黄小龙 腾讯云高级工程师/腾讯云监控方案架构师,多年监控开发和应用经验,对业务监控、智能监控有深刻的理解,主导腾讯云 DevOps 可观测方案落地。 案例背景 随着各行业业务高速发展,系统架构日渐庞大和复杂。导致应用系统可用性下降、发生故障时,无法及时发现并定位问题。生产系统运维管理难度和重要性日渐凸显,对业务连续性要求和运维服务质量要求也不断提高,为保障系统业务连续性,业务可用性能监控已成为刚需。 方案介绍 1. 监测方法 通过腾讯云云拨测在全球各个地区不同运营商和类型的监测点对目标地址进行定时访问,可
接口测试中,必不可少的第一个要素就是请求URL。一般来说,一个常规的请求URL分为以下四个部分: 请求协议,请求地址(域名:端口),请求路由(或资源路径),查询参数。如下图所示:
看了那么多漏洞挖掘文章为什么还是挖不到漏洞?其实大多数的漏洞挖掘文章可能只能算漏洞复现文章。在这种web环境下,我觉得难的不是怎么测一个漏洞点,而是怎么找一个漏洞点。本文从挖洞过程的思路出发,完整讲述如何从0到1拿一个高危信息泄露。
昨天的文章详细的介绍了mock,今天补充一个mock服务的实际使用场景——高并发性能测试时的依赖服务mock;
SDK登录鉴权需要使用到IDaaS服务,因此需要客户将企业版的用户管理模式更改成自动模式。另外默认生成的SSO域名前缀也需要改成对客户有实际意义的域名。具体操作参考文档《企业用户管理模式—手动同步模式'切换为'自动同步模式&SSO登录域名修改2.0》。
这部分可能是前置,所有系统用统一认证登陆,用域名访问,负载均衡,从外网到内网登陆。
本地启动了一个web服务,地址为 127.0.0.1:8882 ,然后通过一个本地静态页面去请求这个接口。虽然在同一台电脑,但依然是跨域的。
本来计划测试作为版本的一个内容来说,结果发现版本废话有点多,太长了;而且测试要点也挺多的就还是分开了。在这里主要介绍一些与测试相关的内容。
今天给大家推荐一款好哥们自己编写免费且好用并且还是免安装的内网穿透软件。我自己也在用的,亲测过,好用,操作简单。
首先我们要做一个简单的弹层,和上节课的备注弹层一样的做法,这里就给大家快速贴源码了用到的技术都是之前学过的。注意一点,打开弹层后,一定要在弹层的某个地方放入接口id,以便我们之后调试保存时,发出的请求中可以知道当前用户打开的是哪个接口。
(还有一些没有拿到管理员权限的系统这里就不写了),还有就是这些漏洞现在均以上交给学校。
最近多个客户反馈域名解析异常的问题,整理下处理过程和大家分享下,客户向我们报障,反馈他们的域名突然出现异常,被解析到127.0.0.1或0.0.0.0,不是所有地区都异常,只是部分地区部分运营商有问题,具体表现如下图所示。
对于大多数被测接口的请求方式,使用Jmeter是完全可以的,但是类似文件上传与下载的接口请求方式,使用起来没有在Postman上方便,需要一些特殊的设置与脚本编写。
目前我们接触到RPC接口主要有Hession、Dubbo、HTTP、Thrift、Hprose等
目前在读大学生,挖过半年SRC,发现实验室刚入的大一新生有大多数都不是很了解某个具体网站的漏洞要如何挖掘,想借这篇文章总结一下漏洞挖掘的基本步骤。
进入路径:登录公众平台后台==>公众号设置==>功能设置==>设置JS接口安全域名
区别于其它登录框漏洞分类文章,本文从实战出发,根据经验,从各种可能情况带你打完一个登录框。
提交后,需求状态自动更新为:研发中、自动上屏到需求备注(方便code review)。
不想成为将军的士兵,不是好士兵-拿破仑 如何成为运维经理?成为运维经理需要什么样的能力?我想很多运维工程师都会有这样的思考和问题。 如何成为运维经理。一般来说,运维经理大概有两种出身,一种是从底层最基础的维护做起,通过出色的维护工作,让公司领导对这个人非常认可,同时对Linux运维工作也比较重视,逐步走向Manager的岗位。第二种是业务管理出身或者有IT技术背景,具备了一定经验直接进入IT管理层的人员。 那么做为一个Linux运维经理,你需要哪些技能武器、管理哪些细节,具备什么样的能力? ----
