本文目录一览:
- 1、Linux里面JVM内存怎么设置?
- 2、javavm 参数 linux 怎么设置
- 3、作为小白如何学习Kali linux渗透测试技术
- 4、防黑加固Linux服务器安全加固?
- 5、如何测试XSS漏洞
- 6、xmanager怎么用
Linux里面JVM内存怎么设置?
jar包启动时指定对应参数,比如我的工程启动命令就是这样的
启动命令,打码部分为工程名
常见参数如下
1.-Xms:初始堆大小。只要启动,就占用的堆大小。
2.-Xmx:最大堆大小。java.lang.OutOfMemoryError:Java heap这个错误可以通过配置-Xms和-Xmx参数来设置。
3.-Xss:栈大小分配。栈是每个线程私有的区域,通常只有几百K大小,决定了函数调用的深度,而局部变量、参数都分配到栈上。
当出现大量局部变量,递归时,会发生栈空间OOM(java.lang.StackOverflowError)之类的错误。
4.XX:NewSize:设置新生代大小的绝对值。
5.-XX:NewRatio:设置年轻代和年老代的比值。比如设置为3,则新生代:老年代=1:3,新生代占总heap的1/4。
6.-XX:MaxPermSize:设置持久代大小。
java.lang.OutOfMemoryError:PermGenspace这个OOM错误需要合理调大PermSize和MaxPermSize大小。
7.-XX:SurvivorRatio:年轻代中Eden区与两个Survivor区的比值。注意,Survivor区有form和to两个。比如设置为8时,那么eden:form:to=8:1:1。
8.-XX:HeapDumpOnOutOfMemoryError:发生OOM时转储堆到文件,这是一个非常好的诊断方法。
9.-XX:HeapDumpPath:导出堆的转储文件路径。
10.-XX:OnOutOfMemoryError:OOM时,执行一个脚本,比如发送邮件报警,重启程序。后面跟着一个脚本的路径。
javavm 参数 linux 怎么设置
应用比较耗资源的话,tomcat启动时会报内存溢出的错误,修改方法如下:
用vi命令打开tomcat安装目录/bin下的catalina.sh文件
在该文件的第一行(具体在:cygwin=false上面一行)添加如下配置:
JAVA_OPTS="-Xms1024m -Xmx1024m -Xss512K -XX:PermSize=256m -XX:MaxPermSize=256m"
具体的配置参数可根据机器配置调整。
作为小白如何学习Kali linux渗透测试技术
首先你要明白你学KALI的目的是什么,其次你要了解什么是kali,其实你并不是想要学会kali你只是想当一个hacker
kali是什么:
只是一个集成了多种渗透工具的linux操作系统而已,抛开这些工具,他跟常规的linux没有太大区别。
你可能想学的是渗透技巧,相当一个黑客是吧?我建议你先从基础开始学起,比如漏洞是如何形成的,然后如何被利用,例:SQL注入漏洞。
如何成为一个黑客?:
- 具有极高的兴趣以及能够持之以恒的心
- 多结交良师益友很重要
-学习编程语言(python,php,html,JavaScript,java,c等,只有你会编程才能知道为什么会形成漏洞,才知道怎么利用漏洞)
-学习服务器运维(winservice和linux操作系统,域管理,权限管理等等等等不一一阐述)学习系统了解系统,因为你要了解一个站长是如何管理服务器的,服务器有哪些可以被你利用的地方,到时候用nmap扫描出来的结果你才能分析,才明白是什么意思
-英文好很重要,国外文献才能看得懂,英文好不好直接影响你能不能成为顶级黑阔
-多多实战演练,从基础的注入漏洞,XSS,弱口令,抓包等开始你的渗透生涯,等你拿到webshell的时候,你会有成就感 并且想学习的欲望越发强烈,等你拿到cmdshell的时候,你已经具备成为一个脚本小子的资格了,再往下走就要看你自己的天赋了,毕竟我的水平也仅限于此。
记住哦,一个hacker是要摆脱工具的,只会用工具永远只是脚本小子。你要自己了解原理,然后自己写工具出来。kali只是一个系统级渗透工具箱,只要你学会了渗透,有没有kali一样牛逼
此段摘自知乎Toom
防黑加固Linux服务器安全加固?
