洞 如果看到:选择你要上传的文件 [重新上传]或者出现“请登陆后使用”，80%就有漏洞了！ 有时上传不一定会成功,这是因为Cookies不一样.我们就要用WSockExpert取得Cookies.再用DOMAIN上传.　 2.注入漏洞 字符过滤不严造成的 3.暴库:把二级目录中间的/换成%5c　 　 　 4.’or’=’or’这是一个可以连接SQL的语名句.可以直接进入后台。我收集了一下。类似的还有： 　’or’’=’　\" or \"a\"=\"a　　 ’) or (’a’=’a　　 \") or (\"a\"=\"a　　or 1=1--　 ’ or ’a’=’a 5.社会工程学。这个我们都知道吧。就是猜解。 　 6.写入ASP格式 数据库 。就是一句话木马〈%execute request(\"value\")%〉 （数据库必需得是ASP或ASA的后缀） 　　 7.源码利用：一些网站用的都是网上下载的源码.有的站长很懒

漏洞排查思路： 1.上传漏洞 如果看到:选择你要上传的文件 [重新上传]或者出现“请登陆后使用”，80%就有漏洞了！ 有时上传不一定会成功,这是因为Cookies不一样.我们就要用WSockExpert取得Cookies.再用DOMAIN、中国菜刀上传.　 2.注入漏洞 字符过滤不严造成的 3.暴库:把二级目录中间的/换成%5c　 　 4.'or'='or'这是一个可以连接SQL的语名句.可以直接进入后台。 我收集了一下。类似的还有： 　'or''=' 　" or "a"="a　　 ') or ('a'='a　　 ") or ("a"="a　　 or 1=1--　 ' or 'a'='a 5.社会工程学。这个我们都知道吧。就是猜解。 　 6.写入ASP格式数据库。就是一句话木马〈%execute request("value")%〉 （数据库必需得是ASP或ASA的后缀） 　　 7.源码利用：一些网站用的都是网上下载的源码.有的站长很懒.什么也不改. 比如：默认数据库，默认后台地址，默认管理员帐号密码等 8.默认数据库/webshell路径利用:这样的网站很多/利人别人的WEBSHELL. /Databackup/dvbbs7.MDB /bbs/Databackup/dvbbs7.MDB /bbs/Data/dvbbs7.MDB /data/dvbbs7.mdb /bbs/diy