OpenResty 从入门到实战
温铭
OpenResty 软件基金会第一任主席,Apache APISIX 项目 VP
20903 人已学习
新⼈⾸单¥59
登录后,你可以任选4讲全文学习
推荐试读
换一换
课程目录
已完结/共 52 讲
开篇词 (1讲)
开篇词 | OpenResty,为你打开高性能开发的大门
时长 08:43
入门篇 (14讲)
01 | 初探OpenResty的三大特性
时长 09:59
02 | 如何写出你的“hello world”?
时长 09:05
03 | 揪出隐藏在背后的那些子项目
时长 15:31
04 | 如何管理第三方包?从包管理工具luarocks和opm说起
时长 09:29
05 | [视频]opm项目导读
时长 03:14
06 | OpenResty 中用到的 NGINX 知识
时长 10:01
07 | 带你快速上手 Lua
时长 12:01
08 | LuaJIT分支和标准Lua有什么不同?
时长 10:38
09 | 为什么 lua-resty-core 性能更高一些?
时长 11:28
10 | JIT编译器的死穴:为什么要避免使用 NYI ?
时长 12:39
11 | 剖析Lua唯一的数据结构table和metatable特性
时长 13:19
12 | 高手秘诀:识别Lua的独有概念和坑
时长 11:53
13 | [视频]实战:基于FFI实现的lua-resty-lrucache
时长 03:39
14 | 答疑(一):Lua 规则和 NGINX 配置文件产生冲突怎么办?
时长 08:14
API篇 (11讲)
15 | OpenResty 和别的开发平台有什么不同?
时长 11:40
16 | 秒杀大多数开发问题的两个利器:文档和测试案例
时长 10:50
17 | 为什么能成为更好的Web服务器?动态处理请求和响应是关键
时长 13:13
18 | worker间的通信法宝:最重要的数据结构之shared dict
时长 11:54
19 | OpenResty 的核心和精髓:cosocket
时长 09:32
20 | 超越 Web 服务器:特权进程和定时任务
时长 09:14
21 | 带你玩转时间、正则表达式等常用API
时长 11:13
22 | [视频]从一个安全漏洞说起,探寻API性能和安全的平衡
时长 03:44
23 | [视频]导读lua-resty-requests:优秀的lua-resty-*是如何编写的?
时长 02:53
24 | 实战:处理四层流量,实现Memcached Server
时长 08:55
25 | 答疑(二):特权进程的权限到底是什么?
时长 08:42
测试篇 (5讲)
26 | 代码贡献者的拦路虎:test::nginx 简介
时长 08:09
27 | test::nginx 包罗万象的测试方法
时长 12:20
28 | test::nginx 还可以这样用?
时长 08:24
29 | 最容易失准的性能测试?你需要压测工具界的“悍马”wrk
时长 09:32
30 | 答疑(三)如何搭建测试的网络结构?
时长 07:52
性能优化篇 (16讲)
31 | 性能下降10倍的真凶:阻塞函数
时长 09:53
32 | 让人又恨又爱的字符串操作
时长 10:16
33 | 性能提升10倍的秘诀:必须用好 table
时长 08:51
34 | 特别放送:OpenResty编码指南
时长 05:18
35 | [视频]实际项目中的性能优化:ingress-nginx中的几个PR解读
时长 03:35
36 | 盘点OpenResty的各种调试手段
时长 10:34
37 | systemtap-toolkit和stapxx:如何用数据搞定“疑难杂症”?
时长 07:40
38 | [视频]巧用wrk和火焰图,科学定位性能瓶颈
时长 03:17
39 | 高性能的关键:shared dict 缓存和 lru 缓存
时长 10:19
40 | 缓存与风暴并存,谁说缓存风暴不可避免?
时长 08:19
41 | lua-resty-* 封装,让你远离多级缓存之痛
时长 09:35
42 | 如何应对突发流量:漏桶和令牌桶的概念
时长 09:32
43 | 灵活实现动态限流限速,其实没有那么难
时长 07:59
44 | OpenResty 的杀手锏:动态
时长 09:29
45 | 不得不提的能力外延:OpenResty常用的第三方库
时长 08:24
46 | 答疑(四):共享字典的缓存是必须的吗?
时长 08:56
API网关篇 (4讲)
47 | 微服务API网关搭建三步曲(一)
时长 10:58
48 | 微服务API网关搭建三步曲(二)
时长 09:29
49 | 微服务API网关搭建三步曲(三)
时长 07:03
50 | 答疑(五):如何在工作中引入 OpenResty?
时长 08:52
结束语 (1讲)
结束语 | 行百里者半九十
时长 06:27
OpenResty 从入门到实战
15
15
1.0x
00:00/00:00
登录|注册

