用ehcache做缓存,如果断电后要自动加载之前缓存,要怎么配置,一直不行啊?

Posted on

用ehcache做缓存,如果断电后要自动加载之前缓存,要怎么配置,一直不行啊?

当前访客身份:游客 [ 登录 | 加入开源中国 ]

当前位置:讨论区 » 技术问答 » EhCache

软件 代码 讨论区 新闻 博客 zwt

用ehcache做缓存,如果断电后要自动加载之前缓存,要怎么配置,一直不行啊?

zwt 发表于 5-3 13:09 5个月前, 4回/600阅, 最后回答: 1个月前 讨论区 » 技术问答

【杭州】开源中国-源创会第十三期开始报名 我要报名» 在使用ehcache 如果碰到意外情况,断电或服务器挂掉,我希望重启后 ehcache 能自动加载之前的缓存,但一直试都不行,不知道要怎么配置;

目前在重启服务器的时候会提示:

警告: The index for data file stake.data is out of date, probably due to an unclean shutdown. Deleting index file stake.index

目前配置: view sourceprint?

01

<

diskStore

path

=

"java.io.tmpdir"

/>

02

03

<

defaultCache

04

maxElementsInMemory

=

"10000" 05

eternal

=

"false"

06

timeToIdleSeconds

=

"43200" 07

timeToLiveSeconds

=

"43200"

08

overflowToDisk

=

"true" 09

diskPersistent

=

"true"

10

diskExpiryThreadIntervalSeconds

=

"120" 11

memoryStoreEvictionPolicy

=

"LFU"

12

/>

标签: EhCache Java 我想问同样的问题1个人想要问同样的问题 补充话题说明»

分享到 **

收藏 **

6 **

举报 **

0 | 0 **

按评价排序 | 显示最新答案 | 回页面顶部 共有4个答案 我要回答»

  • zwt

zwt 回答于 2012-05-03 13:32

举报 已经解决,在ehcache初始化之前

System.setProperty("net.sf.ehcache.enableShutdownHook","true");

请看 http://stackoverflow.com/questions/2373431/ehcache-disk-store-unclean-shutdown

有帮助(0) | 没帮助(0) | 评论(0) | 引用此答案

  • samsamsam

samsamsam 回答于 2012-05-14 16:29

举报 我想请教,我按照

System.setProperty("net.sf.ehcache.enableShutdownHook","true");

这个方法试过还是The index for data file is out of date。。。。。 --- 共有 1 条评论 ---

  • zwt 你要在加载ehcache之前设置环境变量,设置成功后看会输出log (4个月前 by zwt) 回复

有帮助(0) | 没帮助(0) | 评论(1) | 引用此答案

  • fbfan520

fbfan520 回答于 2012-09-05 14:00

举报 System.setProperty("net.sf.ehcache.enableShutdownHook","true");请问这句加在哪里 --- 共有 1 条评论 ---

  • zwt 在ehcache初始化之前 (1个月前 by zwt) 回复

有帮助(0) | 没帮助(0) | 评论(1) | 引用此答案

  • fbfan520

fbfan520 回答于 2012-09-07 13:35

举报 在ehcache初始化之前是什么意思? public static CacheManager manager = CacheManager.create("D:\XML\ehcache.xml"); public static Cache diskOnlyEternalCache = null; public static Cache diskEternalCache = null; public static Cache disk7DayCache = null; public static Cache diskSyn7DayCache = null; public static Cache disk1DayCache = null;

private CacheManageService() {

}

public synchronized static Cache getDiskOnlyEternalCache() {

    if (diskOnlyEternalCache == null) {
        diskOnlyEternalCache = manager.getCache("diskOnlyEternalCache");
    }
    return diskOnlyEternalCache;
}

像这个程序我加在哪里? 有帮助(0) | 没帮助(0) | 评论(0) | 引用此答案

非会员用户) ")")") 回答案顶部 | 回页面顶部 有什么技术问题吗? 我要提问

全部(3)...zwt的其他问题

© 开源中国社区(OsChina.NET) | 关于我们 | 广告联系 | @新浪微博 | 开源中国手机版 | 粤ICP备12009483号-3

黑客经典之恶意SSH登录企图分析

Posted on

黑客经典之恶意SSH登录企图分析

黑客经典之恶意SSH登录企图分析

原文链接:http://www.securitycn.net/html/research/service/1395.html

恶意SSH登录企图出现在一些管理者的日志中已经有几年的时间了。本文回顾了使用"蜜罐"(honeypot)对恶意SSH登录企图进行分析的方法,并提出了我们可以从这一活动中学到的东西。接着本文给出了关于如何使自己的系统安全面对这些攻击的建议。

使用honeypots进行研究

新西兰Honeynet(蜜罐网络)联盟是Honeynet联盟的一个成员研究机构,它致力于通过使用蜜罐技术研究黑帽子黑客(black hat hackers,指那些恶意入侵计算机或计算机网络并尽其所能进行破坏的黑客)的行为、策略和工具来提升计算机系统和网络安全。蜜罐的价值在于它们是可以公开接受攻击并被攻入的开放计算机系统,这使得研究者可以分析该系统上的恶意行为。

我们已经在惠灵顿的维多利亚大学建立起这样的系统来研究发生于新西兰大学网络上的恶意行为。该系统是一个高度互联的蜜罐,一个攻击者可以像在网络的任何其他系统上一样与之联系。在攻击者可知的范围内,蜜罐与其他计算机系统应该没有可分辨的差别。然而,所有流入和流出蜜罐的网络流量都通过Honeynet联盟的Roo honeywall严密监控。此外,系统事件也被蜜罐自身通过其日志功能进行记录。

蜜罐上运行的是标准RedHad 9服务器配置版本,带有可以通过公共互联网访问的安全外壳(Secure Shell,简称SSH)服务器。SSH是可以使得一个用户在网上通过加密通道登录到另一台电脑的程序。在过去的配置下遭遇到恶意SSH登录企图后,我们重新编配了我们的蜜罐以使其可以收集更多的数据。我们对SSH服务器打了补丁以同时记录在登录企图中使用的帐户名和密码。该蜜罐在2006年7月11日上线,在22天后的2006年8月1日下线。在这期间,该蜜罐受到了无数次的SSH登录企图攻击。我们进一步观察这些数据以确定攻击者的策略并提出提高 SSH安全水平的建议。 。