不想成为将军的士兵,不是好士兵-拿破仑 如何成为运维经理?成为运维经理需要什么样的能力?我想很多运维工程师都会有这样的思考和问题。 如何成为运维经理。一般来说,运维经理大概有两种出身,一种是从底层最基
导语| 截止到2020年5月,中国IPv6活跃用户已经高达2.83亿,云服务平台中完成IPv6改造的云产品占比超过64%。越来越多的用户会使用IPv6的CLB(云负载均衡),以及IPv6的CVM(云服务器),本文主要详细介绍使用IPv6建连导致的偶发超时问题以及对应优化方案。
作者:黄小龙,腾讯云云监控高级工程师 前言 什么是 CDN CDN 全称 Content Delivery Network,即内容分发网络,它能够有效的避开互联网上有可能影响传输速度和稳定性的因素,使得用户请求的内容传输更加快速和稳定。 [点击查看大图] CDN 的原理 将静态资源缓存到离用户比较近的节点上,不用千里迢迢去访问服务器。这样不仅能够加快这些资源的访问速度,也能够降低服务器的带宽压力,有效降低服务器负载。 CDN 能够显著的优化网站的访问速度,有效提升用户的实际体验。那么怎么使用 CDN
腾讯云对象存储 COS 为客户提供了99.95%的可用性和99.999999999%的可靠性。由此可见,数据可靠性是极高的,即使在极端故障场景下,也可以保证客户的数据不丢失。但实际线上系统更常遇见的是,因为网络拥塞、程序异常等原因,而导致的COS服务不可用,如对象读写失败,API调用异常等。当这些故障发生时,如果没有合适的冗余措施,即使存量数据不丢失,也会造成一段时间线上服务有损,影响用户使用体验。本文会结合一些客户的实际案例介绍一种COS服务的高可用方案。
说到信息收集,网上已经有许多文章进行描述了,那么从正常的子域名、端口、旁站、C段等进行信息收集的话,对于正常项目已经够用了,但是挖掘SRC的话,在诸多竞争对手的“帮助”下,大家收集到的信息都差不多,挖掘的漏洞也往往存在重复的情况。
事情是这样的:今天我们公司的后端说他接口写完了,并分享了一个接口文档给我。用的就是 Swagger UI 自动生成的那种接口文档,就像这种:
说到信息收集,网上已经有许多文章进行描述了,那么从正常的子域名、端口、旁站、C段等进行信息收集的话,对于正常项目已经够用了,但是挖掘SRC的话,在诸多竞争对手的“帮助”下,大家收集到的信息都差不多,挖掘的漏洞也往往存在重复的情况。 那么现在我就想分享一下平时自己进行SRC挖掘过程中,主要是如何进行入手的。以下均为小弟拙见,大佬勿喷。
事情是这样的:今天我们公司的后端说他接口写完了,并分享了一个接口文档给我。用的就是 Swagger UI 自动生成的那种接口文档,就像这种: 这种 Swagger 文档我每次看着就头大,毛病多多: 查看多级模型时要一级级点开 在接口数量变多的时候非常难用,连分类菜单都没有 提交参数为 JSON 的时候不能格式化 参数出错的时候查找麻烦 返回结果不能折叠,长得没法看 时间比较紧急,我就按照他给的文档里的参数与响应数据,写到了我的前端页面上,前端这边简单自测了一下就匆匆上线了。 上线完当晚就炸了。。 页面上
事情是这样的:今天我们公司的后端说他接口写完了,并分享了一个接口文档给我。用的就是 Swagger UI 自动生成的那种接口文档,就像这种: 这种 Swagger UI文档我每次看着就头大,毛病多多 查看多级模型时要一级级点开 在接口数量变多的时候非常难用,连分类菜单都没有 提交参数为 JSON 的时候不能格式化 参数出错的时候查找麻烦 返回结果不能折叠,长得没法看 时间比较紧急,我就按照他给的文档里的参数与响应数据,写到了我的前端页面上,前端这边简单自测了一下就匆匆上线了。 上线完当晚就炸了。。 页面
然后评论区有很多同学反馈fiddler抓包失败,说部分安卓,ios系统不支持。那么有什么好的解决方案呢?
