陈设web管理页面的安全申明,(黑客最欢愉

骨子里任何资料里面的任何知识点都不在乎,都是不主要的,主要的是读书形式,自行检索的进度(不妥之处欢迎指正)

生产环境下,ActiveMQ的画龙点睛配置。

汇总:http://www.cnblogs.com/dunitian/p/4822808.html#mvc

安插web管理页面的平安认证

本章Demohttps://github.com/dunitian/LoTCodeBase/blob/master/NetCode/6.网页基础/BMVC5/MVC5Base/Controllers/ModelController.cs

默许的web页面用户名密码admin:admin,非常不安全,

 

编辑jetty-realm.properties文件,(用户:密码,组)

说根本,先简单说下超负荷提交,一般黑客利用这几个和其他漏洞结合可以生出各样影响。(黑客最喜爱
type=”hidden” 那种的,有时候也会解猜一些任何字段)

admin: admin123, admin

user: user123, user

举个很简短的例子:大家都清楚有忘记密码是发个邮件给用户,然后点击链接之后就足以修改密码了,很多系统里头没有防患过于提交,用户ID都是如123,124等等可猜编号,黑客只要一个剧本基本上批量改动用户密码

配置web管理页面的绑定IP和端口

编辑jetty.xml,查找WebConsolePort

    <bean id=”jettyPort”
class=”org.apache.activemq.web.WebConsolePort” init-method=”start”>

             <!– the default port number for the web console
–>

        <property name=”host” value=” style=”background-color: #ff0000;”>192.168.0.31″/>

        <property name=”port” value=” style=”background-color: #ff0000;”>8161″/>

    </bean>

再举个例子,多店方式下的商铺,借使自己是一个懂点代码的店主,我又看竞争对手种种不爽,完全可以利用过度提交+权限漏洞来修改对手的货品价位和库存,双十一跟自己斗?库存改成0,回家歇菜去吗~

布署MQ连接的百色认证

编辑activemq.xml,在<broker>下加

        <plugins>

            <simpleAuthenticationPlugin>

                <users>

                    <authenticationUser username=”user”
password=”user123″ groups=”users” />

                </users>

            </simpleAuthenticationPlugin>

        </plugins>

上述五个案例我就不演示了,上次示范一个爆破就被遮挡了,咳咳,
本次借使再演示估算真得蛋疼了

禁用不使用的连年协议

编辑activemq.xml,在<transportConnectors>中收回或删除不行使的<transportConnector>

        <transportConnectors>

            <!– DOS protection, limit concurrent connections to
1000 and frame size to 100MB –>

            <transportConnector name=”openwire”
uri=”tcp://0.0.0.0:61616?maximumConnections=1000&wireFormat.maxFrameSize=104857600″/>

            style=”background-color: #ff0000;”><!–<transportConnector
name=”amqp”
uri=”amqp://0.0.0.0:5672?maximumConnections=1000&wireFormat.maxFrameSize=104857600″/>

            <transportConnector name=”stomp”
uri=”stomp://0.0.0.0:61613?maximumConnections=1000&wireFormat.maxFrameSize=104857600″/>

            <transportConnector name=”mqtt”
uri=”mqtt://0.0.0.0:1883?maximumConnections=1000&wireFormat.maxFrameSize=104857600″/>

            <transportConnector name=”ws”
uri=”ws://0.0.0.0:61614?maximumConnections=1000&wireFormat.maxFrameSize=104857600″/> style=”background-color: #ff0000;”>–>

        </transportConnectors>

上边我只保留了61616的openwire协议端口

仿照一个不太可依赖的案例吧

图片 1

style=”line-height: 1.5; background-color: initial;”>——————————————————————————————————————————

就这么低廉买走了~~~~

style=”color: #ff6600;”>URL参数幸免黑客修改一般都是那般玩的====》》

   style=”color: #ff0000;”>私钥+公钥+参数举行加密,可以是md5,可以是其余,然后当其中的一个参数传递过去。

style=”color: #ff0000;”>  接受方用传过来的公钥和参数+私钥举行相同的加密,然后相比加密结果,不一样等则不容访问


eg: URL:
xxx?name=a&price=b&count=1&key=C5954C83-6B13-4215-9E4C-192C4A45C049&check=xxxxxxxxxxxxxxxxxxxxxxxxx