使用一些安全测试的办法与工具对服务器进行风险检测,找出服务器的脆弱点以及存在的安全缺陷。
针对服务器操作系统自身的安全测试,包括一些系统配置、主机漏洞扫描等等
查看服务器操作系统当前用户是否为root用户,尽量避免使用root用户登录,启动其他服务程序,除非是一些需要root权限的安全工具,前提需要保证工具来源可信。终端需要 who 既可以查看当前登录用户。
登录到Linux系统,此时切换到root用户,下载lynis安全审计工具,切换到lynis运行脚本目录,执行 ./lynis --check-all –Q 脚本语句,开始对本地主机扫描审计,等待扫描结束,查看扫描结果。
登录到Linux系统,切换到root用户,使用命令行方式安装Clamav 杀毒软件,安装完毕需要更新病毒库,执行扫描任务,等待扫描结束获取扫描结果,根据扫描结果删除恶意代码病毒;
登录到Linux系统,切换到root用户,下载Maldetect Linux恶意软件检测工具,解压缩后完成安装。运行扫描命令检测病毒,等待扫描结束获取扫描报告,根据扫描报告删除恶意病毒软件;
登录到Linux系统,切换到root用户,下载Chkrootkit后门检测工具包,解压缩后进入 Chkrootkit目录,使用gcc安装Chkrootkit,安装成功即开始Chkrootkit扫描工作,等待扫描结束,根据扫描结果恢复系统;
登录到Linux系统,切换到root用户,下载RKHunter 后门检测工具包,解压缩后进入 RKHunter 目录,执行命令安装RKHunter ,安装成功即开始启用后门检测工作,等待检测结束,根据检测报告更新操作系统,打上漏洞对应补丁;
使用下面工具扫描Web站点:nikto、wa3f、sqlmap、safe3 … …
扫描Web站点的信息:操作系统类型、操作系统版本、端口、服务器类型、服务器版本、Web站点错误详细信息、Web目录索引、Web站点结构、Web后台管理页面 …
测试sql注入,出现几个sql注入点
测试xss攻击,出现几个xss注入点
手动测试某些网页的输入表单,存在没有进行逻辑判断的表单,例如:输入邮箱的表单,对于非邮箱地址的输入结果,任然会继续处理,而不是提示输入错误,返回继续输入。
针对风险测试后得到的安全测试报告,修复系统存在的脆弱点与缺陷,并且进一步加强服务器的安全能力,可以借助一些安全工具与监控工具的帮助来实现。
对服务器本身存在的脆弱性与缺陷性进行的安全加固措施。
使用非root用户登录操作系统,使用非root用户运行其他服务程序,如:web程序等;
web权限,只有web用户组用户才能操作web应用,web用户组添加当前系统用户;
数据库权限,只有数据库用户组用户才能操作数据库,数据库用户组添加当前系统用户;
根据安全审计、恶意代码检查、后门检测等工具扫描出来的结果,及时更新操作系统,针对暴露的漏洞打上补丁。
对于发现的恶意代码病毒与后门程序等及时删除,恢复系统的完整性、可信行与可用性。
部署在服务器上的Web站点因为程序员编写代码时没有注意大多的安全问题,造成Web服务站点上面有一些容易被利用安全漏洞,修复这些漏洞以避免遭受入侵被破坏。
配置当前服务器隐藏服务器信息,例如配置服务器,隐藏服务器类型、服务器的版本、隐藏服务器管理页面或者限制IP访问服务器管理页面、Web站点错误返回信息提供友好界面、隐藏Web索引页面、隐藏Web站点后台管理或者限制IP访问Web站点后台。
使用Web代码过滤sql注入或者使用代理服务器过滤sql注入,这里更加应该使用Web代码过滤sql注入,因为在页面即将提交给服务器之前过滤sql注入,比sql注入到达代理服务器时过滤,更加高效、节省资源,用户体验更好,处理逻辑更加简单。
如何测试XSS漏洞
XSS跨站漏洞分为大致三种:储存型XSS,反射型XSS,和DOM型XSS,一般都是由于网站对用户输入的参数过滤不严格而调用浏览器的JS而产生的。XSS几乎每个网站都存在,google,百度,360等都存在,存在和危害范围广,危害安全性大。
