xx

1、1.Tomcat内存优化主要是对 tomcat 启动参数优化，我们可以在tomcat 的启动脚本 catalina.sh 中设置 java_OPTS 参数 2、JAVA_OPTS参数说明 　　-server 启用jdk 的 server 版 　　-Xms java虚拟机初始化时的最小内存 　　-Xmx java虚拟机可使用的最大内存 　　-XX: PermSize 内存永久保留区域 　　-XX:MaxPermSize 内存最大永久保留区域 -XX:MaxNewSize 新生成的池的初始大小 3、其内存的配置需要根据服务器（或虚拟机）的实际内存来配置，在cygwin=false 后最加 JAVA_OPTS = "-Xms1024m -Xmx2048m -XX:PermSize=256M -XX:MaxNewSize=256m -XX:MaxPermSize=256m" 3、在重启tomcat 修改前效果 修改中 vim /opt/tomcat1/bin/catalina.sh 修改后 来源： CSDN 作者： a13568hki 链接： https://blog.csdn.net/a13568hki/article/details/103464124

前言： 官方的poc、exp payload只能获取很低的命令执行权限，甚至有些符号、命令还被过滤了，例如管道符被过滤。并且不能写入、下载文件，不能使用管道符重定向文件。那么我们只能通过获取到交互式shell来执行理想的命令。 0x01影响范围 Apache Solr 5.x - 8.2.0，存在config API版本 0x02环境搭建 vulhub上有几个apache solr的环境，我们使用vulhub上最新的环境“Apache Solr 远程命令执行漏洞（CVE-2019-0193）” 进入到vulhub目录下的solr漏洞的CVE-2019-0193下，然后执行命令： docker-compose up -d 一键开启环境，这个环境的solr是8.1.1，那么存在该漏洞。 开启环境后，我们要先创建名为test的core，这才将漏洞环境完整搭好，命令为： docker-compose exec solr bash bin/solr create_core -c test -d example/example-DIH/solr/db dokcer ps看一下端口，然后进行http://ip:端口,访问 默认8983端口 0x04漏洞利用 我们要知道目标机的core名称才能进行下一步攻击，例如我们刚刚创建的core名称为test，我们看看 core admin

window修改catalina.sh（如果是linux 系统则修改catalina.sh文件）中JAVA_OPS参数如下: -Djava.awt.headless=true#使用java-PJA处理图片 -Djava.net.preferIPv4Stack=true#在支持 IPv4 映射地址的 IPv6 网络堆栈中可以使用 IPv6 套接字来连接到 IPv4 和 IPv6 主机以及接受来自这些主机的连接。 -Dcom.tc.productkey.path=/opt/tomcat/terracotta-license.key#BigMemory启用本地缓存避免触发gc,存放地址 -Dlocal.ip=10.10.4.35#本机ip -Djava.util.Arrays.useLegacyMergeSort=true#兼容老版本中的排序算法 -Djava.rmi.server.hostname=10.10.4.35#配置RMI监控,多网卡的服务器开启RMI时指定IP用 -Dcom.sun.management.jmxremote#打开tomcat jmx支持 -Dcom.sun.management.jmxremote.port=1199#指定jmx端口号 -Dcom.sun.management.jmxremote.ssl=false#设置不支持ssl -Dcom.sun

1.gc配置参数 1.1 控制台打印gc日志 -verbose:gc -XX:+PrintGCDetails -XX:+PrintHeapAtGC（详细的gc信息） 1.2 输出gc日志到指定文件 -Xloggc: （例如： -Xloggc:C:\logs\gc.log） 1.3 Gc日志分块 -XX:-UseGCLogFileRotation -XX:GCLogFileSize = 8M 1.4 指定最小堆内存 -Xms （例如-Xms20M指定最小堆内存为20M） 1.5 指定最大堆内存 -Xmx （例如-Xms20M指定最大堆内存为20M） 1.6 指定新生代内存大小 -Xmn （例如-Xmn10M指定新生代内存为10M） 1.7 指定eden区在新生代的占比 -XX:SurvivorRatio=8 （eden比S0，S1区比例为8:1:1） 1.8元空间设置大小 -XX:MetaspaceSize 初始空间大小，达到该值就会触发垃圾收集进行类型卸载，同时GC会对该值进行调整：如果释放了大量的空间，就适当降低该值；如果释放了很少的空间，那么在不超过MaxMetaspaceSize时，适当提高该值。 -XX:MaxMetaspaceSize 最大空间，默认是没有限制的。 1.9 指定创建的对象超过多少会直接创建在老年代 -XX:PretenureSizeThreshold

1. URI URI = Universal Resource Identifier 统一资源标志符 URI采用一种特定语法标识一个资源的字符串。所标识的资源可能是服务器上的一个文件。不过，也可能是一个邮件地址、新闻消息、图书、人名、Internet主机或者任何其它内容。 通过URI找到资源是通过对名称进行标识，这个名称在某命名空间中，并不代表网络地址。 它包含URL和URN。 支持的协议有http、https、ftp、mailto、magnet、telnet、data、file、nfs、gopher、ldap等 java还大量使用了一些非标准的定制模式，如rmi，jar、jndi和doc，来实现各种不同用途。 2. URL URL = Universal Resource Locator 统一资源定位符 URL唯一地标识一个资源在Internet上的位置。不管用什么方法表示，只要能定位一个资源，就叫URL。 示例： http://www.jianshu.com/u/1f0067e24ff8 ftp://www.example.com/resource.txt 3. URN URN = Universal Resource Name 统一资源名称 URN它命名资源但不指定如何定位资源，比如：只告诉你一个人的姓名，不告诉你这个人在哪。例如：telnet、mailto、news 和

