近日，轻量级开源Web服务器Tengine发布了2.3.0版本，新增如下特性：ngx_http_proxy_connect_module，该模块让Tengine可以用于正向代理场景，支持对CONNECT方法请求的处理；HTTP2Server粒度控制 新增HTTP2指令，可针对listen相同端口的server进行个性化开启与关闭HTTP2；Stream模块支持 server_name 指令，可在SSL场景下，基于SNI识别出域名，让四层SSL转发支持特定的server块配置；加强 limit_req模块功能，可以基于请求粒度动态设置限速大小，更多详细变更日志请参考limit_req变更日志；需要注意的是，本次Tengine升级core代码至Nginx官方的1.15.9版本（2019年2月26日发布），由于Tengine的部分功能Nginx官方已经实现，所以Tengine2.3.0弃用了自身实现的部分配置指令，由此带来的不兼容性，列举如下：废弃Tengine自身实现的reuse_port指令，使用Nginx官方的reuseport。升级方法：将ev...

本文主要介绍Serverless应用的网络环境以及Serverless应用容器内的环境，了解背景知识以及基本的运维知识后可以利用Webshell完成基本的运维需求。用户可以通过阿里云控制台直接获取ECS的Shell，从而完成自己的运维需求。如果ECS内开启了SSH服务，且ECS存在弹性公网IP，那么用户也可以在本地通过SSH服务获取ECS的Shell完成运维需求。由于EDASServerless特殊的架构以及网络环境，用户暂时无法直接从本地通过SSH服务获取应用容器的Shell。在Serverless场景中，容器是一个暂态的、供应用运行的环境，一般来说不需要进入运维。为了方便用户进行线上问题定位排查，EDAS在控制台提供了一个简单的Webshell，供用户查看调试自己的容器。EDAS默认给出的JarWar类型应用的容器基础镜像主要是面向应用运行时，不带有冗余的排查工具，因此对运维人员可能不够友好。对于用户自身的镜像，不需要镜像中启动SSH服务，只需要带有可执行的/bin/bash即可。用户自己的镜像可以带上必须的运维工具方便排查。目前Webshell不支持Windows镜像。EDAS应...

在第一期“漫说安全”栏目中，我们用四格漫画的形式介绍了基于深度学习的阿里云WAF到底智能在哪里，能帮客户解决什么问题。在今天的这期栏目里，我们依然通过漫画这种通俗易懂的方式，与大家分享阿里云WAF的另一大特点—开放。开放的云WAF到底有什么好处，答案就在漫画里_漫画看完，安全君依旧准备了问答环节哦客户：云盾WAF具有哪些开放特征？安全小二：1.开放的OpenAPI接口支持；2.自定义规则组配置；3.基于大数据的全量日志实时存储、分析服务。客户：OpenAPI接口带来的最主要价值是什么？安全小二：支持快速程序化配置和第三方平台调用和集成，助力客户自动化安全运营和统一平台运营，提高工作效率。客户：规则开放后为日常防护带来什么好处？安全小二：云盾WAF是国内首个做到将规则定义权交付给客户的，客户可以在专家策略基础之上，基于对自身业务的理解为每个资产定制专家经验防护规则集，以达到最精准的业务安全防护效果。客户：日志存储和分析服务适用于哪些业务场景？安全小二：满足不低于6个月全量日志存储要求及安全法律法规要求；支持基于日志的安全和业务事件自动化分析告警，安全态势仪表盘订阅等日常自动化运维；提供日...

Fiddler是最强大最好用的Web调试工具之一，它能记录所有客户端和服务器的http和https请求，允许你监视，设置断点，甚至修改输入输出数据.使用Fiddler无论对开发还是测试来说，都有很大的帮助。阅读目录Fiddler的基本介绍Fiddler的工作原理同类的其它工具Fiddler如何捕获Firefox的会话Firefox中使用Fiddler插件Fiddler如何捕获HTTPS会话Fiddler的基本界面Fiddler的统计视图QuickExec命令行的使用Fiddler中设置断点修改RequestFiddler中设置断点修改ResponseFiddler中创建AutoResponder规则Fiddler中如何过滤会话Fiddler中会话比较功能Fiddler中提供的编码小工具Fiddler中查询会话Fiddler中保存会话Fiddler的script系统如何在VS调试网站的时候使用FiddlerResponse是乱码的Fiddler的官方网站:  www.fiddler2.comFiddler官方网站提供了大量的帮助文档和视频教程，这是学习Fiddler的...

1.NetsparkerCommunityEdition(Windows)这个程序可以检测SQL注入和跨页脚本事件。当检测完成之后它会给你提供一些解决方案。2.Websecurify(Windows,Linux,MacOSX)这是个简单易用的开源工具，此程序还有一些人插件支持，可以自动检测网页漏洞。运行后可生成多种格式的检测报告3.Wapiti(Windows,Linux,MacOSX)这是一个用Python编写的开源的工具，可以检测网页应用程序，探测网页中存在的注入点。4.N-StalkerFreeVersion(Windows)此工具可一次检测100个以上的页面，包括跨页脚本的检测。5.skipfish(Windows,Linux,MacOSX) 这是一个轻量级的安全测试工具，处理速度很快，每秒可处理2000个请求。6.Scrawlr(Windows)HP的一款免费软件，可检测SQL注入漏洞。7.Watcher(Windows)这个是Fiddler的插件，可在后台静默运行，可检测跨域提交等。。8.x5s(Windows)跟前一个一样也是Fiddler的插件，用于检测存在X...

