常见的未授权访问漏洞： Redis 未授权访问漏洞 MongoDB 未授权访问漏洞 Jenkins 未授权访问漏洞 Memcached 未授权访问漏洞 JBOSS 未授权访问漏洞 VNC 未授权访问漏洞 Docker 未授权访问漏洞 ZooKeeper 未授权访问漏洞 Rsync 未授权访问漏洞 Atlassian Crowd 未授权访问漏洞 CouchDB 未授权访问漏洞 Elasticsearch Elasticsearch 未授权访问漏洞 Hadoop 未授权访问漏洞 Jupyter Notebook 未授权访问漏洞 ## Redis未授权访问漏洞 ## 漏洞简介以及危害 Redis 默认情况下，会绑定在 0.0.0.0:6379，如果没有进行采用相关的策略，比如添加防火墙规则避免其他非信任来源 ip 访问等，这样将会将 Redis 服务暴露到公网上，如果在没有设置密码认证（一般为 空）的情况下，会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情况下，利用 Redis 自身的提供的 config 命令，可以进行写文件操作，攻击者可以成功将自己的 ssh 公钥写入目标服务器的 /root/.ssh 文件夹的 authotrized_keys 文件中，进而可以使用对应私钥直接使用 ssh 服务登录目标服务器、添加计划任务、写入

的每秒操作次数。CpuUsage当前 Redis 后端的 CPU 使用率。 说明：您可以单击自定义监控项添加不同操作命令的访问次数的监控，比如查看 set 命令每秒的次数。详细信息请参见性能监控。 ## 报警设置 选择左侧导航栏的报警设置，单击报警设置按钮跳转到云监控的设置页面。 ![Image](/uploads/ 、写入带宽使用率、读取带宽使用率。数据过期删除策略- 主动过期，系统后台会周期性的检测，发现已过期的key时，会将其删除。 - 被动过期，当用户访问某个key时，如果该key已经过期，则将其删除。空闲连接回收机制服务端不主动回收Redis空闲连接，由用户管理。内网访问，同一地域下的 ECS（不分可用区）都可以进行内网访问。建议和 ECS 选择在同一地域同一可用区。 单击立即购买，进入订单确认页面。阅读接受《云数据库 Redis 版服务条款》并确认订单信息无误后，单击去支付进行付款。 进

限制加大对方后期的溯源成本 另外，作为一名合格的攻防人员，工具的熟练掌握仅仅只是极小的一部分，对各种利用原理的深度理解和二次定制能力才是你的核心 ## 日常流程简要说明 入口权限 => 内网搜集/探测 => 免杀提权[非必须] => 抓取登录凭证 => 跨平台横向 => 入口维持 => 数据回传 => 定期权限维护 ## $ \mathcal{Q} [并顺手到各个社工库中去批量查询这些邮箱曾经是否泄露过密码] 目标自己对外提供的各种技术文档 / wiki 里泄露的各种账号密码及其它敏感信息 目标微信小程序 分析目标app Web请求 借助js探针搜集目标内网信息 想办法混入目标的各种 内部QQ群 / 微信群 分析目标直接供应商 [尤其是技术外包] 根据前面已搜集到的各类信息制作有针对性的弱口令字典 目标所用 WAF 种类识别与绕过 BypassWAF CVE-2014-4210 SSRF 控制台弱口令，部署webshell • Jboss CVE-2015-7501 CVE-2017-7504 CVE-2017-12149 未授权访问，部署webshell 控制台弱口令，部署webshell ### • wildfly [jboss 7.x 改名为 wildfly] 控制台弱口令，部署webshell Tomcat CVE-2016-8735

Weblate 的 Python API ## Administrator docs 配置手册 • Weblate 部署 • 升级 Weblate 备份和移动 Weblate • 身份验证 访问控制 • 翻译项目 • 语言定义 持续本地化集成 翻译许可 - 翻译许可 • 翻译进程 检查并修正 机器翻译 附加组件 - 翻译记忆库 - 配置 - 配置的例子 - 管理命令 (depending on ENABLE AVATARS). These images are obtained using https://gravatar.com/. ## 许可协议 ## API 访问 You can get or reset your API access token here. ## 审计日志 Audit log keeps track of the actions performed Publicly visible and anybody can contribute • Visible only to a certain group of translators ## 参见 访问控制，翻译工作流 ## 翻译项目 Translation projects hold related components; resources for the same software, book

