知其然，才能使其安——王震

常见的攻击手法

SQL 注入

文件上传

弱口令

Nday 攻击

XSS

社会工程学

等等……

被黑原因总结

那些年，醉人的“三字经”

攻击手法统计

Nday攻击：45%

漏洞攻击：35%

其他攻击：15%

0day攻击：5%

一些箴言

80%的安全问题都是已知的安全问题，但是能抵御已知安全问题的网站只有20%

弱口令虽然看起来很弱，但是忽视弱口令只会让你的网站变得更弱

没有百分之百的安全，你所做的一切不是为了让自己无坚不摧，只是让自己不再弱不禁风

80%的系统安全问题都是可以通过升级补丁来解决，但是能做到这点的人只有20%

SQL注入存在十几年了，依然是主流攻击手段，可见安全比的不是谁更先进，而是谁更细心

不要得罪你的开发人员，这就跟你吃饭不要得罪服务员一样，你不知道他下一秒会不会在你的菜里吐口水

还有一句

永远不要觉得你安装的安全防护软件真的可以保护你的安全

服务器安全注意事项

不安装不必要的软件

排查所有系统弱口令

关闭不常用的端口

控制目录权限

不在服务器上下载、打开非官方提供软件

不在服务器上打开他人发来的网页链接

如何排查暗链？

利用查看网站的源代码来检查黑链

使用站长工具“网站死链检测”功能来检查黑链

用 FTP 查看网站文件的修改时间来检查黑链

接入 webscan.360.cn 检测

后门排查

Windows 下，D 盾、安全狗、主机卫士

Linux 下，Seay 一句话扫描脚本、主机卫士 Linux 版

用 FTP 查看网站文件的修改时间来排查恶意后门

接入 webscan.360.cn 等在线检测

安全类书籍推荐

《Web 安全深度剖析》——张炳帅 著

《白帽子讲 Web 安全》——吴瀚清 著

《Web 前端黑客技术揭秘》——钟晨呜（余弦）著

《黑客攻防技术宝典 Web 实战篇》——国外某黑客 著

联系方式

官网：www.flsec.com

设规则：
    属性-文件传输规则-全局
        如果 时间 为 较旧 并且 传输 为 下载 那么 覆盖
        如果 大小 为 不同 并且 传输 为 下载 那么 覆盖
        如果没有匹配的规则，那么：跳过

建站点：
    站点-站点管理器-新建站点
        设好本地路径，传输 自定义规则 使用全局设置

队列：
    连接站点，在需要备份的目录上右键，队列
    在队列上右键，另存为

计划：
    工具-计划-新建任务
    选择队列文件，使用自定义规则
    设置执行时间，Windows 密码

设置完成！

最理想的部署方式是 ClickOnce，但是证书问题会导致安装时提示：

Windows 已保护你的电脑

Windows SmartScreen 筛选器已阻止启动一个未识别的应用。运行此应用可能会导致你的电脑存在安全风险。

这需要一个从 CA 获取的数字证书（http://www.doc88.com/p-785388554071.html）

百科：                                 http://baike.baidu.com/view/1390498.htm

ClickOnce 部署教程：            http://www.cnblogs.com/weixing/p/3358740.html

Makecert.exe（证书创建工具）： https://msdn.microsoft.com/zh-cn/library/bfsktky3.aspx

如何：为 ClickOnce 应用程序向客户端计算机添加一个受信任的发行者：https://msdn.microsoft.com/zh-cn/library/ms172241.aspx

执行命令：makecert -r -n "CN=嗨秒网" -sv himiao.pvk himiao.cer

Password: LRQelk0l****************FTtJvufI

-r                创建自我签名证书。

-n  name         指定主题的证书名称。 此名称必须符合 X.500 标准。 最简单的方法是在双引号中指定此名称，并加上前缀 CN=；例如，-n "CN=myName"。

-sv  pvkFile     指定主题的 .pvk 私钥文件。 如果该文件不存在，系统将创建一个。

执行命令：Cert2spc himiao.cer himiao.spc

执行命令：pvk2pfx -pvk himiao.pvk -spc himiao.spc -pfx himiao.pfx -pi LRQelk0l****************FTtJvufI –po LRQelk0l****************FTtJvufI –f

