先进SCCP，然后reset host （硬件）然后重启，应该会提示按 DEL 键， 按DEL 进入BIOS。此时可能还不能设置启动顺序，先执行一次 加载缺省优化配置，然后重启再进来，应该就可以了。 这个方法可以在特殊情况下一用。

 http request时候没有 content-length 这个header啊，怎么图示这个时候按照这个值----经龙总指点，忘记了post这茬了。post需要长度来识别

之前我自己将wasc-wafec-v1.0_web应用防火墙评估标准.pdf翻译成中文，并整理成excel方式在公司内部发了下，一直没有公开发出，一来是觉得翻译的还不够好，二来觉得有些地方自己也未领悟深透。今天偶然在网上发现有人也翻译了这个标准，并公布了出来，就直接转载过来，下面为转载内容。  前言Web应用防火墙 (WAF) 代表了一种新的信息安全技术，用于保护Web站点（或者说Web应用程序），使其在受攻击的情况下表现出更强的抵抗力。 在抵御Web攻击方面，WAF 提供了防火墙和IDS等常规…

【51CTO.com 独家特稿】随着网站安全，IM即时通讯安全，邮件安全三个专题的相继推出，终于在2008年年底，安全频道大型Web安全活动月的系列活动也圆满结束了。为了深入了解国内用户应对Web安全威胁的现状，帮助他们找出隐患、提高防范能力，国内领先的中文IT技术网站51CTO.com于2008年12月特别推出了“Web安全威胁在线调查”活动，邀请广大用户参与线上调查，为当前Web安全及威胁现状提供更为有力的数据依据；同时，51CTO.com安全频道为广大用户量身定做了系列Web安全相关技…

SaaS正在改变整个IT产业的格局。如果把IT行业看成是一个大舞台，原来的IT公司就是演员，而SaaS服务供应商们就是引座员(有时它们也是演员)，用户则是观众。在舞台上，各个厂商极力展示自己的优势，如功能、成本、效率，想方设法来吸引用户的注意。这意味着，客户在选择适合自己的IT厂商时，可以挑肥拣瘦。不过，如果用户真的需要选一个SaaS解决方案，首先一定要明确需要重点关注SaaS厂商的哪些方面，千万不要被SaaS服务供应商的宣传所蒙蔽。　　最需要明确的是，尽管迁移到SaaS也许是中小企业为了寻求效率而做出的举动，但只…

SOAP 是基于 XML 的简易协议，可使应用程序在 HTTP 之上进行信息交换。或者更简单地说：SOAP 是用于访问网络服务的协议。什么是 SOAP？SOAP 指简易对象访问协议 SOAP 是一种通信协议 SOAP 用于应用程序之间的通信 SOAP 是一种用于发送消息的格式 SOAP 被设计用来通过因特网进行通信 SOAP 独立于平台 SOAP 独立于语言 ...

可选的 SOAP Fault 元素用于存留 SOAP 消息的错误和状态信息。SOAP Fault 元素来自 SOAP 消息的错误消息被携带于 Fault 元素内部。如果已提供了 Fault 元素，则它必须是 Body 元素的子元素。在一条 SOAP 消息中，Fault 元素只能出现一次。SOAP 的 Fault 元素用于下列子元素：子元素 描述 <faultcode> 供识别故障的代码 ...

无论是在计算机杂志还是在Internet上，目前最热门的话题莫过于“Web Services”。各个平台之间的锋争，各个新产品的发布，众多新标准的制订，大都和Web Services有关。Web Services的起源Web应用的巨大成功和不断发展，使其渗透到商业领域和个人生活的各个方面。人们只要使用浏览器，就可以享受到各种各样的Web服务，例如网上购物，网上交易，网络游戏，预定车票，网上聊天和交友等等。与此同时，由于Web技术所带来的优势（统一的客户端和较好的维护性），使一些传统的应用纷纷…