Python API 2 管理员文档 2.1 配置说明 2.2 Weblate 部署 2.3 升级 Weblate 2.4 备份和移动 Weblate 2.5 身份验证 2.6 访问控制 2.7 翻译项目 2.8 语言定义 2.9 持续本地化 2.10 翻译许可 2.11 翻译进程 2.12 检查和修正 2.13 配置自动建议 2.14 附加组件 为单个项目配置 Weblate 时（请参阅配置），操作面板将不会显示，因为用户将被重定向到一个项目或部件。 #### 1.2.3 用户个人资料 通过单击顶部菜单右上角的用户图标，然后单击设置菜单，可以访问用户配置文件。 用户配置文件包含您的首选项。名称和电子邮箱地址在版本控制系统（VCS）提交中使用，因此请保持此信息准确无误。 备注：所有语言选择仅提供当前翻译的语言。 提示：通过单击按钮请求或添加要翻译的其他语言，以使其也可用。 言，以使其也可用。 ## 语言 #### 1.2.4 界面语言 请选择你想要在用户界面中展示的语言。 ## 翻译语言 选择您喜欢翻译的语言，它们将在观看项目的主页上提供，以便您可以更轻松地访问每种语言的所有翻译。 |Weblate|Dashboard|Projects|Languages|Checks| |---|---|---|---|---| ## 第二语言 您可以定义在翻译时向

Python API 2 管理员文档 2.1 配置说明 2.2 Weblate 部署 2.3 升级 Weblate 2.4 备份和移动 Weblate 2.5 身份验证 2.6 访问控制 2.7 翻译项目 2.8 语言定义 2.9 持续本地化 2.10 翻译许可 2.11 翻译进程 2.12 检查和修正 2.13 配置自动建议 2.14 附加组件 为单个项目配置 Weblate 时（请参阅配置）， 操作面板将不会显示，因为用户将被重定向到一个项目或部件。 #### 1.2.3 用户个人资料 通过单击顶部菜单右上角的用户图标，然后单击设置菜单，可以访问用户配置文件。 用户配置文件包含您的首选项。名称和电子邮箱地址在版本控制系统（VCS）提交中使用，因此请保持此信息准确无误。 备注：所有语言选择仅提供当前翻译的语言。 提示：通过单击按钮请求或添加要翻译的其他语言，以使其也可用。 言，以使其也可用。 ## 语言 #### 1.2.4 界面语言 请选择你想要在用户界面中展示的语言。 ## 翻译语言 选择您喜欢翻译的语言，它们将在观看项目的主页上提供，以便您可以更轻松地访问每种语言的所有翻译。 |Weblate|Dashboard|Projects|Languages|Checks| |---|---|---|---|---| ## 第二语言 您可以定义在翻译时向

的时候才有效。 ## LFU机制与hotkey Redis 4.0 新增了 allkey-lfu 和 volatile-lfu 两种数据逐出策略，同时还可以通过 object 命令来获取某个 key 的访问频度。 object freq user_key 基于 LFU 机制，用户可以使用 scan + object freq 来发现热点 key，当然 Redis 也一起发布了更好用的工具 redis-cli，使用示例如下。 dis协议和特性的混合存储产品。通过将部分冷数据存储到磁盘，在保证绝大部分访问性能不下降的基础上，大大降低了用户成本并突破了内存对Redis单实例数据量的限制。 ## 与Redis高性能内存型实例差别 Redis混合存储型实例中，所有的Key和经常访问的Value被保存在内存中，保证绝大部分访问请求的最高性能。不常访问的Value（冷数据）则会被存储到磁盘上，以达到内存利用最高性价比。 ## Redis混合存储型实例中，所有的Key和经常访问的Value被保存在内存中，保证绝大部分访问请求的最高性能。不常访问的Value（冷数据）则会被存储到磁盘上，以达到内存利用最高性价比。 ## 数据异步交换 在内存将要跑满的时候，Redis混合存储型实例从最近访问时间、访问频率、Value大小这三个维度综合考虑挑选出一些数据，通过后台线程将之存储到磁盘上。当用户访问数据时，如果该数据对应的Value在磁