《Windows Server 2008 R2 Web 服务搭建流程》

前提一、安装完系统后，各分区的权限均设为：
    IIS_IUSRS        完全拒绝（不是什么都不勾，而是勾满右侧的拒绝）
一、创建网站用户，如 netXoyozoWww，密码永不过期，仅隶属于 IIS_IUSRS 组。
二、创建网站根目录 net.xoyozo.www，权限添加用户 netXoyozoWww， 允许“读取和执行”、“列出文件夹内容”、“读取”。
        创建上传目录 upload，用户 netXoyozoWww 的权限再允许“修改”、“写入”。
三、IIS 中添加网站，网站名称如 net.xoyozo.www，指定物理路径，点击连接为，特定用户，测试设置……
        主机名 www.xoyozo.net
四、应用程序池，把 net.xoyozo.www 改成实际需要的 .NET 版本；高级设置，标识，自定义帐户 netXoyozoWww
五、选中网站，日志，更改目录，应用
六、展示网站目录树，选中 upload，处理程序映射，编辑功能权限，取消“脚本”前的勾。
    此操作的结果会在该目录下创建 web.config 文件，切勿删除！尚未研究出被上传文件替换的解决方案。程序应严格控制上传路径，阻止修改或替换 web.config 文件

另：
    查看端口命令：netstat -an
 

《SQL Server 2012 数据库服务搭建流程》

安装 .net 3.5 并重启！

知识一、安装，选 64 位版本，安装功能：
    实例：数据库引擎服务及子项全选，其它暂时用不到
    共享：管理工具-完整
知识NN、若实例安装到其它磁盘，确保目录有“NETWORK SERVICE”权限！！！
知识二、卸载，参：http://technet.microsoft.com/zh-cn/library/hh231731.aspx
    必须严格按照说明卸载，否则会出现卸载不干净，重装装不上的问题。
    若不幸遇上 0x851A001A，参：http://social.msdn.microsoft.com/Forums/zh-CN/8f4d5cf8-4ab8-4a37-81df-7c294f994515/sql-server-2012-install-error-851a001a
    用户名好像是：NT Service\MSSQLSERVER
知识三、18456错误：
    服务器身份验证：SQL Server 和 Windows 身份验证模式
    具体设置在：SSMS - Windows 身份验证模式 登录后 - 对象资源管理器 - 选中当前服务器 - 右键属性 - 安全性
    SQL Server 配置管理器 - SQL Server 服务 - 重启
知识四、修改端口：
    SQL Server 配置管理器 - SQL Server 网络配置 - 相应实例的协议 - TCP/IP - IP 地址 - 将所有1433改掉
    SQL Server 配置管理器 - SQL Server 服务 - 重启
知识五、sa - 登录 - 禁用
知识六、维护计划：
    开启 SQL Server 代理，并在服务里设置自动(延时)
    SSMS - 当前服务器 - 管理 - 维护计划 - 右键 维护计划向导 每天4:03:02
    工具箱-拖入：收缩数据库-重新组织索引-重新生成索引-更新统计信息-清除历史记录-备份数据库（完整）-“清除维护”任务

    编辑每项任务，在“所有用户数据库”中勾选“忽略未处理联机状态的数据库”，这是关键，如果不勾选，一旦某个数据库被设置为脱机，备份就会出错。

    在新建的维护计划上右键，执行，完成以后，右键“查看历史记录”，如有错误作相应修改
    完整备份+差异备份方式：http://www.cnblogs.com/zhangq723/archive/2012/03/13/2394102.html 从“下面我来讲一下”开始做

需要开放远程连接的，在防火墙设置允许通过的程序，如：
D:\Program Files\Microsoft SQL Server\MSSQL12.MSSQLSERVER\MSSQL\Binn\sqlservr.exe

创建或还原数据库

一、（还原时）改：
    常规 - 目标 - 数据库(B)
    文件 - 表格“还原为”列 - 改文件名如：dbTest.mdf / dbTest_log.ldf
二、（还原时）dbTest - 安全性 -  用户 - 删除原用户，默认那些用户不要删
三、（还原后）属性 - 文件 - 数据库文件 - 逻辑名称，初始大小全是0
    如不需要日志，则：属性 - 选项 - 恢复模式 - 简单
四、安全性 - 登录名 - 新建登录名：
    常规 - 填写登录名 - SQL Server 身份验证 - 取消“强制实施密码策略” - 默认数据库
    用户映射 - 映射对应数据库 - 勾：db_owner / public （若只读则勾：db_datareader / public）
    用户映射确定后再检查一次，第一次有可能未设置成功