打比方，比如复制一个现有的项目，重命名项目名称，这里举例名称重新命名为“劳黑炭” 要清楚的是，这里的项目名称重新命名了，但是Web项目本质下的名称还是没有改变的。所以需要更改，更改方法——》选择项目右击“属性” 搜索“web”，找到web选项 将Web-context-root重新命名为“劳黑炭”（自己相应的项目名称）即可 修改完成后，点击确定即可保存修改步骤阅读7这时候可以查看tomcat目录下的webapps目录下即可发现所更改的项目名称了。...

从来没有想过web项目还能打包的，但是有要求，就不得不去实现，在网上找了一下，发现挺简单的。首先是使用MyEclipse将web项目打包，如下图所示。右键选中项目，选择export。然后选择J2EE->WARFile。点击next接下来制定war包的存放路径，我们将它放在卓面上。打包完成以后我们将war放到tomcat的webapps目录下。然后运行tomcat，并输入项目的url就可以了。和正常的web文件同样对待。...

1、打开myeclipse，选择Window->Preferences---》MyEclipse---》servers2、点击servers---->weblogic---->选择安装的版本3、BEAhomedirectory：weblogic的安装目录，默认一般为C:ProgramsOracleWebLogicinstallationdirectory：C:ProgramsOracleMiddlewarewlserver_10.3Adminusername：weblogic(安装的时候配置的）Adminpassword：(安装的时候配置的）Executiondomainroot：D:BEAuser_projectsdomainsdomainExecutionservername：AdminServerSecuritypolicyfile：c:ProgramsOracleMiddlewarewlserver_10.3serverlibweblogic.policyJAASloginconfigurationfile：（Null）  4、在左侧点击w...

1、  打开WebLogic安装程序：oepe11_wls1031.exe(我们选用的是WebLogic10.3g)。如图1-1所示：2、 进入WebLogic安装的欢迎界面，单击“下一步”按钮。如图1-2所示：3、  选择中间件主目录创建新的中间件主目录，其安装位置为默认的位置(安装位置默认为C:OracleMiddleware，保持默认目录)，如图1-3所示。单击“下一步”按钮：4、  注册安全更新把“我希望通过My  Oracle  Support接收安全更新”前勾选框的“√”去掉，如图1-4所示。单击“下一步”按钮： 5、  选择安装类型默认选择“典型”安装类型，如图1-5所示。单击“下一步”按钮。6、  选择产品安装目录WebLogicServer和OracleCoherence保持默认路径，如图1-6所示。单击“下一步”按钮。7、  选择快捷方式位置默认选择“‘所有用户’开始菜单文件夹(推荐)”，...

1.1、安装node.js1.2安装过程很简单，一路“下一步”就可以了。安装完成之后，打开命令行工具(win+r，然后输入cmd)，输入node-v，如下图，如果出现相应的版本号，则说明安装成功。 1.3修改npm为淘宝镜像因为npm的仓库有许多在国外，访问的速度较慢，建议修改成cnpm，换成taobao的镜像。打开命令行工具，复制如下配置：npminstall-gcnpm--registry=https://registry.npm.taobao.org然后等待，安装完成如下图。不知道为什么我修改镜像时会报这个错误，看到身边的同学修改又没有出现这个问题，所以我查了一下百度，清除了一下缓存，然后再粘贴上去就可以了，或者你们安装的时候不会报这种错误1.4、安装webpack安装webpack，打开命令行工具输入：npminstallwebpack-g安装如下：结果：安装完成之后输入webpack-v如下图，如果出现相应的版本号，则说明安装成功。打开命令行工具输入：然后等待安装完成。因为改了镜像，这里不能再写npm是写cnpmcnpminstallvue-cli-g安装完成之后输...

/导读：虽然说Knative默认就支持WebSocket和gRPC，但在使用中会发现，有时想要把自己的WebSocket或gRPC部署到Knative中，还是存在各种不顺利。虽然最后排查发现，大多是自己的程序问题或是配置错误导致的。本文分别给出了一个WebSocket和gRPC的例子，当需要在生产或者测试环境部署相关服务时，可以使用本文给出的示例进行Knative服务的测试。如果自己手动的配置IstioGateway支持WebSocket就需要开启 websocketUpgrade 功能。但使用KnativeServing部署其实就自带了这个能力。本示例的完整代码放在 https://github.com/knative-sample/websocket-chat ，这是一个基于WebSocket实现的群聊的例子。使用浏览器连接到部署的服务中就可以看到一个接收信息的窗口和发送信息的窗口。当你发出一条信息以后所有连接进来的用户都能收到你的消息。所以你可以使用两个浏览器窗口分别连接到服务中，一个窗口发送消息一个窗口接收消息，以此来验证WebSocke...