一个网站，如果网站目录权限设置的不严格，很可能导致黑客绕过路径限制进入系统中的其他目录，对于一些有在线编辑和管理文件功能的网站，这种危害会被放大，攻击者可以轻松的编辑一个网页木马程序从而轻易的掌握整个服务器。对于此类攻击，一方面在程序上应该严格测试，另一方面应该在服务器目录权限上下功夫，禁止web匿名用户访问网站目录以外的地方。其次可以利用WAF类产品进行严格的path访问限制或业务访问逻辑，从而避免危害。下面是一个path bypass攻击示例。1.该网站具有在线文件编辑功能，仔细分析器URI，发现系统是根据UR…

 集中式应用框架是解决第一个问题的良方，其通过统一的框架将所有相关业务应用程序所涉及的元素形成统一战线；在此框架中前端的客户端向后端的表现层服务器以事先约定好的约定（Contract）提交相关上下文信息，然后由表现层服务器以服务形式通过各种适配器以及连接器向与之相连接的后台资源服务器、数据库服务器、业务应用服务器等请求服务并将结果以同样的约定（Contract）返回，从而使得攻击者即使利用网络层的种种漏洞突破安全防线也难于侵入部署于后端的重要服务器资源。最为关键的是，如何在提交上下文信息并得到最终结果的业…

今天受一同事问题启发，测试了下，记录如下环境 IIS，同一服务器2个不同端口的站点。客户端浏览器 IE FF总结如下：服务器产生的ASPsessionid cookie，在同一浏览器的不同标签下，A端口的cookie一样可以送给B端口站点。只要浏览器不关，request header里始终有该ASPsessionid 的cookie但是两个标签所产生的实际会话ID号并不一样，即A端口的session变量，b端口下不能共享。...

受下面的内容影响，F5 V9.4.7后的GTM打开递归不能只是简单的设置recursion: yes还需要明确设置相关的ACL，否则只是容许local ISC Support Bulletin - July 2007 Document last updated: 2007-07-30 There has been some confusion surrounding the changes to the "allow-recursion" and "allow-query-c…

CSS cross site scripting 跨站脚本 也叫XSS。OWASP将其列为WEB安全的头号风险，主要由于该类攻击及其常见和容易被利用。所谓跨站攻击其实也就是代码（js,vs,html等）注入，利用程序自身对输入、输出的内容不能进行彻底的过滤和编码而导致的浏览器脚本执行，从而损害访问者。利用CSS可以实现cookie窃取，钓鱼，会话劫持，插入木马，权限提升等工作。常见的跨站类型有reflected, stored, and DOM injection。防范方法：...

9.3.1HF2上 UDP的traceroute包经过F5时候，ttl=1时候 F5用原来的目的地址做源地址回应ttl 超时9.3.1HF4上 则不是这个情况 ，用正确的接口地址回应9.3.1HF1上测试 ip forwarding下对该行为的处理也都正常（不管有无执行snat），具体见：

利用在请求中构建特殊的回车符，进而导致服务器中断正确的response的响应，并在服务器端形成一个伪造的http response，如果此时其他用户发起了http请求，将导致用户看到的是伪造的页面内容，进而攻击用户。如果这个用户是一个代理服务器则危害更大。如果构建在某个其他普通的站点页面上，则大量不同用户的点击可能导致被攻击网站的出现严重的危害。这个攻击可利用在XSS跨站，web cache投毒，浏览器投毒上。攻击原理：利用网站在读取用户提交的数据后，将用户提交的数据插入http的location的 header中…

防止网页被篡改是被动的，能阻断入侵行为才是主动型的，前边提到的IPS/UTM等产品是安全通用的网关，也有专门针对Web的硬件安全网关，国内的如：绿盟的Web防火墙，启明的WIPS(web IPS)，国外的有imperva的WAF(Web Application Firewall)等。 　　Web防火墙，主要是对Web特有入侵方式的加强防护，如DDOS防护、SQL注入、XML注入、XSS等。由于是应用层而非网络层的入侵，从技术角度都应该称为Web IPS，而不是Web防火墙。这里之所以叫做Web防火墙，是因…

首先介绍一下现有的web应用防火墙的开源项目。1、web防火墙的开源项目首推Apache的插件，mod security。      mod security是针对Apache的安全组件。用于防护一些典型的web攻击。      关于mod security的部署和编译的步骤将在后续进行详细的介绍。这里就不进行一一介绍了。 2、IIS的插件 Web Knight。...