作者:黄小龙,腾讯云云监控高级工程师 前言 近期,某券商 APP 出现异常,大部分用户出现无法登录,数据显示异常等问题。由于行业的特殊性,股票交易对于时效的敏感性,出现这样的异常会造成无法预估的影响。 在业务发展过程中,通常会过度的关注如何设计高可用、高可靠的架构,往往忽略会了真实的用户体验。业务真正上线后,将面临接踵而来的体验问题。 为什么会有大量用户反馈体验不佳?访问缓慢? 为什么还是有部分地区的用户无法访问? 为什么业务域名访问会被劫持或者被封堵? 为什么业务页面会被篡改,且无法第一时间获悉? 如
如果是老项目优化,可考虑是否存有历史测试方案,如果有可以参考,或许可以省事很多。
开始之前做个自我介绍,我是来自F0tsec团队的Subs,也是刚接触安全没有多久的菜狗,刚趁着安全客推荐的平台活动,尝试了三天漏洞挖掘,我运气挺好的(挖到了四个低危,2个中危,一个严重漏洞),也因此结实了SRC年度榜一榜二的几位大师傅,得到了一些心得吧,希望能帮助到一些和我一样入门的朋友。(互相交流哈~ )
一个app的表现,往往和网络状态密切相关。这里的网络诊断主要是针对特定的域名或者ip,也就是说app的网络诊断是对当前网络到域名指向的服务端的连通性和带宽情况。
在处理客户CDN问题的过程中,很大一部分问题主要集中在部分客户端访问异常。如果要排查客户端访问异常,就不得不先讲解一下客户访问CDN域名经过的路径。
转自(https://www.pocketdigi.com/20181009/1626.html)
云原生(CloudNative)是一个组合词,“云”表示应用程序运行于分布式云环境中,“原生”表示应用程序在设计之初就充分考虑到了云平台的弹性,就是为云设计的。可见,云原生并不是简单地使用云平台运行现有的应用程序,而是一种能充分利用云计算优势对应用程序进行设计、实现、部署、交付和操作的应用架构方法。
在学习过程中,跨域似乎很简单,无非就是“当一个请求url的协议、域名、端口三者之间任意一个与当前页面url不同即为跨域”; 无非就是“后端加一下跨域的相关响应头即可”。
第一阶段:分析需求,公司先把需求给到我们,让我们先去了解一两天,这两天我们会把一些不明确的需求点记录下来。输出:不明确的需求问题,然后会有一个需求的澄清会,我们把不理解的地方在会议上说出来,包含需求的合理性,还有可测性等。
这是我在一个众测项目中发现的漏洞,单个漏洞可能不是那么有趣,但是把他们组合起来利用,逼格一下子就上来了,也算是比较经典的组合拳
由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测以及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。未经雷神众测允许,不得任意修改或者增减此文章内容,不得以任何方式将其用于商业目的。
那mitmproxy+pyppeteer的方法就用不了了 且登陆失败后出现了验证码
点击小锁–安全连接–更多信息–查看证书有些可能没有可以得到一些主域名以及子域名。
吕朋钊,腾讯业务运维高级工程师,曾负责 QQ 相册、小世界业务的存储接入层运维,现负责 AI 业务的运维。 背景 QQ 相册是 QQ 产品中为用户提供图片存储,分享等功能的成熟产品,自上线以来,一直为用户提供稳定快速的图片上传和下载服务。作为社交业务组内第一个上 TKE 的平台,相册在过去一年多时间里总结出了一套适合自身的 TKE 上云实践方案。 服务场景 自相册全面改造上云之后,新的架构如下: 问题 随着相册各模块已基本实现容器化,也暴露出了不少使用上的问题。 资源利用率提升与 CICD 优化 1.
还是自用的RSSHelper,本来想通过小程序跨平台,丢弃ionic的,后来发现上不了线
作者:cloudyzhao,腾讯 PCG 后台开发工程师 随着 DevOps 研发模式思想的普及,“测试左移”、“开发负责质量”等理念也开始深入各业务团队。本文以一个实际项目( LogReplay )的 DevOps 实践为例,介绍如何通过可测性提升、自动化测试、持续集成和持续部署流程,最终实现后台微服务的高质量、持续、自动化部署。 测试左移是 DevOps 研发模式中开发全面负责质量的核心环节之一,而测试左移的一个重要手段,就是在开发过程中的各环节快速执行大量有效的自动化测试用例,从而尽早地发现得到质量
原理:当客户端第一次访问服务器的时候,那么服务器就会生成Cookie信息,这个Cookie信息会通过响应头里面的Set-Cookie传输到客户端。从第2-N次请求,只要访问当前的域名和路径,那么客户端就会在请求头的Cookie里面自动的带上客户端的Cookie信息。
在之前的文章《详解接口测试(1)-常见的网络通信协议》当中,我们介绍了接口的概念以及各种类型的接口用到的网络通信协议。鉴于HTTP网络协议使用最为广泛,本文将会基于HTTP协议的接口对其讲解如何进行接口测试,内容包含以下部分:
小程序开发对于前端开发者来说其实很简单,稍微看一下官方文档就能够上手了。 但是,如果是第一次开发小程序,多多少少还是还是会遇到一些坑的。 最近恰好开发了一个正式版本的小程序,下面是开发过程中的一些总结以及遇到了一些问题。
用having,需要在group by中添加条件,要用的话,就在group by中添加这个条件就行。
领取专属 10元无门槛券
手把手带您无忧上云