在该蜜罐在6月28日到7月4日运行的另一个配置上,我们增加了可以在系统被攻入后记录攻击者键盘操作的Sebek模块。我们设置了若干具有常用密码的用户帐户。几天后,一个攻击者成功进入了这一系统。在本文中给出了对这一攻击及后续攻击的分析,并提供了对恶意SSH登录企图如何被用于攻入系统的进一步分析。

对SSH登录企图的分析

这一部分分析了7月11日到8月1日我们的蜜罐捕获的数据。该分析完全基于蜜罐的系统日志文件,尤其是"messages"日志。"messages"日志记录了对SSH服务器的验证请求。它记录了日期、时间、登录企图发生的IP地址、请求的结果(失败或成功)以及验证使用的帐户名和密码。下面是两个"messages"的日志示例条目:

Jul 13 09:37:59 basta sshd[22308]: PW-ATTEMPT: fritz
Jul 13 09:37:59 basta sshd[22308]: Failed password for root from 10.0.160.14
port 39529 ssh2
Jul 13 09:38:02 basta sshd[22310]: Illegal user fatacunike from 10.0.160.14
Jul 13 09:38:02 basta sshd[22310]: PW-ATTEMPT: fatacunike
Jul 13 09:38:02 basta sshd[22310]: Failed password for illegal user fatacunike
from 10.0.160.14 port 40444 ssh2

首先,我们分析了用于登录企图的用户名。在取样时间内,系统日志总共记录到2741 个不同的帐户名,包括从常见的姓氏、系统帐户名和常用帐户名到短的字符串。在这些帐户名中,15个使用频率最高的帐户名被列于表1。该表格显示有一个系统上通常存在的帐户(root,mysql)、可能存在的帐户(guest、test)以及常见的姓氏(paul)。随后图1给出了所使用过的有效与无效帐户名的分布。

所使用的无效帐户名远多于有效帐户名并不奇怪,但是我们注意到在蜜罐上存在的所有默认帐户名中96.30%都被攻击利用。

表1 2741次攻击中出现最多的15个帐户名

(Number of Account Names Used in Attack:攻击中使用的帐户名数量;

Number of Account Names on System:系统中的帐户名数量

Existing Account:有效帐户

Invalid Account:无效帐户)

图1 有效与无效帐户名数量

"成功"的恶意SSH登录企图

在上面的部分中,我们分析了对于没有成功的恶意SSH登录企图数据的记录。这些数据可以使我们进一步理解这些攻击者如何操作,但是还有很多问题没有解决,其中之一是这些攻击中是否使用了工具软件。

7月2日,有一名攻击者通过猜测出一个SSH上的有效帐户名/密码成功地侵入了蜜罐。在这一事件中捕获的数据揭示了这些问题的答案。

首先我们观察了该黑客成功入侵蜜罐后进行的操作。确定了有效的帐户名/密码后,该黑客通过SSH登入蜜罐并继而下载了一个SSH扫描工具。在下面一节将更详细地介绍该工具,这里我们先将其总结为一个可以允许其使用者通过猜测密码的尝试识别并入侵其它SSH服务器的工具。这一工具安装后立刻被用来从我们的蜜罐中扫描B类网络。由于Roo honeywall对于向网络外部的连接施加的限制,该SSH扫描工具并未发现任何SSH服务器。

在最初的扫描后,攻击者继续下载并安装一个IRC僵尸(IRC Bot)。IRC僵尸是可以在远程通过IRC聊天通道控制一个被入侵的系统的工具,其中被入侵的系统被设定为可以通过该通道被监听。使用IRC来控制一个被入侵的系统比直接使用SSH要隐蔽得多,因为此时攻击者不再需要直接登入系统。此外,它还使得攻击者可以同时控制多个这样的系统(它们被称为 Zombies,还魂尸)。

IRC通道中的会话表明,Zombies被用于使用类似于被下载到我们的蜜罐上那样的SSH扫描工具扫描B类网络。在几个小时的时间里,有4个B类网络被来自不同IRC僵尸的SSH扫描工具扫描。一次扫描大约需要700秒的时间完成。此外,我们还目睹了一个帐户名/密码列表与160,324个不同的帐户名/密码组合之间的信息交换。这些帐户名与密码的结构与对我们的蜜罐系统进行攻击时使用的那些非常相似,但比它们范围更广。

分析总结

从这些被我们的蜜罐记录的数据中我们可以得到什么?SSH是一种可以通过安全、加密的方式在网络中访问一台电脑的方法,已经被广泛接受。然而,尽管其在安全方面名誉很好,在一台电脑上操作SSH仍然会面临威胁。如我们在本文中所示的那样,密码猜测显然是威胁之一。仅SSH服务器正在运行并可经互联网连接这一事实就吸引了23次来自独立IP的攻击,在22天内我们的蜜罐共受到6,899 次登录企图。这相当于大约平均每天1次攻击、约300次登录尝试。一些攻击者的攻击非常执着,在每次攻击中执行了上百次登录尝试。

扫描工具的数据记录显示有非常强有力的工具被使用。它们十分灵活并且可以使用用户定制的帐户名/密码列表进行攻击。如果一个攻击者想攻击一个特定的域,他们或许可以通过社会工程获取帐户名,然而将这些帐户名于将在攻击中使用的标准密码组合。通过观察一个IRC僵尸通道,我们发现攻击者们将扫描工具与IRC僵尸计数结合来通过Zombies(攻击者通过远程通道控制的被入侵的系统)进行扫描。

与一系列IRC僵尸结合后,一个攻击者只需要525个Zombies就可以在1天内扫描当今公共互联网的整个IP4。如果你有一个可以被公开访问的SSH服务器,你很可能就会成为这些攻击的目标。

安全建议

有很多简单的方法可以防范这些攻击。最显而易见的方式就是关闭在很多系统中被默认安装的daemon服务。如果一个计算机系统被作为桌面电脑,很可能没有必要用通过SSH的远程访问登入该电脑。如果该方式对你不适用,还有很多其他的选择:

·使用大多数Unix和Linux系统中的/etc/hosts.allow和/etc/hosts.deny文件限制对特定主机的daemon访问。

·安装一个防火墙以限制只允许指定的电脑与网络访问SSH服务器。这在来自内部网络一台电脑的管理员必须对该电脑远程操作时尤其适用。

·限制SSH服务器只允许经过验证的特定用户和组登录。

·将SSH服务器监听端口从22调整到其他未被使用的端口。尽管这样做不会阻止攻击者连接到服务器并开始猜测密码,但它会显著降低发现你的SSH daemon的可能性,因为黑客使用的是标准SSH客户端而且假定SSH服务器的攻击工具是运行于标准的22端口上的。

·除了简单的密码外使用其他验证方法。下面有关于这点的更多介绍。如果你无法选择这一方法,确保正在使用的密码或验证短语安全程度高而且是比较复杂的。

SSH提供了另一种可以成功地减少密码猜测攻击的验证方法。这一验证方法是基于密钥的,或者说是所谓的私钥与公钥。公钥被置于服务器端作为访问你的帐户的用户锁。该锁只能被对应的私钥开启。一旦你提供了该私钥,你就可以获得访问权限。由于攻击者无法猜测或生成这一私钥,密码猜测攻击将失败。所有流行的SSH服务器默认状态下都被设置为支持这一验证方法。然而,它们通常在提供的私钥错误时重新回到基于密码的验证过程,这再次为密码猜测攻击提供了方便。为使这一降低风险的策略成功,这些服务器需要被重新设定为只接受基于密钥的验证。

建立使用密钥的SSH十分简单,只需要几分钟的时间。先前Brian Hatch的文章已经谈及了关于个人用户和SSH服务器间安全访问的SSH用户身份。SSH主机密钥保护一文中提供了关于每台服务器所生成的主机密钥的更多信息。如果使用SSH密钥,读者可能希望获得更多SSH于ssh-agent的例子以便更快更容易地通过SSH登录。

在一些例子中,对一个SSH服务器基于密码的验证或访问无法被禁用。在这种情况下,需要采用其他措施。我们已经看到攻击者猜测帐户名并且对现有系统的帐户以及在通常的计算机系统中的帐户了如指掌。如果该攻击者可以猜到系统中存在的一个帐户名——对于我们的蜜罐,在Redhat蜜罐系统中96.30%的默认帐户名被猜到——则该攻击者已经在该电脑的门口踏入了一步。因此,我们建议不要使用很容易被猜到的帐户名,例如那些常见的姓氏。不要使用"Peter"、"Ian"、或"Mark",而是建立包括有姓和名的组合的帐户名,例如 "seifer_chr"。这可以通过控制帐户名分配的管理员做到。

此外,我们已经看到"root"帐户是在攻击中使用最多的帐户名,因为它通常都存在于计算机系统中。我们建议禁用该帐户的远程访问权限,取而代之的是管理员应该先通过一般用户帐户再使用"su"(超级用户指令)获得该root帐户的权限。

攻击者经常试图猜测在大多数系统上默认存在的长湖,例如ftp和mysql。如果 shell外壳与这些帐户关联,那么只有通过这些帐户才能访问外壳。对于ftp或mysql这样其存在只为运行电脑上某服务的帐户,外壳是不需要的并且应该被禁用,这可以有效地阻止通过SSH使用这些帐户远程登录。

除了使用无法被猜到的帐户名外,使用安全性强的用户密码也是很重要的。我们已经看到在攻击中使用的密码通常与帐户名相同或者是帐户名加上一些数列。我们推测攻击者们选择这些密码因为它们在恶意登录企图中是最"成功"的。这表明至少有些用户将他们的密码设置为这些很容易被猜到的字符串。系统管理员阻止用户选用这样的密码的唯一方法是通过安装各种工具软件(例如passwd+)强制用户使用安全性高的密码。

攻击者们正在使用工具进行密码猜测和登录尝试,例如被记录的扫描工具、QT和 55hb。然而,尽管有这些工具存在,由于SSH服务器端内置的对于失败登录企图的故意延迟以及各种网络延迟,登录尝试的最短平均时间也需要约2秒。尽管这提供了对于暴力攻击的防范,对于安全性差的帐户名和密码只需要少数几次尝试与猜测就可以侵入系统。以上所描述的安全措施应该被安装以保证安全工作的广泛与深入。

未来的工作

我们的分析是基于我们的蜜罐捕获的数据进行的。我们无法确定这些攻击对于网络上可以找到的系统成功的概率有多大。为了确定成功率,我们需要将这些攻击中使用的帐户名/密码组合与在真实系统中存在的帐户名/密码组合进行比较。此外,我们提出了将SSH服务器监听端口改到其他未占用的端口。我们需要建立这样配置的系统以评估其有效性。

关于作者

Christian Seifert是新西兰Honeynet联盟的成员。

致谢

感谢Jamie Riden提供降低密码猜测风险的策略以及对实际SSH密码猜测工具的参考。

本篇文章来源于 中国安全网-安全您的网络 原文链接:http://www.securitycn.net/html/research/service/1395.html

应用 memcached 提升站点性能——减少读自数据库和数据源

Posted on

应用 memcached 提升站点性能——减少读自数据库和数据源 - 简约设计の艺术 - 博客频道 - CSDN.NET

您还未登录!|登录|注册|帮助

简约设计の艺术

一个自由程序员的琐碎

应用 memcached 提升站点性能——减少读自数据库和数据源

分类: Cache Memcached Data-Structrue/Algorithms Open Source Architecture Design 2010-12-21 09:14 4720人阅读 评论(4) 收藏 举报 memcached数据库存储服务器ibmwebsphere

目录(?)[+]

  1. 简介
  2. 基础知识
  3. 何时使用 memcached
  4. 键名称空间和值
  5. 填充并使用 memcached
  6. 弹性和可用性
  7. 分配缓存
  8. 如何能不使用 memcached

