演练场景说明
JVM注入动态脚本 向指定的Java方法注入一段动态代码,您可通过代码方式实施任意故障场景,例如篡改方法入参、篡改方法返回值等。K8s类场景 场景名称 特性 Node演练场景 Kubernetes集群中Node资源故障场景,目前包含基础资源中的CPU、网络和...
常见Web漏洞释义
XSS攻击可导致以下危害:钓鱼欺骗:利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站,或者通过注入钓鱼JavaScript脚本监控目标网站的表单输入,甚至基于DHTML技术发起更高级的钓鱼攻击。网站挂马攻击:攻击者利用Iframe标签在...
安全告警概述
云安全中心支持实时检测资产中的安全告警事件,覆盖网页防篡改、进程异常、网站后门、异常登录、恶意进程等安全告警类型。通过威胁检测模型,提供全面的安全告警类型检测,帮助您及时发现资产中的安全威胁、实时掌握资产的安全态势。背景...
脚本文件上传后无法执行
将脚本文件上传到Linux云虚拟主机后,可能会因为上传文件时使用的文本格式不正确(例如文件保存为DOC格式),Linux文本编辑器无法正确识别该文件中的换行结束符,导致网站中脚本文件的部分功能无法执行。本文介绍这种情况的可能原因和解决...
什么是应用防护
当用户可控参数被直接拼接到JSTL标签中而未对该参数进行任何限制的情况下,攻击者可以构造特殊的攻击脚本造成任意文件读取、SSRF攻击。尽可能不要将用户可控参数直接拼接到JSTL标签上,如果必须这样做,请对该参数的内容进行严格的白名单...
检测攻击类型说明和防护建议
攻击类型 说明 防护建议 JNDI注入 当应用进行JNDI查询的时候,若查询的URL可以由攻击者控制,则攻击者可以使服务器去查询恶意的链接使得服务器加载一些恶意Class,实现任意代码执行。若该漏洞源于第三方组件,请及时进行组件版本升级。若为...
检测范围说明
持久化后门 检测服务器上存在的被攻击者植入的持久化后门或入侵痕迹,对内存马注入、后门程序、异常注册表项修改等威胁行为进行告警。Web应用威胁检测 检测通过Web应用入侵服务器的行为。恶意脚本 检测资产的系统功能是否受到恶意脚本的...
附件四:常见漏洞危害及定义(先知计划)
Web服务端漏洞 SQL注入攻击 名词解释:SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。由于在设计程序时,忽略了对输入字符串中夹带的SQL指令的检查,被...
微服务如何实现无损上下线
EDAS默认为您注入preStop脚本,实现服务自动无损下线。无损上线具体操作,请参见 配置微服务治理。
快速入门
本文以向服务器注入查询当前路径的命令为例,介绍 PelicanDT 的使用方法。安装 PelicanDT SDK 将 PelicanDT SDK 添加到项目中有两种方式:下载 SDK 源码包,并添加到您的工作目录中。在 Maven 项目的 pom.xml 文件中添加以下代码,引入 ...
注入配置信息
本文介绍如何通过在 SAE 命名空间中创建的配置项向容器注入配置信息。前提条件 在命名空间中创建配置项。具体信息,请参见 管理和使用配置项(K8s ConfigMap)。操作步骤 在创建应用过程中注入配置信息 您可以使用在命名空间 配置项 页面...
故障注入
您可以通过故障注入功能向测试应用注入故障,检测应用面对异常时的处理情况。您可以根据检测的情况调整您的应用,以减少应用在正式使用时出现的异常问题。多用于测试环境。配置故障注入规则 登录 SOFAStack 控制台。在左侧菜单栏选择 ...
故障注入
您可以通过故障注入功能向测试应用注入故障,检测应用面对异常时的处理情况。您可以根据检测的情况调整您的应用,以减少应用在正式使用时出现的异常问题。多用于测试环境。功能简介 故障注入流程如下所示:在微服务中,其实现方式为:管控...
服务管控和治理
故障注入 您可以通过故障注入功能向测试应用注入故障,检测应用面对异常时的处理情况。您可以根据检测的情况调整您的应用,以减少应用在正式使用时出现的异常问题。更多信息,请参见 故障注入。服务鉴权 服务提供者提供服务后,您可以通过...