最小化安装 CentOS 6.4，配置网络

一条一条执行：
yum -y update
yum -y install wget
yum -y install vim
yum -y install screen
screen -S lnmp

安装 LNMP：http://lnmp.org/install.html
下载安装一条龙

不要升级各软件，以防不测

PHP 防跨站：执行一段命令，替换 vhost.sh 文件，以后添加网站就会自动添加 HOST 防跨站、跨目录的配置

更改数据库路径（/home/mysql/var）
http://bbs.vpser.net/thread-1558-1-1.html 第20条
端口（为了 pureftpd 能安装成功，还是不要改端口了）

防火墙加端口
vim /etc/sysconfig/iptables
service iptables restart

FreeTDS：使 php 支持 mssql

安装 PureFTPd
添加FTP用户时，UID和GID必须>1000，譬如添加一个xWeb组和用户：
groupadd -g 2000 xWeb
useradd -u 2000 -g xWeb -s /sbin/nologin -M userDefault
useradd -u 2001 -g xWeb -s /sbin/nologin -M userFang
useradd -u 2002 -g xWeb -s /sbin/nologin -M user2
useradd -u 2003 -g xWeb -s /sbin/nologin -M user3
然后 chown xUser:xWeb -R /home/wwwroot/网站目录
这样PHP木马就不能上传。非www用户每站一个，防止跨站
要写入的目录chown为www用户，这样PHP能创建目录及上传文件，允许公共写入，使FTP能操作写入（未验证PHP创建的新目录FTP有没有写入权限，即继承），所有要写入的目录必须 deny all

chown userFang:xWeb -R /home/wwwroot/fang.eyuyao.com/
chown www:www -R /home/wwwroot/fang.eyuyao.com/uploads/
chown www:www -R /home/wwwroot/fang.eyuyao.com/eyy/src/
chown www:www -R /home/wwwroot/fang.eyuyao.com/index/Runtime/
chown www:www -R /home/wwwroot/fang.eyuyao.com/admin/Runtime/
—————————————————————————————————
#设置目录不允许执行PHP（其实是使符合正则的路径不可读）
#找到网站的 .conf 配置文件，在 location ~ .*\.(php|php5)?$ 的上面插入：
location ~ /upload/.*\.(php|php5)?$
    {
        deny    all;
    }

#支持 ThinkPHP（使用 rewrite）
location ~ /index\.php/.*$
    {
        if (!-e $request_filename) { 
            rewrite  ^/index\.php(/.*)$  /index.php?s=$1  last;
            break;
        }
    }
—————————————————————————————————
重启 LNMP    /root/lnmp restart
重启 MySQL    /etc/init.d/mysql restart
重启 PureFTPd    /root/pureftpd restart
查看 Nginx 版本    nginx -V
查看 MySQL 版本    mysql -V
查看 PNP 版本    php -v
查看 Apache 版本    httpd -v
查内存        cat /proc/meminfo
php.ini        vim /usr/local/php/etc/php.ini
iptables 路径    /etc/sysconfig/iptables
MySQL 配置文件    vim /etc/my.cnf
添加网站        /root/vhost.sh
添加ProFTPd用户    /root/proftpd_vhost.sh
—————————————————————————————————
遇到问题：
中文URL问题解决方案，FTP用强制UTF-8，单个文件传。否则在win下打包的zip在linux下解压后，编码不是utf-8，导致打开URL 404
能用记事本打开的文件若包含中文，应另存为 utf-8 编码。

ThinkPHP 项目修改配置文件后，必须删除 /index/Runtime/* 缓存文件！！！

问题描述：
当我们的界面需要在程序运行中不断更新数据时，当一个textbox的数据需要变化时，为了让程序执行中不出现界面卡死的现像，最好的方法就是多线程来解决
一个主线程来创建界面，使用一个子线程来执行程序并更新主界面
这样就不会出现卡死的现像了
这肯定是没有问题的，
但是为什么在使用的过程中一样会有很多地方会出现卡死呢，而且有用户跟我说是我的Httphelper类的问题，其实不是，而且我再次声明我的Httphelper类跟多线程并没有关系。不要在诬赖我了哦。
这个问题其实也困或了我很久，但是今天终于解决了，而且我发现很多人有这样的问题，所以我分享一个例子方便大家参考吧。
先来看看我的界面