  9. memcached 不是一个数据库

  10. 不要缓存数据库行或文件
  11. memcached 并不安全

  12. 不要限制自己

  13. 结束语
  14. 参考资料
  15. 关于作者 Memcached Banner

Martin Brown, 自由撰稿人, Freelance Developer Martin Brown 成为专业作家已有七年多的时间了。他是题材广泛的众多书籍和文章的作者。他的专业技术涉及各种开发语言和平台 —— Perl、Python、Java™、JavaScript、Basic、Pascal、Modula-2、C、C++、Rebol、Gawk、 Shellscript、Windows、Solaris、Linux®、BeOS、Mac OS/X 等等,还涉及 Web 编程、系统管理和集成。Martin 是 Microsoft® 的主题专家(SME),并且是 ServerWatch.com、LinuxToday.com 和 IBM developerWorks 的定期投稿人,他还是 Computerworld、The Apple Blog 和其他站点的正式博客。您可以通过他的 Web 站点 : http://www.mcslp.com 与他联系。

简介: 开源 memcached 工具是一个用来存储常用信息的缓存,有了它,您便无需从缓慢的资源,比如磁盘或数据库,加载(并处理)信息了。该工具可部署在专用的情况下,也可作为用完 现有环境内的多余内存的一种方法。尽管 memcached 十分简便,但有时它仍被不当使用,或被用在错误的环境类型中。在本文中,了解使用 memcached 的最佳时机。

简介

memcached 常被用来加速应用程序的处理,在这里,我们将着重于介绍将它部署于应用程序和环境中的最佳实践。这包括应该存储或不应存储哪些、如何处理数据的灵活分布以 及如何调节用来更新 memcached 和所存储数据的方法。我们还将介绍对高可用性的解决方案的支持,比如 IBM WebSphere® eXtreme Scale。

所有的应用程序,特别是很多 web 应用程序都需要优化它们访问客户机和将信息返回至客户机的速度。可是,通常,返回的都是相同的信息。从数据源(数据库或文件系统)加载数据十分低效,若是每次想要访问该信息时都运行相同的查询,就尤显低效。

虽然很多 web 服务器都可被配置成使用缓存发回信息,但那与大多数应用程序的动态特性无法相适。而这正是 memcached 的用武之地。它提供了一个通用的内存存储器,可保存任何东西,包括本地语言的对象,这就让您可以存储各种各样的信息并可以从诸多的应用程序和环境访问这些信息。

基础知识

memcached 是一个开源项目,旨在利用多个服务器内的多余 RAM 来充当一个可存放经常被访问信息的内存缓存。这里的关键是使用了术语缓存:memcached 为加载自他处的信息提供的是内存中的暂时存储。

比如,考虑这样一个典型的基于 web 的应用程序。即便是一个动态网站可能也会有一些组件或信息常量是贯穿页面整个生命周期的。在一个博客站点内,针对单个 blog post 的类别列表不大可能在页面查看间经常性地变更。每次都通过一个对数据库的查询加载此信息相对比较昂贵,特别是在数据没有更改的情况下,就更是如此。从图 1 可以看到一个博客站点内可被缓存的页面分区。

图 1. 一个典型的博客页面内的可缓存元素 此图显示了可缓存的 blog 元素及其布局:顶部是 Page Header,左边是当前的 Current post lists,右边是 About、Post History、External Links 和 Category list

将这种结构放在 blog 站点的其他元素,poster 信息、注释 — 设置 blog post 本身 — 进行推断,可以看出为了显示主页的内容很可能需要发生 10-20 次数据库查询和格式化。 每天对数百甚至数千的的页面查看重复此过程,那么您的服务器和应用程序执行的查询要远远多于为了显示页面内容所需执行的查询。

通过使用 memcached,可以将加载自数据库的格式化信息存储为一种可直接用在 Web 页面上的格式。并且由于信息是从 RAM 而不是通过数据库和其他处理从磁盘加载的,所以对信息的访问几乎是瞬时的。

再强调一下,memcached 是一个用来存储常用信息的缓存,有了它,您便无需从缓慢的资源,比如磁盘或数据库,加载并处理信息了。

对 memcached 的接口是通过网络连接提供的。这意味着您可以在多个客户机间共享单个的 memcached 服务器(或多个服务器,如本文稍后所示的)。这个网络接口非常迅速,并且为了改善性能,服务器会故意不支持身份验证或安全性通信。但这不应限制部署选项。 memcached 服务器应该存在于您网络的内部。网络接口的实用性以及可以部署多个 memcached 实例的简便性让您可以使用多个机器上的多余 RAM 来提高您缓存的整体大小。

memcached 的存储方法是一个简单的键/值对,类似于很多语言内的散列或关联数组。通过提供键和值来将信息存储到 memcached 内,通过按特定的键请求信息来恢复信息。

信息会无限期地保留在缓存内,除非发生如下的情况:

  1. 为缓存分配的内存耗尽 — 在这种情况下,memcached 使用 LRU(最近最少使用)方法从此缓存删除条目。最近未曾使用的条目会从此缓存中先删除,最旧的最先访问。
  2. 条目被明确删除 — 总是可以从此缓存内删除条目。
  3. 条目过期失效 — 各条目均有一个有效的期限以便针对此键存储的信息在过于陈旧时可从缓存中清除这些条目。

上述这些情况可以与您应用程序的逻辑综合使用以便确保缓存内的信息是最新的。有了这些基础知识后,让我们来看看在应用程序内如何能最好地利用 memcached。

何时使用 memcached

在使用 memcached 改进应用程序性能时,可以对一些关键的过程和步骤进行修改。

在加载信息时,典型的场景如图 2 所示。

图 2. 加载要显示的信息的典型顺序 此图显示了从加载数据到处理/格式化数据再到发送数据至客户机的流程

一般而言,这些步骤是:

  1. 执行一个或多个查询来从数据库加载信息
  2. 格式化适合于显示(或进一步处理)的信息
  3. 使用或显示格式化了的数据

在使用 memcached 时,为配合这个缓存,可对应用程序的逻辑进行稍许修改:

  • 尽量从缓存加载信息
  • 如果存在,使用信息的被缓存版本
  • 如果它不存在:
  1. 执行一个或多个查询来从数据库加载信息
  2. 格式化适合于显示或进一步处理的信息
  3. 将信息存储到缓存内
  4. 使用格式化了的数据