代码逻辑场景
具体示例,请参见 JVM注入动态脚本。参数名称 是否必选 默认值 参数说明 类名 是 无 完整的类名,包含包名。例如:com.alibaba.service.XxxService。如果模拟接口故障,需填写接口的实现类。方法名 是 无 方法名,例如:方法getUser(Long ...
管理全局命名空间
当 从ASM实例同步自动注入标签至数据平面集群 时,ASM实例的命名空间及其自动注入标签将根据其所属集群选择性地向不同数据平面集群进行同步。使用该功能,ASM实例版本需为1.17.2.37及以上。关于升级实例的具体操作,请参见 升级ASM实例。您...
Serverless场景Fluid进阶配置
Fluid为这种场景提供了数据访问挂载点检查脚本,并将该脚本自动注入到您的应用Pod中,挂载于应用容器的/check-dataset-ready.sh 文件路径下。您可以手动修改或通过Fluid自动配置容器的 lifecycle.postStart 的方式,确保应用容器数据访问的...
Kafka数据源
附录:脚本Demo与参数说明 附录:离线任务脚本配置方式 如果您配置离线任务时使用脚本模式的方式进行配置,您需要在任务脚本中按照脚本的统一格式要求编写脚本中的reader参数和writer参数,脚本模式的统一要求请参见 通过脚本模式配置离线...
JVM注入动态脚本
向指定的Java方法注入一段动态代码,您可通过代码方式实施任意故障场景,例如篡改方法入参、篡改方法返回值等。参数说明如下:参数名称 是否必选 默认值 参数说明 脚本类型 否 Java 动态脚本的语言类型,可选项:Java、Groovy。脚本名称 否...
注入配置信息
配置项可以用于容器运行环境的存储及配置,SAE 支持通过配置项将环境配置信息和容器镜像解耦,即使用挂载配置文件向容器中注入配置信息。本文介绍如何在 SAE 控制台向容器中注入配置信息。前提条件 在命名空间中创建配置项。具体信息,请...
流水线的配置
自定义脚本 如果您有比较定制化的需求(比如向 使用自定义脚本发布静态资源,或者执行一些定时任务),那么您可以使用 自定义脚本。详见 流水线上的自定义脚本任务。部署 把构建成果部署到服务器运行。这部分相关知识较多,请从 应用部署...
数据绑定
双数据源绑定 模板支持同时代入两组数据作为待绑定数据源,主要解决实际业务开发过程中 native 侧向模板内注入额外的控制数据,遇到此类需求时,便以启用该功能。模板注入的数据会和服务器下发的 mock 数据进行合并。注入的数据优先级更高...
HTTPS相关常见问题
跨站脚本攻击:跨站脚本攻击XSS(Cross-site scripting)是最常见和基本的攻击Web网站的方法。攻击者在网页上发布包含攻击性代码的数据。当浏览者看到此网页时,特定的脚本就会以浏览者用户的身份和权限来执行。通过XSS可以较容易地修改...
主机部署编排
then sh/home/admin/application/deploy.sh stop else echo"未找到/home/admin/application/deploy.sh脚本文件,跳过停止脚本"fi else echo"未找到/home/admin/application目录,跳过停止脚本"fi 健康检查脚本 开启健康检查脚本后,启动...
概述
模块 功能 描述 开启方式 相关文档 Web安全 规则防护引擎 基于内置的专家经验规则集,自动为网站防御SQL注入、XSS跨站、WebShell上传、命令注入、后门隔离、非法文件请求、路径穿越、常见应用漏洞攻击等通用的Web攻击。接入后自动开启。...
内置的安全审计规则
数据库审计规则按照以下攻击场景进行分类:异常操作 应用账号风险操作 运维人员风险操作 数据库探测 数据泄露 拖库攻击 数据库外联 大流量返回 漏洞攻击 缓冲区溢出 存储过程滥用 拒绝服务漏洞 隐通道攻击 SQL注入 SQL注入尝试利用 疑似SQL...
脚本语法
若指定字段不存在,则:使用函数方法,会返回值 null,脚本可继续向下执行。使用JSONPath方法,脚本会出现空指针,中断执行。您也可根据需要处理和计算数据。脚本中支持操作符和函数,请参见 操作符 和 函数列表。使用云产品流转函数实现...