黑客要修改url参数,那么至少满意那2个尺码:

1.得到私钥

2.解猜加密方法(不指出直接用md5或者sha1之类的,可以和其余加密相结合)


style=”font-family: ‘Microsoft YaHei’; font-size: 18px;”>好了,我们步入规范,继续说过度提交的防御。

过火提交其实在付出进度中早就有意无意的有那种概念了,比如ViewModel的发出,其刚起始是为着品质,其实也可防止止了一部分过于提交的抨击

Net里面其实有很好的方案==》模型绑定,可以设置一个Model只好修改哪些属性或者不容许设置什么样属性

经过 style=”color: #ff0000;”>Bind就足以兑现了:

黑名单形式

图片 2

或者用 style=”color: #ff6600;”>白名单情势:(提议用那种,安全性更高【ps:你中期有可能再加属性,到时候忘了不over了?】)

图片 3

======================效果================================

图片 4

————————-扩展———————

触目皆是人去面试的时候有可能会被问到,Net里面那种传参原理是啥?

来看一下观念方式:

图片 5

革命性:

图片 6

实际上那一个就是经过模型绑定来贯彻的.比如这种措施也是利用了模型绑定

图片 7

模型绑定会从 style=”color: #ff0000;”>请求中(不必然是表单,路由,url之类的也得以)查找有关参数(Product的连锁属性)

eg:从路由获得有关参数

图片 8

图片 9

eg:从url获取参数

图片 10

 手动绑定=》(里面有众多重载方法可以自动钻研)

图片 11 style=”line-height: 1.5; background-color: initial;”> 

绑定共商连接端口到指定IP

编辑activemq.xml,在<transportConnectors>下找到指定协议的配置,并修改0.0.0.0为要绑定的ip

style=”font-size: 12px; color: #333333; line-height: 21px; background-color: #f4fdfd;”> style=”font-size: 12px; color: #333333; line-height: 21px; background-color: #f4fdfd;”><transportConnector
name=”openwire” uri=”tcp:// style=”font-size: 12px; color: #333333; line-height: 21px; background-color: #ff0000;”>192.168.0.10:61616?maximumConnections=1000&wireFormat.maxFrameSize=104857600″/>

 

行使MySql作为持久化保存

编辑activemq.xml,在<beans>下插入如下bean配置

    <bean id=”mysql-ds”
class=”org.apache.commons.dbcp2.BasicDataSource”
destroy-method=”close”>

        <property name=”driverClassName”
value=”com.mysql.jdbc.Driver” />

        <property name=”url” value=”jdbc:mysql:// style=”background-color: #ff0000;”>192.168.0.20/activemq?relaxAutoCommit=true”
/>

        <property name=”username” value=” style=”background-color: #ff0000;”>activemq” />

        <property name=”password” value=” style=”background-color: #ff0000;”>123456″ />

        <property name=”poolPreparedStatements” value=”true” />

    </bean>

除去或吊销掉<persistenceAdapter>下的<kahaD>,添加<jdbcPersistenceAdapter>

        <persistenceAdapter>

   <!–<kahaDB
directory=”${activemq.data}/kahadb”/> style=”background-color: #ff0000;”>–>

            <jdbcPersistenceAdapter
dataDirectory=”activemq-data” dataSource=”#mysql-ds”/>

        </persistenceAdapter>

上边说下模型常用特性:

配置基于JDBC的高可用环境

多个以上activemq使用相同的db配置,

‍‍‍‍客户端连接url为failover:(tcp:``//broker1:61616,tcp://broker2:61616)

官方参考文档‍‍‍‍“

上次简短说了点:http://www.cnblogs.com/dunitian/p/5724872.html#form

看图

图片 12

其他一连串:

ErrorMessage =”邮箱格式不正确”

图片 13

视图部分:(这次用另一种办法)

@model Register

@using (Html.BeginForm())
{
@Html.AntiForgeryToken()

Register


@Html.ValidationSummary(true, “”, new { @class = “text-danger” })

@Html.LabelFor(model => model.Age, htmlAttributes: new { @class = “control-label col-md-2” })

