Had migrated the site to new cloud service.

由于之前的服务商合约即将到期，续费价格对老用户太不友好，于是从某云换到了某云。 得益于之前的容器化，因此整体迁移比较顺利。重新制作了支持php7.4的镜像，并将TLS ciphers做了些调整。

启动了IPV6支持 启动了DNSSEC 启动了TLS 1.3支持 由于是免费服务，所以没有中国节点加速，导致都从国外pop节点访问，TTFB有点大。。。。

TLS1.0 1.1 1.2支持 优先使用ECDH算法 HTTP2支持 HSTS支持 OCSP stapling支持 Google Brotli Content-encoding支持 Certificate transparency 支持 HPKP 支持 CHACHA20_POLY1305算法支持 Dynamic TLS record sizing 支持 Secure and http only cookies enabled Partial CSP enabled Some security related he…

自己的博客通过RSS-------->自己的微博 自己的微博-------->嘀咕的API qq,msn等签名---->嘀咕 嘀咕--------->嘀咕的博客/论坛展示脚本显示到各个站 嘀咕---------->嘀咕的滴神功能分发这些更新到开心001.新浪微博,uchome等 嘀咕---------->通过API通知自己的微博t.myf5.net

之前我自己将wasc-wafec-v1.0_web应用防火墙评估标准.pdf翻译成中文，并整理成excel方式在公司内部发了下，一直没有公开发出，一来是觉得翻译的还不够好，二来觉得有些地方自己也未领悟深透。今天偶然在网上发现有人也翻译了这个标准，并公布了出来，就直接转载过来，下面为转载内容。  前言Web应用防火墙 (WAF) 代表了一种新的信息安全技术，用于保护Web站点（或者说Web应用程序），使其在受攻击的情况下表现出更强的抵抗力。 在抵御Web攻击方面，WAF 提供了防火墙和IDS等常规…

无论是在计算机杂志还是在Internet上，目前最热门的话题莫过于“Web Services”。各个平台之间的锋争，各个新产品的发布，众多新标准的制订，大都和Web Services有关。Web Services的起源Web应用的巨大成功和不断发展，使其渗透到商业领域和个人生活的各个方面。人们只要使用浏览器，就可以享受到各种各样的Web服务，例如网上购物，网上交易，网络游戏，预定车票，网上聊天和交友等等。与此同时，由于Web技术所带来的优势（统一的客户端和较好的维护性），使一些传统的应用纷纷…

一个网站，如果网站目录权限设置的不严格，很可能导致黑客绕过路径限制进入系统中的其他目录，对于一些有在线编辑和管理文件功能的网站，这种危害会被放大，攻击者可以轻松的编辑一个网页木马程序从而轻易的掌握整个服务器。对于此类攻击，一方面在程序上应该严格测试，另一方面应该在服务器目录权限上下功夫，禁止web匿名用户访问网站目录以外的地方。其次可以利用WAF类产品进行严格的path访问限制或业务访问逻辑，从而避免危害。下面是一个path bypass攻击示例。1.该网站具有在线文件编辑功能，仔细分析器URI，发现系统是根据UR…

CSS cross site scripting 跨站脚本 也叫XSS。OWASP将其列为WEB安全的头号风险，主要由于该类攻击及其常见和容易被利用。所谓跨站攻击其实也就是代码（js,vs,html等）注入，利用程序自身对输入、输出的内容不能进行彻底的过滤和编码而导致的浏览器脚本执行，从而损害访问者。利用CSS可以实现cookie窃取，钓鱼，会话劫持，插入木马，权限提升等工作。常见的跨站类型有reflected, stored, and DOM injection。防范方法：...

利用在请求中构建特殊的回车符，进而导致服务器中断正确的response的响应，并在服务器端形成一个伪造的http response，如果此时其他用户发起了http请求，将导致用户看到的是伪造的页面内容，进而攻击用户。如果这个用户是一个代理服务器则危害更大。如果构建在某个其他普通的站点页面上，则大量不同用户的点击可能导致被攻击网站的出现严重的危害。这个攻击可利用在XSS跨站，web cache投毒，浏览器投毒上。攻击原理：利用网站在读取用户提交的数据后，将用户提交的数据插入http的location的 header中…

http://www.myf5.net/request/

整合 Apache Http Server 和 Tomcat 可以提升对静态文件的处理性能、利用 Web 服务器来做负载均衡以及容错、无缝的升级应用程序。本文介绍了三种整合 Apache 和 Tomcat 的方式。...

http://dns.mycisco.cn在线DNS检测工具，类似与 dighttp://mxtest.myf5.net在线检查你的mx是否可以正常工作

...

今天发现Z-BLOG升级了 尽管是公测版,但看到它有了Ajax功能,忍不住还是尝鲜,由于之前的版本我自己改动很多,这次新升级增加了一些功能,变量啊,摸板啊都变了,自己又舍不得以前的摸板,于是花了2个多小时在原来摸板基础上改了改,以符合新版本的程序要求~~~改的越多以后越不好升级哦~~~不过为了尝鲜 值`~~~嘿嘿 ...

2天一夜从西安到北京又从北京回了西安 ，回来上网就发现西安EINIT群中通网网站的公告。走之前就听通网的朋友在群里说过，通网朋友的测试证明数据在跨越网关后确实出了问题，表面看确实很像路由器出了问题。但是仔细分析下，这个说法靠不住。 首先，如果是路由器漏洞导致的，我想对于路由器的漏洞其本身就是个高级的网络漏洞，能有能力控制到电信路由器的人估计还不屑于这么目的明显得插入一段网站的iframe代码。能有这样能力的人要么不攻击，要么就是大攻击。其次，如果是路由器漏洞，发生这样的情况，电信的人早...

由于论坛导航站的服务器出了点故障,正在排除中.待修复后即恢复haobbs的访问.感谢支持....