22 | [视频]从一个安全漏洞说起,探寻API性能和安全的平衡

温铭
新增err返回值
不影响性能
不引入更多安全风险
向下兼容
ngx.req.get_headers
ngx.req.get_post_args
ngx.req.get_uri_args
GitHub链接
两种方式兼用
选择基于身份的白名单方式
选择基于规则的黑名单方式
处理CVE的选择
参数溢出攻击
与OpenResty相关
学习心得分享
课件参考
安全与性能的平衡
安全漏洞 CVE-2018-9230
API性能和安全的平衡

该思维导图由 AI 生成,仅供参考

00:00 / 00:00
    1.0x
    • 2.0x
    • 1.5x
    • 1.25x
    • 1.0x
    • 0.75x
    • 0.5x
    网页全屏
    全屏
    00:00
    你好,我是温铭。
    今天的内容,我同样会以视频的形式来讲解。老规矩,在你进行视频学习之前,我想先问你这么几个问题:
    你在使用 OpenResty 的时候,是否注意到有 API 存在安全隐患呢?
    在安全和性能之间,如何去平衡它们的关系呢?
    这几个问题,也是今天视频课要解决的核心内容,希望你可以先自己思考一下,并带着问题来学习今天的视频内容。
    同时,我会给出相应的文字介绍,方便你在听完视频内容后,及时总结与复习。下面是今天这节课的文字介绍部分。

    今日核心

    安全,是一个永恒的话题,不管你是写开发业务代码,还是做底层的架构,都离不开安全方面的考虑。
    CVE-2018-9230 是与 OpenResty 相关的一个安全漏洞,但它并非 OpenResty 自身的安全漏洞。这听起来是不是有些拗口呢?没关系,接下来让我们具体看下,攻击者是如何构造请求的。
    OpenResty 中的 ngx.req.get_uri_argsngx.req.get_post_argsngx.req.get_headers接口,默认只返回前 100 个参数。如果 WAF 的开发者没有注意到这个细节,就会被参数溢出的方式攻击。攻击者可以填入 100 个无用参数,把 payload 放在第 101 个参数中,借此绕过 WAF 的检测。
    确认放弃笔记?
    放弃后所记笔记将不保留。
    新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
    批量公开的笔记不会为你同步至部落
    公开
    同步至部落
    取消
    完成
    0/2000
    荧光笔
    直线
    曲线
    笔记
    复制
    AI
    • 深入了解
    • 翻译
      • 英语
      • 中文简体
      • 中文繁体
      • 法语
      • 德语
      • 日语
      • 韩语
      • 俄语
      • 西班牙语
      • 阿拉伯语
    • 解释
    • 总结

    本文通过讲解一个安全漏洞,探讨了在API性能和安全之间的平衡。作者首先提出了一些问题,引导读者思考,然后详细介绍了与OpenResty相关的安全漏洞CVE-2018-9230的攻击方式和解决方法。文章强调了安全在开发业务代码和底层架构中的重要性,并指出安全是一种平衡,需要考虑向下兼容、不引入更多安全风险和不影响性能等因素。最终,OpenResty维护者选择新增一个err的返回值来解决这个问题,强调了安全与性能之间的平衡选择。文章还提到了课件已上传到GitHub,鼓励读者下载学习,并欢迎在留言区提问和分享学习心得。整体而言,本文通过具体案例和技术讨论,引发了读者对API安全和性能平衡的思考,为读者提供了一些实用的技术参考和学习资源。

    仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
    《OpenResty 从入门到实战》    新⼈⾸单¥59
    立即购买
    © 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
    06 | OpenResty 中用到的 NGINX 知识
    08 | LuaJIT分支和标准Lua有什么不同?
    09 | 为什么 lua-resty-core 性能更高一些?
    18 | worker间的通信法宝:最重要的数据结构之shared dict
    29 | 最容易失准的性能测试?你需要压测工具界的“悍马”wrk
    33 | 性能提升10倍的秘诀:必须用好 table
    登录 后留言

    全部留言(2)

    • 最新
    • 精选
    • mz
      老师可以推荐几个可用的开源 WAF 防火墙吗?

      作者回复: 推荐 https://github.com/starjun/openstar,因为我见过作者,其他的不太熟悉

      2019-07-16
      2
      1
    • wusiration
      老师,能推荐几个有代表性的CVE问题吗?想研究一下

      作者回复: 这方面我就不是专家了,可以看看freebuf

      2019-07-15
    收起评论
    显示
    设置
    留言
    2
    收藏
    沉浸
    阅读
    分享
    手机端
    快捷键
    回顶部