@Html.EditorFor(model => model.Age, new { htmlAttributes = new { @class = “form-control” } })
@Html.ValidationMessageFor(model => model.Age, “”, new { @class = “text-danger” })

@Html.LabelFor(model => model.Money, htmlAttributes: new { @class = “control-label col-md-2” })

@Html.EditorFor(model => model.Money, new { htmlAttributes = new { @class = “form-control” } })
@Html.ValidationMessageFor(model => model.Money, “”, new { @class = “text-danger” })

@Html.LabelFor(model => model.NiName, htmlAttributes: new { @class = “control-label col-md-2” })

@Html.EditorFor(model => model.NiName, new { htmlAttributes = new { @class = “form-control” } })
@Html.ValidationMessageFor(model => model.NiName, “”, new { @class = “text-danger” })

@Html.LabelFor(model => model.Pass, htmlAttributes: new { @class = “control-label col-md-2” })

@Html.EditorFor(model => model.Pass, new { htmlAttributes = new { @class = “form-control” } })
@Html.ValidationMessageFor(model => model.Pass, “”, new { @class = “text-danger” })

@Html.LabelFor(model => model.RPass, htmlAttributes: new { @class = “control-label col-md-2” })

@Html.EditorFor(model => model.RPass, new { htmlAttributes = new { @class = “form-control” } })
@Html.ValidationMessageFor(model => model.RPass, “”, new { @class = “text-danger” })

@Html.LabelFor(model => model.Email, htmlAttributes: new { @class = “control-label col-md-2” })

@Html.EditorFor(model => model.Email, new { htmlAttributes = new { @class = “form-control” } })
@Html.ValidationMessageFor(model => model.Email, “”, new { @class = “text-danger” })

@Html.LabelFor(model => model.CreateTime, htmlAttributes: new { @class = “control-label col-md-2” })

@Html.EditorFor(model => model.CreateTime, new { htmlAttributes = new { @class = “form-control” } })
@Html.ValidationMessageFor(model => model.CreateTime, “”, new { @class = “text-danger” })

}

效果:

图片 14

修改内存

linux下,修改bin/env的ACTIVEMQ_OPTS_MEMORY属性,Xms=最小内存,Xmx=最大内存

ACTIVEMQ_OPTS_MEMORY=”-Xms style=”background-color: #ff0000;”>64M -Xmx style=”background-color: #ff0000;”>1G”

window下,修改activemq.bat,在 if “%ACTIVEMQ_OPTS%” == ” 前设置

set ACTIVEMQ_OPTS=-Xms style=”background-color: #ff0000;”>1G -Xmx style=”background-color: #ff0000;”>1G

 

注册为Service

linux(RedHat,CentOS)下(法定参考文档),运行以下命令注册为service,并设置为开机自动启动

ln -snf bin/activemq /etc/init.d/activemq
chkconfig –add activemq
chkconfig activemq on

下一场就足以选取如下service命令了

service activemq start|stop|status|restart

推介阅读:

Spring+Log4j+ActiveMQ完结长途记录日志——实战+分析
http://www.linuxidc.com/Linux/2015-12/126163.htm

Spring下ActiveMQ实战 
http://www.linuxidc.com/Linux/2015-11/124854.htm

Linux系统下ActiveMQ 安装
http://www.linuxidc.com/Linux/2012-03/55623.htm

Ubuntu下的ACTIVEMQ服务器
http://www.linuxidc.com/Linux/2008-07/14587.htm

CentOS 6.5启动ActiveMQ报错解决
http://www.linuxidc.com/Linux/2015-08/120898.htm

Spring+JMS+ActiveMQ+汤姆cat完结新闻服务
http://www.linuxidc.com/Linux/2011-10/44632.htm

Linux环境下边ActiveMQ端口号设置和WEB端口号设置
http://www.linuxidc.com/Linux/2012-01/51100.htm

ActiveMQ
的详细介绍
请点那里
ActiveMQ
的下载地址
请点那里

正文永久更新链接地址http://www.linuxidc.com/Linux/2016-01/128028.htm

图片 15

图片 16

送福利:

http://www.cnblogs.com/dunitian/p/5640147.html(最下面)

http://www.cnblogs.com/dunitian/p/4667038.html (最上面)

相关文章