

OpenResty从入门到实战

温铭

OpenResty软件基金会主席，《OpenResty 最佳实践》作者

立即订阅

4332 人已学习

课程目录

已完结 52 讲

0/4登录后，你可以任选4讲全文学习。

开篇词 (1讲)



开篇词 | OpenResty，为你打开高性能开发的大门

免费

入门篇 (14讲)



01 | 初探OpenResty的三大特性



02 | 如何写出你的“hello world”？



03 | 揪出隐藏在背后的那些子项目



04 | 如何管理第三方包？从包管理工具luarocks和opm说起



05 | [视频]opm项目导读



06 | OpenResty 中用到的 NGINX 知识



07 | 带你快速上手 Lua



08 | LuaJIT分支和标准Lua有什么不同？



09 | 为什么 lua-resty-core 性能更高一些？



10 | JIT编译器的死穴：为什么要避免使用 NYI ？



11 | 剖析Lua唯一的数据结构table和metatable特性



12 | 高手秘诀：识别Lua的独有概念和坑



13 | [视频]实战：基于FFI实现的lua-resty-lrucache



14 | 答疑（一）：Lua 规则和 NGINX 配置文件产生冲突怎么办？



API篇 (11讲)



15 | OpenResty 和别的开发平台有什么不同？



16 | 秒杀大多数开发问题的两个利器：文档和测试案例



17 | 为什么能成为更好的Web服务器？动态处理请求和响应是关键



18 | worker间的通信法宝：最重要的数据结构之shared dict



19 | OpenResty 的核心和精髓：cosocket



20 | 超越 Web 服务器：特权进程和定时任务



21 | 带你玩转时间、正则表达式等常用API



22 | [视频]从一个安全漏洞说起，探寻API性能和安全的平衡



23 | [视频]导读lua-resty-requests：优秀的lua-resty-*是如何编写的？



24 | 实战：处理四层流量，实现Memcached Server



25 | 答疑（二）：特权进程的权限到底是什么？



测试篇 (5讲)



26 | 代码贡献者的拦路虎：test::nginx 简介



27 | test::nginx 包罗万象的测试方法



28 | test::nginx 还可以这样用？



29 | 最容易失准的性能测试？你需要压测工具界的“悍马”wrk



30 | 答疑（三）如何搭建测试的网络结构？



性能优化篇 (16讲)



31 | 性能下降10倍的真凶：阻塞函数



32 | 让人又恨又爱的字符串操作



33 | 性能提升10倍的秘诀：必须用好 table



34 | 特别放送：OpenResty编码指南



35 | [视频]实际项目中的性能优化：ingress-nginx中的几个PR解读



36 | 盘点OpenResty的各种调试手段



37 | systemtap-toolkit和stapxx：如何用数据搞定“疑难杂症”？



38 | [视频]巧用wrk和火焰图，科学定位性能瓶颈



39 | 高性能的关键：shared dict 缓存和 lru 缓存



40 | 缓存与风暴并存，谁说缓存风暴不可避免？



41 | lua-resty-* 封装，让你远离多级缓存之痛



42 | 如何应对突发流量：漏桶和令牌桶的概念



43 | 灵活实现动态限流限速，其实没有那么难



44 | OpenResty 的杀手锏：动态



45 | 不得不提的能力外延：OpenResty常用的第三方库



46 | 答疑（四）：共享字典的缓存是必须的吗？



API网关篇 (4讲)



47 | 微服务API网关搭建三步曲（一）



48 | 微服务API网关搭建三步曲（二）



49 | 微服务API网关搭建三步曲（三）



50 | 答疑（五）：如何在工作中引入 OpenResty？



结束语 (1讲)



结束语 | 行百里者半九十





OpenResty从入门到实战



22 | [视频]从一个安全漏洞说起，探寻API性能和安全的平衡

温铭 2019-07-15

    Sorry, your browser doesn't support embedded videos.
  

00:00 / 00:00

你好，我是温铭。
今天的内容，我同样会以视频的形式来讲解。老规矩，在你进行视频学习之前，我想先问你这么几个问题：
你在使用 OpenResty 的时候，是否注意到有 API 存在安全隐患呢？
在安全和性能之间，如何去平衡它们的关系呢？
这几个问题，也是今天视频课要解决的核心内容，希望你可以先自己思考一下，并带着问题来学习今天的视频内容。
同时，我会给出相应的文字介绍，方便你在听完视频内容后，及时总结与复习。下面是今天这节课的文字介绍部分。
今日核心安全，是一个永恒的话题，不管你是写开发业务代码，还是做底层的架构，都离不开安全方面的考虑。
CVE-2018-9230 是与 OpenResty 相关的一个安全漏洞，但它并非 OpenResty 自身的安全漏洞。这听起来是不是有些拗口呢？没关系，接下来让我们具体看下，攻击者是如何构造请求的。
OpenResty 中的 ngx.req.get_uri_args、ngx.req.get_post_args 和 ngx.req.get_headers接口，默认只返回前 100 个参数。如果 WAF 的开发者没有注意到这个细节，就会被参数溢出的方式攻击。攻击者可以填入 100 个无用参数，把 payload 放在第 101 个参数中，借此绕过 WAF 的检测。

取消

完成

0/1000字

划线

笔记

复制

该试读文章来自付费专栏《OpenResty从入门到实战》，如需阅读全部文章，
请订阅文章所属专栏。

立即订阅

登录后留言

精选留言(2)

mz

老师可以推荐几个可用的开源 WAF 防火墙吗？

作者回复: 推荐 https://github.com/starjun/openstar，因为我见过作者，其他的不太熟悉

2019-07-16

 1


wusiration

老师，能推荐几个有代表性的CVE问题吗？想研究一下

作者回复: 这方面我就不是专家了，可以看看freebuf

2019-07-15





收起评论

2









下载
客户端

返回
顶部