SpringBoot项目使用logback.xml配置日志输出，以下配置文件是个参考: (1) 建议启动时使用 logging.config 选项指定外部日志文件。 例如: (1) 配置文件直接指定 logging.config: /data/apps/config/xx/ordercenter-logback.xml (2) 启动时候动态指定 日志配置参数 : java -jar xx.jar --spring.profiles.active=product --logging.config=/data/apps/config/xx/ordercenter-logback.xml (2) configuration tag, scan 和 scanPeriod 属性，用来说明：日志配置文件可能会变化，定期扫描加载; (3) root节点的控制台输出 stdout_appender， 一般用于本地调试，因此使用 springProfile 条件控制; <configuration scan="true" scanPeriod="60 seconds"> <!-- 定义变量: 日志文件目录 和 名称 --> <property name="LogDir" value="/opt/logs/mysaas"/> <property name="BaseLogName" value=

参考： https://hub.docker.com/r/centos/postgresql-96-centos7/ 一、安装docker 二、下载基础镜像 docker pull centos/postgresql-96-centos7 三、在任意路径新建进行数据共享的文件夹，并修改权限 我需要创建一个dockDB文件夹用于同步容器内的数据库数据存储，一个dockerAPP文件夹用于我要在容器内运行的应用程序。因为该镜像启动容器后用progres用户（uid=26,gid=26）操作数据库，所以宿机的文件夹权限必须设置好。有以下两种方法： 一是将路径权限修改为其他用户可读可写可执行（因为我的路径下有可执行程序） chmod 777 dockerAPP -R chmod 777 dockerDB -R 另一种方法比较麻烦，是root创建一个uid=26,gid=26的用户udocker再切换至该用户执行 #创建udocker组，gid为26 groupadd -g 26 udocker #创建udocker用户 useradd -u 26 -g 26 -d /home/udocker -m udocker (删除用户： userdel -r -f udocker) #避免每次使用sudo操作docker命令，进行以下操作，执行完命令后重启docker服务 groupadd -g

阿里云1000元通用代金券点此领取 官方docker项目地址: https://github.com/apache/incubator-rocketmq-externals 里面有rocketmq的docker运行文档 如果同时需要docker运行console需要注意一个问题 下面是官方文档中运行console的命令，里面的JAVA_OPTS参数是不正确的，不知道是不是版本原因 docker run -e "JAVA_OPTS=-Drocketmq.namesrv.addr=127.0.0.1:9876 -Dcom.rocketmq.sendMessageWithVIPChannel=false" -p 8080:8080 -t styletang/rocketmq-console-ng 按照这个命令运行的话会报错 connect to <null> failed ， 如图 对比直接在服务器上运行的命令，把其中java_opts改为如下 docker run -e "JAVA_OPTS=-Drocketmq.config.namesrvAddr=127.0.0.1:9876 -D" -p 8080:8080 -t styletang/rocketmq-console-ng 再次运行，没有报错。 下面是我启动namesrv，broker，console用的docker

申请公众平台开发者模式需要填写一个URL和一个Token, 见下图: 如果这个URL和Token被别人猜中了, 并且你不判断消息中的ToUserName属性是否跟你微信号相配, 那么别人的公众帐号申请开发者时填写你的URL和你的Token, 别人的公众帐号就能把你公众帐号的功能盗用了. URL 你的微信号有时会要求用户绑定一些信息, 一般都是一个HTML5的网页, 这条微信内容其实就是一段HTML. 问题是复制这条消息到其它文本框中, HTML是暴露的, 你的<a href=”XXX”>XXX</a>会暴露出来, 所以别人可以轻而易举的拿到链接地址. 关键是不要让别人根据你的链接猜到你申请开发者时填写的URL, 在我看来, 以下格式的URL都相对不安全的: http://www.XX.com/ http://www.XX.com/ 微信号 http://www.XX.com/ 微信号/weixin.aspx http://www.XX.com/ 微信号/weixin.ashx http://www.XX.com/ 微信号/weixin.php http://www.XX.com/ 微信号/微信号.aspx http://www.XX.com/ 微信号/微信号.ashx http://www.XX.com/ 微信号/微信号.php 等等… Signature 在群里经常听别人说图省事

前言 何谓短网址（Short URL）？顾名思义，就是形式上比较短的网址，当前主要是借助短网址来替代原先冗长的网址，方便传输和分享。短网址服务也就是将长网址转换为短网址的服务，这种服务在方便了广大网民的同时也带来了一定的安全风险。 Tencent Blade Team专门对短网址的安全问题进行过研究，也在KCON 2018上进行过分享过部分成果，本文也是对议题《短网址的攻击与防御》的解读和补充。 特别感谢：lake2、Wester、martinzhou 一、短网址基础 短网址服务可以提供一个非常短小的URL以代替原来的可能较长的URL，将长的URL地址缩短。用户访问缩短后的URL时，通常将会重定向到原来的URL。短网址服务主要起源于一些具有字数限制的微博客服务，但是现在广泛用于短信、邮件等。 很多安全问题是跟安全场景相关的，随着场景的不断变化，安全问题也是变化的。短网址的初衷是在微博这种限制字数的公共平台使用，也就是说它基本是公开的，但是后续在个人短信和邮件之中，其实有部分已经是私密的。 这直接引发了短网址第一个比较大的潜在风险。 在了解短网址风险和漏洞之前，我们首先应该了解下短网址是什么以及如何工作。 短网址服务的基本流程：用户将长网址提交到短网址服务中，之后短网址服务经过URL处理之后，利用转换算法对长网址进行转换，最后分别将长网址和短网址存储到数据库之中