当我单击
开始执行后

这个时候界面是不会卡死的，
只是数据在不断的更新
下面看看我的代码

using System;
using System.Collections.Generic;
using System.ComponentModel;
using System.Data;
using System.Drawing;
using System.Linq;
using System.Text;
using System.Windows.Forms;
using System.Threading;

namespace WindowsFormsApplication3
{
    public partial class Form1 : Form
    {
        public Form1()
        {
            InitializeComponent();
        }
        //创建一个委托，是为访问TextBox控件服务的。
        public delegate void UpdateTxt(string msg);
        //定义一个委托变量
        public UpdateTxt updateTxt;

        //修改TextBox值的方法。
        public void UpdateTxtMethod(string msg)
        {
            richTextBox1.AppendText(msg + "\r\n");
            richTextBox1.ScrollToCaret();
        }

        //此为在非创建线程中的调用方法，其实是使用TextBox的Invoke方法。
        public void ThreadMethodTxt(int n)
        {
            this.BeginInvoke(updateTxt, "线程开始执行，执行" + n + "次，每一秒执行一次");
            for (int i = 0; i < n; i++)
            {
                this.BeginInvoke(updateTxt, i.ToString());
                //一秒 执行一次
                Thread.Sleep(1000);
            }
            this.BeginInvoke(updateTxt, "线程结束");
        }
        //开启线程
        private void button1_Click(object sender, EventArgs e)
        {
            Thread objThread = new Thread(new ThreadStart(delegate
            {
                ThreadMethodTxt(Convert.ToInt32(textBox1.Text.Trim()));
            }));
            objThread.Start();
        }

        private void Form1_Load_1(object sender, EventArgs e)
        {
            //实例化委托
            updateTxt = new UpdateTxt(UpdateTxtMethod);
        }
    }
}

就这些代码，大家看注释应该就明白一点了，
主要是使用一个委托来更新界面的richTextBox1
这样写是肯定没有问题的，而且在我其它的更高级一点的例子里也是这么写的
C#多线程|匿名委托传参数|测试网站压力--升级版
http://www.sufeinet.com/thread-13-1-1.html
上面的文件大家可以做为参考
那问题现在那里呢，其实就出在这一句上

this.BeginInvoke(updateTxt, "线程结束");

大家也许已经发现了，我是这样写的，而不是

updateTxt("线程结束")；

这样来直接在子线程中使用，
我相信有很多同志都是这样写的，其实错就错在这里
如果直接使用

updateTxt("线程结束")；

大家想一下应该就明白了，
updateTxt是在主线程创建的，而我们在子线程中直接使用，运行的数据多了，就会出现卡死，这是界面信息堵死的原因，
所以就算是委托也不能直接在子线程中使用，而是要使用BeginInvoke方法来调用这个委托
这样才不会出现卡死的现像。
问题就解决了。
大家支持一下哦
下面是我的源码提供给大家下载吧
WindowsFormsApplication3.zip (49.65 KB)

　　随着拥有多个硬线程CPU（超线程、双核）的普及，多线程和异步操作等并发程序设计方法也受到了更多的关注和讨论。本文主要是想与园中各位高手一同探讨一下如何使用并发来最大化程序的性能。

　　多线程和异步操作的异同

　　多线程和异步操作两者都可以达到避免调用线程阻塞的目的，从而提高软件的可响应性。甚至有些时候我们就认为多线程和异步操作是等同的概念。但是，多线程和异步操作还是有一些区别的。而这些区别造成了使用多线程和异步操作的时机的区别。

　　异步操作的本质

　　所有的程序最终都会由计算机硬件来执行，所以为了更好的理解异步操作的本质，我们有必要了解一下它的硬件基础。 熟悉电脑硬件的朋友肯定对DMA这个词不陌生，硬盘、光驱的技术规格中都有明确DMA的模式指标，其实网卡、声卡、显卡也是有DMA功能的。DMA就是直接内存访问的意思，也就是说，拥有DMA功能的硬件在和内存进行数据交换的时候可以不消耗CPU资源。只要CPU在发起数据传输时发送一个指令，硬件就开始自己和内存交换数据，在传输完成之后硬件会触发一个中断来通知操作完成。这些无须消耗CPU时间的I/O操作正是异步操作的硬件基础。所以即使在DOS这样的单进程（而且无线程概念）系统中也同样可以发起异步的DMA操作。