图 3 是对这些步骤的总结。

图 3. 在使用 memcached 时加载适合于显示的信息 此图显示了如果所请求的数据位于缓存内,它就会跳过所有处理步骤,节省了时间

数据加载成为了至多三个步骤的一个过程,从缓存加载数据或从数据库(视情况而定)加载数据并存储在缓存内。

当这个过程首次发生时,数据将正常地从数据库或其他数据源加载,然后再存储到 memcached 内。当下一次访问此信息时,它就会从 memcached 拉出,而不是从数据库加载,节省了时间和 CPU 循环。

问题的另一个方面是要确保如果更改了要存储在 memcached 内的信息,在更新后端信息的同时还要更新 memcached 的版本。这会让图 4 内所示的这个典型顺序发生稍许变化,如 图 5 所示。

图 4. 在一个典型的应用程序内更新或存储数据 此图显示了从更新数据到处理/格式化数据再到发送更新了的数据至客户机的流程

图 5 显示了使用 memcached 后发生了变化的流程。

图 5. 在使用 memcached 时更新或存储数据 此图显示了拓展了的流程:从更新数据到处理/格式化数据,再到将数据存储在 memcached 内,最后到发送更新了的数据至客户机

比如,仍以博客站点为例,在博客系统更新数据库内的类别列表时,更新应该遵循如下顺序:

  1. 更新数据库内的类别列表
  2. 格式化信息
  3. 将信息存储到 memcached 内
  4. 将信息返回至客户机

memcached 内的存储操作是原子的,所以信息的更新不会让客户机只获得部分数据;它们获得的或者是老版本,或者是新版本。

对于大多数应用程序,这两个操作是您惟一需要注意的。在访问他人使用的数据时,它会自动被添加到这个缓存内,而且如果对该数据进行了更改,此缓存内也会自动进行更新。

键、名称空间和值

memcached 另一个需要重点考虑的因素是如何组织和命名存储在缓存内的这些数据。从之前博客站点的例子中,不难看出需要使用一种一致的命名结构以便您能加载博客类别、历史和其他信息,然后再在加载信息(并更新缓存)时或者在更新数据(同样也要更新缓存)时使用。

使用的何种具体的命名系统特定于应用程序,但通常可以使用一种与现有应用程序类似的结构,并且这种结构很可能基于某种惟一识别符。当从数据库拉出信息或在整理信息集时,就会发生这种情况。

以 blog post 为例,可以在一个具有键

category-list 的项中存储类别列表。与此 post ID 对应的单个 post,比如

blogpost-29 相关的值都可以使用,而该项的注释则可以存储在

blogcomments-29 内,其中 29 就是这个 blog post 的 ID。这样一来, 您就可以将各种各样的信息存储在缓存内,使用不同的前缀来标识这些信息。

memcached 键/值存储的简便性(以及安全性的缺乏)意味着如果您想要在使用同一个 memcached 服务器的同时支持多个应用程序,那么就可以考虑使用其他格式的量词来标识数据属于某种特定的应用程序。比如,可以添加像

blogapp:blogpost-29 这样的应用程序前缀。这些键是没有格式的,所以可以使用任何字符串作为键的名称。

在存储值的方面,应该确保存储在缓存内的信息适合于您的应用程序。比如,对于这个博客系统,您可能想要存储被博客应用程序使用的对象以便格式化博客信息,而不是原始的 HTML。如果同一个基础结构用在应用程序内的多个地方,这一点更具实用性。

大多数语言的接口,包括 Java™、Perl、PHP 等,都能串行化语言对象以便存储在 memcached 内。这就让您可以存储并随后从内存存储恢复全部对象,而不是在您的应用程序内手动重构它们。 很多对象,或它们使用的结构,都基于某种散列或数组结构。对于跨语言的环境,比如在 JSP 环境和 JavaScript 环境间共享相同信息,可以使用一种架构中立的格式,比如 JavaScript Object Notation (JSON) 甚或 XML。

填充并使用 memcached

作为一种开源产品以及一种最初开发用来工作于现有开源环境内的产品,memcached 受大量环境和平台支持。与 memcached 服务器通信的接口有很多,并常常具有针对所有语言的多个实现。参见 参考资料 以获得常用的库和工具箱。

要列出所有受支持的接口和环境不太可能,但它们均支持 memcached 协议提供的基础 API。这些描述已经被简化并应用在不同语言的上下文内,在这些语言中,使用不同的值可指示错误。主要的函数有:

  • get(key) — 从存储了特定键的 memcached 获得信息。 如果键不存在,就返回错误。
  • set(key, value [, expiry]) — 使用缓存内的标识符键存储这个特定的值。如果键已经存在,那么它就会被更新。期满时间的单位为秒,并且如果值小于 30 天 (30/24/60/*60),那么就用作相对时间,如果值大于 30 天,那么就用作绝对时间 (epoch)。
  • add(key, value [, expiry]) — 如果键不存在就将这个键添加到缓存内,如果键已经存在就返回错误。如果您想要显式地添加一个新键而又不会因它已经存在而更新它,那么这个函数将十分有用。
  • replace(key, value [, expiry]) — 更新此特定键的值,如果键不存在就返回一个错误。
  • delete(key [, time]) — 从缓存中删除此键/值对。如果您提供一个时间,那么添加具有此键的一个新值就会被阻塞这个特定的时期。超时让您可以确保此值总是可以重新读取自您的数据中心。
  • incr(key [, value] ) — 为特定的键增 1 或特定的值。只适用于数值。
  • decr(key [, value]) — 为特定的键减 1 或特定的值,只适用于数值。
  • flush_all — 让缓存内的所有当前条目无效(或到期失效)。

比如,在 Perl 内,基本 set 操作可以如清单 1 所示的那样处理。

清单 1. Perl 内的基本 set 操作 use Cache::Memcached; my $cache = new Cache::Memcached { 'servers' => [ 'localhost:11211', ], }; $cache->set('mykey', 'myvalue');

Ruby 内的相同的基本操作如清单 2 所示。

清单 2. Ruby 内的基本 set 操作 require 'memcache' memc = MemCache::new '192.168.0.100:11211' memc["mykey"] = "myvalue"