脚本语法
若指定字段不存在,则:使用函数方法,会返回值 null,脚本可继续向下执行。使用JSONPath方法,脚本会出现空指针,中断执行。您也可根据需要处理和计算数据。脚本中支持操作符和函数,请参见 操作符 和 函数列表。使用转换函数 convert2...
漏洞等级说明
直接导致重要业务出现拒绝服务的漏洞,包括但不限于直接导致移动网关业务或API业务拒绝服务、网站应用拒绝服务等造成严重影响的远程拒绝服务漏洞。重要的敏感信息泄露,包括但不限于重要业务数据库的SQL注入漏洞、可获取大量企业核心业务...
“Script error.”的产生原因和解决办法
当网站请求并执行一个托管在第三方域名下的脚本时,就可能遇到该错误。最常见的情形是使用CDN托管JS资源。为了更好地理解,假设以下HTML页面部署在 http://test.com 域名下:!doctype ...
Windows系统服务器中如何通过IIS7.5配置伪静态脚本
概述 本文主要介绍在Windows系统服务器中,如何通过IIS 7.5配置伪静态脚本。详细信息 本文以Windows 2008系统为例,实际操作过程中涉及的路径及网站名称请按照现场实际情况配置。登录服务器,选择开始>管理工具>Internet 信息服务(IIS)...
配置数据源
3 2.3向下取整函数floor/向下取整 const re=filter.floor(2.11);2 2.4 四舍五入函数 round/四舍五入 const re=filter.round(2.11);2 2.5 数字转字符串函数numToStr/数字转字符串 const re=filter.numToStr(123)/'123' 2.6 字符串转数字/...
设置文件和目录的权限
通过为网站的文件和目录设置不同的权限,可降低被黑客篡改文件或挂马的风险,提高网站运行的安全性。以独享虚拟主机标准增强版为例,本文为您介绍如何设置文件和目录的权限。背景信息 根据网站程序的文件和目录用途,您可以参考以下场景...
Kubernetes集群的GPU问题诊断
如果是Nvidia驱动的问题,那么需要向Nvidia提交Bug信息并等待其工程师的处理。注:如果出现XID为31的错误,对后续作业调度不影响,可忽略。请重点关注业务日志,即容器stdout与容器内业务日志,该日志会有较明显的出错信息。恢复方案 快速...
Web服务端漏洞类型
SQL注入攻击 SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。由于在设计程序时,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL...
DescribeServiceMeshDetail-获取服务网格详情
false OutboundTrafficPolicy string 出向流量策略。取值:ALLOW_ANY:允许访问所有外部服务。REGISTRY_ONLY:只能访问注册到网格内的服务。ALLOW_ANY Kiali object 网格拓扑配置。Enabled boolean 是否启用网格拓扑(必须先开启采集 ...
托管规则
SQL注入、跨站脚本、代码执行、CRLF、远程文件和WebShell等入侵型攻击一般难以察觉且危害大,很难使用自定义规则、频次控制等规则自行配置攻击特征进行防护。托管规则是阿里云系统内置的智能托管防护规则,可以智能防护OWASP攻击和最新的源...
漏洞公告|Apache Hadoop FileUtil.unTar命令注入漏洞
2022年8月4日,Apache Hadoop官方披露修复了一个Shell命令注入漏洞CVE-2022-25168。由于Apache Hadoop的FileUtil.unTar API在传递Shell之前未对输入的文件名进行转义,攻击者可以利用该漏洞注入任意命令,从而对集群造成破坏。漏洞影响 ...
扫描漏洞
WordPress后台插件任意用户登录SQL注入漏洞 WordPress用户名枚举漏洞(CVE-2017-5487)WordPress SQL注入 WordPress跨站脚本漏洞(XSS)WordPress内容注入漏洞 WordPress Mail Sitename字段处理不当导致多处远程代码执行漏洞 WordPress插件...
通过脚本录制断言特定业务逻辑的执行结果
本文以淘宝网站的研发人员通过脚本录制断言该网站在谷歌(Chrome)浏览器上的加载完整性为例进行介绍。前提条件 请确保您已开通网络分析与监控。具体操作,请参见 开通网络分析与监控。关于浏览器探测的计费标准,请参见 浏览器探测。请...
- 产品推荐
- 这些文档可能帮助您