　　线程的本质
　　线程不是一个计算机硬件的功能，而是操作系统提供的一种逻辑功能，线程本质上是进程中一段并发运行的代码，所以线程需要操作系统投入CPU资源来运行和调度。

　　异步操作的优缺点

　　因为异步操作无须额外的线程负担，并且使用回调的方式进行处理，在设计良好的情况下，处理函数可以不必使用共享变量（即使无法完全不用，最起码可以减少共享变量的数量），减少了死锁的可能。当然异步操作也并非完美无暇。编写异步操作的复杂程度较高，程序主要使用回调方式进行处理，与普通人的思维方式有些初入，而且难以调试。

　　多线程的优缺点
　　多线程的优点很明显，线程中的处理程序依然是顺序执行，符合普通人的思维习惯，所以编程简单。但是多线程的缺点也同样明显，线程的使用（滥用）会给系统带来上下文切换的额外负担。并且线程间的共享变量可能造成死锁的出现。

　　适用范围

　　在了解了线程与异步操作各自的优缺点之后，我们可以来探讨一下线程和异步的合理用途。我认为：当需要执行I/O操作时，使用异步操作比使用线程+同步I/O操作更合适。I/O操作不仅包括了直接的文件、网络的读写，还包括数据库操作、Web Service、HttpRequest以及.Net Remoting等跨进程的调用。
　　而线程的适用范围则是那种需要长时间CPU运算的场合，例如耗时较长的图形处理和算法执行。但是往往由于使用线程编程的简单和符合习惯，所以很多朋友往往会使用线程来执行耗时较长的I/O操作。这样在只有少数几个并发操作的时候还无伤大雅，如果需要处理大量的并发操作时就不合适了。

http://npoi.codeplex.com/documentation

免费，开源，无需安装 Office，功能强大，兼容性好，使用方便，可以在 Visual Studio 的 NuGet 管理器中直接搜索安装。

导出 Excel 简单示例：

HSSFWorkbook book = new HSSFWorkbook();
ISheet sheet = book.CreateSheet("工作表1");

IRow r0 = sheet.CreateRow(0);
r0.CreateCell(0).SetCellValue("行1列1");
r0.CreateCell(1).SetCellValue("行1列2");

IRow r1 = sheet.CreateRow(1);
r1.CreateCell(0).SetCellValue("行2列1");
r1.CreateCell(2).SetCellValue("行2列3");

MemoryStream ms = new MemoryStream();
book.Write(ms);
Response.AddHeader("Content-Disposition", string.Format("attachment; filename={0}.xls", "文件名"));
Response.BinaryWrite(ms.ToArray());
Response.End();
book = null;
ms.Close();
ms.Dispose();

字体相关：

ICellStyle style = book.CreateCellStyle();
IFont font = book.CreateFont();
font.FontHeightInPoints = 20; // 字体大小
font.Color = HSSFColor.White.Index; // 字体颜色
style.SetFont(font);
style.FillForegroundColor = HSSFColor.Red.Index; // 背景色
style.FillPattern = FillPattern.SolidForeground;
cell.CellStyle = style;

合并单元格：

CellRangeAddress cra = new CellRangeAddress(r - 1, r - 1, c - 1, c);
sheet.AddMergedRegion(cra);

宽度自适应：

for (int i = 1; i < c; i++) {
  sheet.AutoSizeColumn(i);
}

函数：

cell.SetCellFormula("SUM(B2:B4)");

顺便提一句，ICellStyle 和 IFont 最好一种样式一个变量先定义好再用，不要在循环里疯狂地 Create，否则超出数量（512个）会导致样式失效。

其它参考：http://www.ez2o.com/Blog/Post/csharp-Excel-NPOI-Font-Style

如果有多个 location 块匹配同一个请求，Nginx 会优先选择精确匹配的块，其次是正则匹配，最后是前缀匹配。

~ 与 ~* 不分优先，视 location 位置先后来匹配。