在两个例子中可以看到相同的基本结构:设置 memcached 服务器,然后分配或设置值。其他的接口也可用,包括适合于 Java 技术的那些接口,让您可以在 WebSphere 应用程序内使用 memcached。memcached 接口类允许将 Java 对象直接序列化到 memcached 以便于存储和加载复杂的结构。当在像 WebSphere 这样的环境内进行部署时,有两个事情非常重要:服务的弹性(在 memcached 不可用时如何做)以及如何提高缓存存储量来改进在使用多个应用程序服务器或在使用像 WebSphere eXtreme Scale 这样的环境时的性能。我们接下来就来看看这两个问题。

弹性和可用性

有关 memcached 最常见的一个问题是:“若缓存不可用了,会发生什么情况呢?”正如之前章节中明示的,缓存内的信息不应该成为信息的的惟一资源。必须要能够从其他位置加载存储在缓存内的数据。

虽然,无法从缓存访问信息将会减缓应用程序的性能,但它不应该阻止应用程序的运转。可能会发生这样几个场景:

  1. 如果 memcached 服务宕掉,应用程序应该回退到从原始数据源加载信息并对信息进行显示所需的格式化。此应用程序还应继续尝试在 memcached 内加载和存储信息。
  2. 一旦 memcached 服务器恢复可用,应用程序就应该自动尝试存储数据。没有必要强制重载已缓存了的数据,可以使用标准的访问来用信息加载和填充缓存。最终,缓存将会被最常用的数据重新填充。

再次重申,memcached 是信息的缓存但并非惟一的数据源。memcached 服务器不可用不应该是应用程序的终结,虽然这意味着在 memcached 服务器恢复正常之前性能会有所降低。实际上,memcached 服务器相对简单,并且虽然不是绝对无故障的,但它的简单性的结果就是它很少会出错。

分配缓存

memcached 服务器只是网络上针对一些键存储值的一个缓存。如果有多台机器,那么很自然地会想要在所有多余机器上设置一个 memcached 的实例来提供一个超大的联网 RAM 缓存存储。

有了这个想法后,还有一种想当然是需要使用某种分配或复制机制来在机器之间复制键/值对。这种方式的问题是如果这么做反而会减少可用的 RAM 缓存,而不是增加。如图 6 所示,可以看出这里有三个应用程序服务器,每个服务器都可以访问一个 memcached 实例。

图 6. 多重 memcached 实例的不正确使用 此图显示了 memcached 的三个独立的 1-GB 实例,支持三个应用程序服务器,各产出 1 GB 的缓存空间

尽管每个 memcached 实例都是 1 GB 的大小(产生 3 GB 的 RAM 缓存),但如果每个应用程序服务器只有其自己的缓存(或者在 memcached 之间存在着数据的复制),那么整个安装也仍只能有 1 GB 的缓存在每个实例间复制。

由于 memcached 通过一个网络接口提供信息,因此单个的客户机可以从它所能访问的任何一个 memcached 实例访问数据。如果数据没有跨每个实例被复制,那么最终在每个应用程序服务器上,就可以有 3 GB 的 RAM 缓存可用,如图 7 所示。

图 7. 多重 memcached 实例的正确使用 此图显示了三个交互的 1-GB memcached 实例,支持三个应用程序服务器,导致总体 3 GB 的共享缓存空间

这个方法的问题是选择哪个服务器来储存键/值对,以及当想要重新获得一个值时,如何决定要与哪个 memcached 服务器对话。问题的解决方案就是忽略复杂的东西,比如查找表,或是寄望 memcached 服务器来为您处理这个过程。而 memcached 客户机则必须要力求简单。

memcached 客户机不必决定此信息,它只需对在存储信息时指定的键使用一个简单的散列算法。当想要从一列 memcached 服务器存储或获取信息时,memcached 客户机就会用一个一致的散列算法从这个键获取一个数值。举个例子,键

mykey 被转换成数值

23875 。是保存还是获取信息无关紧要,这个键将总是被用作惟一标识符来从 memcached 服务器加载,因此在本例中,“mykey” 散列转化后对应的值总是

23875 。

如果有两个服务器,那么 memcached 客户机将对这个数值进行一个简单的运算(例如,系数)来决定它应将此值存储在第一个还是第二个配置了的 memcached 实例上。

当存储一个值时,客户机会从这个键确定出散列值以及它原来存储在哪个服务器上。当获取一个值时,客户机会从这个键确定出相同的散列值并会选择相同的服务器来获取信息。

如果在每个应用程序服务器上使用的是相同的服务器列表(并且顺序相同),那么当需要保存或检索同一个键时,每个应用程序服务器都将选择同一个 服务器。现在,在这个例子中,有 3GB 的 memcached 空间可以共享,而不是同一个 1 GB 的空间的复制,这就带来了更多的可用缓存,并很有可能会提高有多个用户情况下的应用程序的性能。

这个过程也有其复杂性(比如当一个服务器不可用时会怎样),更多信息,请参见相关文档(参见 参考资料)。

如何能不使用 memcached

尽管 memcached 很简单,但 memcached 实例有时候还是会被不正确地使用。

memcached 不是一个数据库

最常见的 memcached 误用就是把它用作一个数据存储,而不是一个缓存。memcached 的首要目的就是加快数据的响应时间,否则数据从其他数据源构建或恢复需要很长时间。一个典型的例子就是从一个数据库中恢复信息,特别是在信息显示给用户前 需要对信息进行格式化或处理的时候。Memcached 被设计用来将信息存储在内存中以避免每次在数据需要恢复时重复执行相同的任务。

切不可将 memcached 用作运行应用程序所需信息的惟一信息源;数据应总是可以从其他信息源获取。此外,要记住 memcached 只是一个键/值的存储。不能在数据上执行查询,或者对内容进行迭代来提取信息。应该使用它来存储数据块或对象以备批量使用。

不要缓存数据库行或文件

虽然可以使用 memcached 存储加载自数据库的数据行,但这实际上是查询缓存,并且大多数数据库都提供各自的查询缓存的机制。其他的对象,比如文件系统的图像或文件的情况与此相同。很多应用程序和 web 服务器针对此类工作已经有了一些很好的解决方案。