『StabilityGuide』是阿里多位阿里技术工程师共同发起的稳定性领域的知识库开源项目，涵盖性能压测、故障演练、JVM、应用容器、服务框架、流量调度、监控、诊断等多个技术领域，以更结构化的方式来打造稳定性领域的知识库，欢迎您的加入。@GitHub:https://github.com/StabilityMan/StabilityGuide最近偶尔有用户反馈某些HTTP接口出现超时问题，而web服务端的Trace监控没有出现http返回值为503等异常情况。出现这种情况一般是web容器出现问题，客户端连接不上来。本文将主要介绍如何去监控这类问题。我们是用典型的Web服务架构，应用通过域名访问到我们的LVS（LinuxVirtualServer）机器，LVS后面对应了多台Web服务器。考虑到无法对LVS进行跟踪，而Web服务器（Tomcat上出现堆积，无法评估影响范围）。考虑再三后，我们准备在Tomcat和LVS上加一个Nginx，用于追踪用户访问的真实情况。Nginx是一款自由、开源的高性能HTTP服务器。通过Nginx代码，我们可以掌握第一手的用户访问的真实情况，本来是打算通过N...

随着云计算浪潮的推进，技术架构云化已经成为大势所趋。特别是最近由CNCF推动的云原生概念，将符合云原生标准的各种开源技术方案推向了前所未有的高度。在这一波浪潮的推动下，越来越多的企业开始了自身的数字化征程，逐步将自己的IT基础设施往云上迁移。Web应用托管服务（Web+）正是在这一波浪潮下应运而生的黑科技产品——以应用为中心，为应用编排所需的云资源，并将中间件团队支持近千家企业客户上云时遇到各类问题的解决办法，形成一套最佳实践沉淀到这个产品中呈现给大家。这篇文章，就将逐一向大家揭秘隐藏在这个产品背后的十个最佳实践。产品体验地址：点击，永久免费基础设施即代码（InfrastructureAsCode）基础设施即代码，简言之就是用代码或配置文件来声明应用系统使用的基础设施资源。云计算技术发展到现在，基础设施即服务（IaaS）能力已经变得非常成熟了，其能托管的底层资源也越来越丰富，从计算资源、网络资源、存储资源到大数据资源、区块链资源以及人工智能资源等等，都可以作为基础设施被按需取用。因此也产生一个问题，就是云资源的使用变得越来越复杂，门槛越来越高，一个复杂一点的业务系统动辄集成十几个云计算...

在上文中，我们介绍了GrowthHacking的整体架构，其中数据采集是整个数据分析的基础，只有有了数据，才能进行有价值的分析；只有高质量的数据，才能驱动高质量的运营分析.可以说,数据质量决定了运营质量。在实际生产中，我们常常面临数据采集的痛点：数据分散在各处，有服务器日志，有前端日志，有APP日志。各种端的日志，采集方式迥异，要投入大量研发资源，才能覆盖所有的平台。收集、处理、清洗、标注数据，需要投入巨大的精力，80%的精力浪费在了这些前置步骤上。不同端的数据格式千奇百怪，缺乏一种统一的数据规范。通常，我们要分析拉新的的转化率，产品的留存率，以及用户推荐和最终付费相关的所有指标，每种类型的指标对应的渠道如下图所示。以拉新为例，通常我们可选择的渠道有社交媒体（微信、微博），线上推送（邮件、短信），内容营销（博客、微信公众号），广告（广告联盟），线下推广（二维码）。每一种渠道的表现如何，需要用数据证明。每一种渠道的数据采集方式各不相同。接下来将逐个介绍。杂乱无章的数据，价值等于0！如果各个渠道的数据各不相同，那么我们在分析时，就有很大一部分精力浪费在整理数据上。为了保证数据的质量，我们需...

6月11日，阿里云安全团队发现WebLogicCVE-2019-2725补丁绕过的0day漏洞，并第一时间上报Oracle官方，6月12日获得Oracle官方确认。由于Oracle尚未发布官方补丁，漏洞细节和真实PoC也未公开，为保障客户的安全性，阿里云Web应用防火墙（WAF）紧急更新规则，已实现对该漏洞的默认防御。WebLogicServer是美国甲骨文（Oracle）公司开发的一款适用于云环境和传统环境的应用服务中间件，被广泛应用于保险、证券、银行等金融领域。此次发现的WebLogicCVE-2019-2725补丁绕过的0day漏洞曾经因为使用HTTP协议，而非T3协议，被黑客利用进行大规模的挖矿等行为。WebLogic10.X和WebLogic12.1.3两个版本均受到影响。鉴于该漏洞的高危严重性，阿里云提醒云上客户高度关注自身业务是否使用WebLogic，是否开放了/_async/ 及/wls-wsat/的访问路径。另外由于公安部护网期间，请护网客户重点关注。阿里云安全团队使用Oracle官方JDK8u211版本，并打了其在4月份提供的CVE-2019-2725的补...