具体利用的话:
储存型XSS,一般是构造一个比如说"scriptalert("XSS")/script"的JS的弹窗代码进行测试,看是否提交后在页面弹窗,这种储存型XSS是被写入到页面当中的,如果管理员不处理,那么将永久存在,这种XSS攻击者可以通过留言等提交方式,把恶意代码植入到服务器网站上, 一般用于盗取COOKIE获取管理员的信息和权限。
反射型XSS,一般是在浏览器的输入栏也就是urlget请求那里输入XSS代码,例如:127.0.0.1/admin.php?key="scriptalert("xss")/script,也是弹窗JS代码。当攻击者发送一个带有XSS代码的url参数给受害者,那么受害者可能会使自己的cookie被盗取或者“弹框“,这种XSS一次性使用,危害比储存型要小很多。
dom型:常用于挖掘,是因为api代码审计不严所产生的,这种dom的XSS弹窗可利用和危害性并不是很大,大多用于钓鱼。比起存储型和反射型,DOM型并不常用。
缺点:
1、耗时间
2、有一定几率不成功
3、没有相应的软件来完成自动化攻击
4、前期需要基本的html、js功底,后期需要扎实的html、js、actionscript2/3.0等语言的功底
5、是一种被动的攻击手法
6、对website有http-only、crossdomian.xml没有用
所以楼主如果想更加深层次的学习XSS的话,最好有扎实的前后端开发基础,还要学会代码审计等等。
推荐的话,书籍建议看看《白帽子讲web安全》,《XSS跨站脚本攻击剖析与防御》
一般配合的话,kalilinux里面的BEFF是个很著名的XSS漏洞利用工具,楼主有兴趣可以去看看。
纯手工打字,望楼主采纳。
xmanager怎么用
Xmanager是一款功能强大,在Windows环境中运行的便捷的PC X服务器软件包。用户可以通过它将UniX/LinuX桌面转换为WindowsPC。此外,X应用程序可以在用户电脑配置了专用网络或设有防火墙的情况下,通过SSH在用户PC和远程服务器之间安全操作。
Xmanager提供不同的功能,例如设置多台服务器,多视觉,多显示器,多用户设置,多个XDMCP会话,以及SSH安全加固。Xmanager为高级用户提供了多种额外选项以及为初次使用者提供了简单的用户界面。
Xmanager包括Xmanager,Xconfig,Xbrowser,Xstart以及其他一些工具。
利用命令行启动xmanager
Xmanager提供简单的命令借口(xrcmd.exe)通过命令行参数或与已安装的软件交互操作来启动会话。通过命令行参数可以做一下设置:
1)启动 XDMCP/Xstart会话2)启动SSH/TELNET/RLOGIN会话3)启动一个连接
图1:命令行设置启动
1、用命令行启动 XDMCP/Xstart会话
开启xmanager会话,可以输入以下命令行:
xrcmd -f session_nameEx.) xrcmd -f D:\Xmanager\Xstart\session.xss
2、用命令行启动一个连接
不用会话就能开启连接,只要使用下面的语法即可
xrcmd -protocol rlogin -host hostname -user $USERNAME -password $PASSWORD -status -result -command $COMMAND -display $DISPLAY
注意:
xmanager会话文件的默认位置:C:\Documents and Settings\%USER%\Application Data\NetSarang\Xmanager\%VERSION%\Xstart\
其中:Substitute %VERSION%代表xmanager的版本号;Substitte %USER%代表真正的用户名,以上介绍了Xmanager软件包括的程序和启动方法,更多使用技巧可以去Xmanager中文官网进行学习。