如果在加载和格式化后,使用它来存储全部信息块,就可以从 memcached 获得更多的实用工具和性能上的改善。仍以我们的博客站点为例,存储信息的最佳点是在将博客类别格式化为对象,甚至是在格式化成 HTML 后。博客页面的构造可通过从 memcached 加载各个组件(比如 blog post、category list、post history 等)并将完成的 HTML 写回至客户机实现。

memcached 并不安全

为了确保最佳性能,memcached 并未提供任何形式的安全性,没有身份验证,也没有加密。这意味着对 memcached 服务器的访问应该这么处理:一是通过将它们放到应用程序部署环境相同的私有侧,二是如果安全性是必须的,那么就使用 UNIX® socket 并只允许当前主机上的应用程序访问此 memcached 服务器。

这多少牺牲了一些灵活性和弹性,以及跨网络上的多台机器共享 RAM 缓存的能力,但这是在目前的情况下确保 memcached 数据安全性的惟一一种解决方案。

不要限制自己

除了不应该使用 memcached 实例的情况外,memcached 的灵活性不应忽视。由于 memcached 与应用程序处于相同的架构水平,所以很容易集成并连接到它。并且更改应用程序以便利用 memcached 也并不复杂。此外,由于 memcached 只是一个缓存,所以在出现问题时它不会停止应用程序的执行。如果使用正确的话,它所做的是减轻其余服务器基础设施的负载(减少对数据库和数据源的读操 作),这意味着无需更多的硬件就可以支持更多的客户机。

但请记住,它仅仅是个缓存!

结束语

在本文中,我们了解了 memcached 以及如何最佳地使用它。我们看到了信息如何存储、如何选择合理的键以及如何选择要存储的信息。我们还讨论了所有 memcached 用户都要遇到的一些关键的部署问题,包括多服务器的使用、当 memcached 实例消亡时该怎么做,以及(也许最为重要的)在哪些情况下不能使用 memcached。

作为一种开源的应用程序并且是目的简单而直白的应用程序,memcached 的功能和实用性均来自于这种简单性。通过为信息提供巨大的 RAM 存储空间、让它在网络上可用,然后再让它可通过各种不同的接口和语言访问到,memcached 可被集成到多种多样的安装和环境中。

参考资料

学习

获得产品和技术

讨论

关于作者

Martin Brown 成为专业作家已有七年多的时间了。他是题材广泛的众多书籍和文章的作者。他的专业技术涉及各种开发语言和平台 —— Perl、Python、Java™、JavaScript、Basic、Pascal、Modula-2、C、C++、Rebol、Gawk、 Shellscript、Windows、Solaris、Linux®、BeOS、Mac OS/X 等等,还涉及 Web 编程、系统管理和集成。Martin 是 Microsoft® 的主题专家(SME),并且是 ServerWatch.com、LinuxToday.com 和 IBM developerWorks 的定期投稿人,他还是 Computerworld、The Apple Blog 和其他站点的正式博客。您可以通过他的 Web 站点 : http://www.mcslp.com 与他联系。

转自:http://www.ibm.com/developerworks/cn/opensource/os-memcached 本文是使用 B3log Solo简约设计の艺术 进行同步发布的

原文地址:http://88250.b3log.org/articles/2010/12/21/1292901251292.html

分享到:

4楼 fang00y 2011-01-19 17:04发表 [回复] [引用] [举报][e03][e03][e03]3楼 Rain 2010-12-23 20:24发表 [回复] [引用] [举报][e01]打算在现在的产品里用用2楼 xjbx 2010-12-23 15:45发表 [回复] [引用] [举报][e03]1楼 ajsfo 2010-12-23 10:10发表 [回复] [引用] [举报][e01]楼主发现了绝好的东西。 您还没有登录,请[登录][注册]

/* 以上用户言论只代表其个人观点,不代表CSDN网站的观点或立场 TOP

个人资料

88250

  • 访问:4219340次
  • 积分:41528分
  • 排名:第20名

  • 原创:1195篇

  • 转载:326篇
  • 译文:42篇
  • 评论:2834条

文章搜索

文章分类

展开

阅读排行

推荐文章 最新评论

wilder2000: mark

喝冰开水: 把源码发给我还吗?690236414@qq.com谢谢了,最好是我能加你好友,好相互交流

低调小一: 多谢了,转载了,楼主辛苦

ccssddnnbbookkee: 很详细,谢谢

hooqee: 不错!

起飞---为梦想而飞: 我一本都没看过,需要好好看看

logoc: 咱能,一天到晚不转来转去吗。还他妈的专家

bubble: 顶b3blog 对搜索引擎优化方面做的如何

簡約_Billy: 想您致敬,

簡約_Billy:

Code snips

Linux/Ubuntu

My projects

Technologies

公司简介|招贤纳士|广告服务|银行汇款帐号|联系方式|版权声明|法律顾问|问题报告QQ客服 微博客服 论坛反馈 联系邮箱:webmaster@csdn.net 服务热线:400-600-2320京 ICP 证 070598 号北京创新乐知信息技术有限公司 版权所有世纪乐知(北京)网络技术有限公司 提供技术支持江苏乐知网络技术有限公司 提供商务支持Copyright © 1999-2012, CSDN.NET, All Rights Reserved GongshangLogo

利用SQL注入漏洞登录后台

Posted on

利用SQL注入漏洞登录后台

发布时间:2012-02-10 09:42:17 来源:cnblogs.com/hongfei

题记:工作需要,得好好补习下关于WEB安全方面的相关知识,故撰此文,权当总结,别无它意。读这篇文章,我假设读者有过写SQL语句的经历,或者能看得懂SQL语句  早在02年,国外关于SQL注入漏洞的技术文章已...