导出和导入 1.8.5 删除 1.8.6 访问仓库 1.9 Docker Hub 1.9.1 私有仓库 1.9.2 私有仓库高级配置 1.9.3 数据管理 1.10 数据卷 1.10.1 监听主机目录 1.10.2 使用网络 1.11 外部访问容器 1.11.1 容器互联 1.11.2 配置 配置 DNS 1.11.3 高级网络配置 1.12 快速配置指南 1.12.1 容器访问控制 1.12.2 端口映射实现 1.12.3 配置 docker0 网桥 1.12.4 自定义网桥 1.12.5 工具和示例 1.12.6 编辑网络配置文件 1.12.7 实例：创建一个点到点连接 1.12.8 Docker 三剑客之 的 Quay.io，CoreOS 相关的镜像存储在这里；Google 的 Google Container Registry，Kubernetes 的镜像使用的就是这个服务。 由于某些原因，在国内访问这些服务可能会比较慢。国内的一些云服务商提供了针对 Docker Hub 的镜像服务（Registry Mirror），这些镜像服务被称为加速器。常见的有阿里云加速器、DaoCloud 加速器等。使用加速器会直接从国内的地址下载

0+功能请看配置文件和配置项、节点准入、并行交易、分布式存储、国密等请参考使用手册 • 控制台：交互式命令行工具，可访问区块链节点，查询区块链状态，部署并调用合约等。 - 运维部署工具(Generator): 支持建链、扩容等操作，推荐构建企业级区块链时使用，快速使用方法可参考教程 • SDK：提供访问节点状态、修改区块链系统配置以及节点发送交易等接口。 · 浏览器详细介绍请参考 浏览器 • JSON-RPC接口可参考 从流程、存储、协议三方面进行优化，提升性能。 ### 1. 流程 • 异步提交RPC交易到交易池 • 并行化对交易池中交易的处理操作 • 优化特定数据的缓存策略 • 优化交易并行执行过程中锁粒度 - 优化部分对象的访问方式，减少拷贝花销 ### 2. 存储 • 限制表名最大长度，从64调整为50 • 以二进制方式对区块数据和nonce数据进行编码存储 • 移除数据落盘阶段对部分表的排序和hash计算 ### ，提升智能合约执行性能。 4. 引入evmc扩展框架：支持扩展不同虚拟机引擎。 5. 升级重塑P2P、共识、同步、交易执行、交易池、区块管理模块。 ## 协议 1. 实现一套CRUD基本数据访问接口规范合约，基于CRUD接口编写业务合约，实现传统面向SQL方式的业务开发流程。 2. 支持交易上链异步通知、区块上链异步通知以及自定义的AMOP消息通知等机制。 3. 升级以太坊虚拟机版本，支持Solidity

分更详细的文档请参考 使用文档 和 设计文档 #### 2.1.9 准入控制 2.0版本对准入机制进行了重塑升级，包括网络准入机制和群组准入机制，在不同维度对链和数据访问进行安全控制。 采用新的权限控制体系，基于表进行访问权限的设计，另外还支持CA黑名单机制，可以实现对作恶/故障节点的屏蔽。详情请查看准入机制设计文档 #### 2.1.10 异步事件 2.0版本同时支持交易上链异步通知、 从流程、存储、协议三方面进行优化，提升性能。 ### 1. 流程 · 异步提交RPC交易到交易池 • 并行化对交易池中交易的处理操作 • 优化特定数据的缓存策略 • 优化交易并行执行过程中锁粒度 - 优化部分对象的访问方式，减少拷贝花销 ### 2. 存储 • 限制表名最大长度，从64调整为50 - 以二进制方式对区块数据和nonce数据进行编码存储 • 移除数据落盘阶段对部分表的排序和hash计算 ### ，提升智能合约执行性能。 4. 引入evmc扩展框架：支持扩展不同虚拟机引擎。 5. 升级重塑P2P、共识、同步、交易执行、交易池、区块管理模块。 ## 协议 1. 实现一套CRUD基本数据访问接口规范合约，基于CRUD接口编写业务合约，实现传统面向SQL方式的业务开发流程。 2. 支持交易上链异步通知、区块上链异步通知以及自定义的AMOP消息通知等机制。 3. 升级以太坊虚拟机版本，支持Solidity