题记:工作需要,得好好补习下关于WEB安全方面的相关知识,故撰此文,权当总结,别无它意。读这篇文章,我假设读者有过写SQL语句的经历,或者能看得懂SQL语句

早在02年,国外关于SQL注入漏洞的技术文章已经很多,而国内在05年左右才开始的。

如今,谈SQL注入漏洞是否已是明日黄花,国内大大小小的网站都已经补上漏洞。但,百密必有一疏,入侵是偶然的,但安全绝对不是必然的。

前些天,网上传得沸沸扬扬的“拖库”事件给我们敲响了安全警钟。

在开发网站的时候,出于安全考虑,需要过滤从页面传递过来的字符。通常,用户可以通过以下接口调用数据库的内容:URL地址栏、登陆界面、留言板、搜索框等。这往往给骇客留下了可乘之机。轻则数据遭到泄露,重则服务器被拿下。

现在,很多网站开发人员知其然而不知其所以然,小弟也是,所以赶紧恶补下,总结如学习内容。希望对初学者能够起到抛砖引玉的作用。

一、SQL注入的步骤

a) 寻找注入点(如:登录界面、留言板等)

b) 用户自己构造SQL语句(如:’ or 1=1/#,后面会讲解)

c) 将sql语句发送给数据库管理系统(DBMS)

d) DBMS接收请求,并将该请求解释成机器代码指令,执行必要的存取操作

e) DBMS接受返回的结果,并处理,返回给用户

因为用户构造了特殊的SQL语句,必定返回特殊的结果(只要你的SQL语句够灵活的话)。

下面,我通过一个实例具体来演示下SQL注入

二、SQL注入实例详解(以上测试均假设服务器未开启magic_quote_gpc)

1) 前期准备工作

先来演示通过SQL注入漏洞,登入后台管理员界面

首先,创建一张试验用的数据表:

CREATE TABLE users (

id int(11) NOT NULL AUTO_INCREMENT,

username varchar(64) NOT NULL,

password varchar(64) NOT NULL,

email varchar(64) NOT NULL,

PRIMARY KEY (id),

UNIQUE KEY username (username)

) ENGINE=MyISAM AUTO_INCREMENT=3 DEFAULT CHARSET=latin1;

添加一条记录用于测试:

INSERT INTO users (username,password,email)

VALUES('MarcoFly',md5('test'),'marcofly@test.com');

接下来,贴上登录界面的源代码:

Sql注入演示
Sql注入演示
用户名:
密  码:

附上效果图: \

当用户点击提交按钮的时候,将会把表单数据提交给validate.php页面,validate.php页面用来判断用户输入的用户名和密码有没有都符合要求(这一步至关重要,也往往是SQL漏洞所在)

代码如下:

登录验证 <?php $conn=@mysql_connect("localhost",'root','') or die("数据库连接失败!");; mysql_select_db("injection",$conn) or die("您要选择的数据库不存在"); $name=$_POST['username']; $pwd=$_POST['password']; $sql="select /* from users where username='$name' and password='$pwd'"; $query=mysql_query($sql); $arr=mysql_fetch_array($query); if(is_array($arr)){ header("Location:manager.php"); }else{ echo "您的用户名或密码输入有误,请重新登录!"; } ?>

注意到了没有,我们直接将用户提交过来的数据(用户名和密码)直接拿去执行,并没有实现进行特殊字符过滤,待会你们将明白,这是致命的。

代码分析:如果,用户名和密码都匹配成功的话,将跳转到管理员操作界面(manager.php),不成功,则给出友好提示信息。

登录成功的界面: \

登录失败的提示:

\

到这里,前期工作已经做好了,接下来将展开我们的重头戏:SQL注入

2) 构造SQL语句

填好正确的用户名(marcofly)和密码(test)后,点击提交,将会返回给我们“欢迎管理员”的界面。

因为根据我们提交的用户名和密码被合成到SQL查询语句当中之后是这样的:

select /* from users where username='marcofly' and password=md5('test')

很明显,用户名和密码都和我们之前给出的一样,肯定能够成功登陆。但是,如果我们输入一个错误的用户名或密码呢?很明显,肯定登入不了吧。恩,正常情况下是如此,但是对于有SQL注入漏洞的网站来说,只要构造个特殊的“字符串”,照样能够成功登录。

比如:在用户名输入框中输入:’ or 1=1/#,密码随便输入,这时候的合成后的SQL查询语句为:

select /* from users where username='' or 1=1/#' and password=md5('')

语义分析:“/#”在mysql中是注释符,这样井号后面的内容将被mysql视为注释内容,这样就不会去执行了,换句话说,以下的两句sql语句等价:

select /* from users where username='' or 1=1/#' and password=md5('')

等价于

select /* from users where username='' or 1=1

因为1=1永远是都是成立的,即where子句总是为真,将该sql进一步简化之后,等价于如下select语句:

select /* from users

没错,该sql语句的作用是检索users表中的所有字段

小技巧:如果不知道’ or 1=1/#中的单引号的作用,可以自己echo 下sql语句,就一目了然了。

看到了吧,一个经构造后的sql语句竟有如此可怕的破坏力,相信你看到这后,开始对sql注入有了一个理性的认识了吧~

没错,SQL注入就是这么容易。但是,要根据实际情况构造灵活的sql语句却不是那么容易的。有了基础之后,自己再去慢慢摸索吧。

有没有想过,如果经由后台登录窗口提交的数据都被管理员过滤掉特殊字符之后呢?这样的话,我们的万能用户名’ or 1=1/#就无法使用了。但这并不是说我们就毫无对策,要知道用户和数据库打交道的途径不止这一条。

Browser Security

Posted on

Browser Security-css、javascript

2013/06/19 18:55 | 瞌睡龙

层叠样式表(css)

调用方式有三种:
1 用\ 2 通过\,或者使用style参数。 3 XML(包括XHTML)可以通过\<?xml-stylesheet href=...?>

浏览器进行解析的时候会先HTML解析再做CSS解析,所以下面的代码会出错:

some_descriptor { background: url('http://www.example.com/ \

Gotcha!'); } 字符编码: 为了保证在css中可以使用可能产生问题的字符,css提供了一种方式由反斜杠()加六位十六进制数字。 字符e可以编码成\65 \065 \000065,当后面紧跟的字符也是十六进制字符中的一种的时候,只有最后一个才是对的。 例如teak编码成 t\65ak 不会正常,因为会解码时会把\65a当成一个字符。 为了避免上述情况可以编码以后加一个空白符,例如:t\65 k。 很多CSS解析器同样会解析引号之外的字符串。 下面两个代码IE下相同 \ \