上篇blog,梳理了国网B接口的REGISTER接口描述和消息示例,前端系统加电启动并初次注册成功后,向平台上报前端系统的设备资源信息(包括:视频服务器、DVR/DVS、摄像机、告警设备、环境量采集设备等模拟或数字信号采集设备信息)。
简介 腾讯云前端性能监控 (RUM) 是一站式前端监控解决方案,用户只需要安装 sdk 到自己的项目中,通过简单配置化,即可实现对用户页面质量的全方位守护,真正做到了低成本使用和无侵入监控。前端性能监控专注于 Web,小程序等大前端领域,主要关注用户页面性能(页面测速,接口测速,CDN 测速等)、质量(JS 错误,Ajax 错误等),并且通过联动腾讯云应用性能监控实现对前后端监控一体化的打通。 点击文末"阅读原文" 立即申请体验 RUM。 为什么要有前端监控 作为一名前端开发者,想必你一定遇到过这些
背景: 最近,XShell远程终端工具发现被加入了恶意代码,目前官方就此事也做出了回应,要求使用者尽快下载最新版本。腾讯安全反病毒实验室就此跟进分析,对此次带有后门的XShell工具进行了分析。 技术分析: 概述: 整个恶意过程可以通过下图来展示 整个作恶过程分为3部分,第一部分是被patch的XShell启动后,执行到恶意的shellcode1。shellcode1解密后续数据后,执行该段代码shellcode2。第二部分shellcode2运行后会判断注册表项,如果不存在Data键值,则会收集
爬虫是个高风险行业,如果操作不当,很容易造成“攻击”假象,给数据源技术部门带来很多麻烦。另外随着大家的安全意识逐步提高,风控标准也越来越严。为了避免身份被识别,请求外部数据接口时,通常会用“马甲”,也就“代理”的方式,与目标网站请求交互。
首先,我用来测试子域名漏洞的工具是Aquatone(洛克希德U2侦察机代号也叫这个),这个工具非常好用,可算是众多白帽的必备利器了。非常幸运的是,我不经意地用它来测试目标,就有了发现,真像是中了头奖!
GSLB,全局负载均衡(Global Server Load Balancing ),主要的目的是在整个网络范围内将用户的请求定向到最近的节点(或者区域)。是对物理集群的负载均衡,不止是简单的流量均匀分配,还会根据应用场景的不同来制定不同的策略。本文将讨论 GSLB 的几种实现,并介绍调度服务实现的大体情况。
本文分为接入前端性能监控、使用前端性能监控、性能优化三部分,可以通过目录跳转到对应的部分浏览。
你是否经常遇到线上需要日志排查问题但迟迟联系不上用户上报日志的情况?或者是否经常陷入由于存储空间不足而导致日志写不进去的囧境?本文介绍了美团是如何从0到1搭建高性能终端实时日志系统,从此彻底解决日志丢失和写满问题的。希望能为大家带来一些帮助和启发。
应用性能观测 1. 腾讯云应用性能观测(APM)与数据库智能管家(DBbrain)深度融合。 腾讯云应用性能观测(APM)联合数据库智能管家(DBbrain),对数据库和链路监控进行深度碰撞和融合,在国内云厂商中,首个提供了数据库自治云服务与应用性能服务关联分析能力。实现了从应用到数据库内部的全面洞察,应用运行情况与数据库运行情况的关联,帮助用户更高效地进行故障排查。 2. 应用详情页-JVM 监控,支持了更丰富的线程数量展示。 使用 Skywalking 及 Opentelementry 探针上报的用户
前两天登录了一下防守方报告提交平台,看了一下提交报告模版并整理给下面各子公司方便整理上报(毕竟只能上报50个事件,还要整合筛选),发现比去年最大的区别就是追踪溯源类提交及分数的变化。
前两篇blog介绍了国网B接口注册和资源上报相关,今天继续整理国网B接口资源信息获取相关的接口描述和消息示例。
CDN已经成为互联网重要的基建之一,越来越多的网络服务离不开CDN,它的稳定性也直接影响到业务的可用性。CDN的容灾一直由美团的SRE团队在负责,在端侧鲜有方案和实践。
本文主要介绍了腾讯视频业务在 2018 年至 2019 年间,从 HTTP 到 HTTPS 的过渡和优化实践。通过优化 CDN、负载均衡、Web 服务器、缓存、内容分发网络等方面的技术,提高了腾讯视频业务的性能、安全性和稳定性。同时,文章还介绍了一些关键优化措施,包括 SSL 证书的选择、部署和优化、HTTP/2 的支持和优化、请求合并和模块化接入等。通过这些优化措施,腾讯视频业务在保持服务稳定、提升用户体验的同时,也实现了成本控制和提高效率。
不过,话说回来,监控系统对于任何业务来说都是重中之重,部署完成之后,除了必要的逻辑优化与更新迭代,监控与报警显得更加重要。
那么在一个企业中,我们要如何去了解用户呢?最直接有效的方式就是了解用户的行为,了解用户在网站中做了什么,呆了多久。而如何去实现这一操作,这就涉及到我们前端的埋点了。
本篇Writup讲述作者针对某大公司网站做安全测试时,发现其子域名网站在账户更新时存在漏洞,可以通过构造POST请求,实现从普通用户到管理员的提权,漏洞最终收获了$5000的奖励。
本文由漏洞猎人Abdullah Nawaf于2024年3月18日发表在Medium网站,本文记录了Abdullah Nawaf的一次漏洞挖掘过程,而此次漏洞挖掘也成功让他获取到了三万五千美元的漏洞奖金。本文旨在跟大家分享一名专业漏洞猎人的漏洞挖掘心路历程,仅出于经验分享和教育目的撰写。
今天我要分享的是5万多个Shopify平台子域名劫持漏洞的发现过程。首先,我要说明的是,该漏洞不仅只存在于Shopify平台系统,还存在其它几个云服务平台系统中。在过去几周时间里,我们陆续联系了存在漏洞的各家厂商,Shopify平台的快速反应、认识透彻和持续跟进的处置能力给我们留下了深刻印象。
昨天,和大家讨论了无线APP时代如何进行DNS速度优化,今天和大家一起讨论一下无线时代的日志上报流量优化。 缘起:无线时代,APP流量敏感,为了统计APP内用户行为,或者需要收集某些产品数据,往往需要进行日志上报,日志上报往往又非常费流量,有没有一些好的节省流量的优化方法呢,这是本文将要讨论的问题。 ---- 一、APP可不可以不进行日志上报,而单纯从服务器日志统计用户的行为和产品数据? 答:不行,有些用户行为是不会与服务器进行交互的(例如TAB的点击),从服务器日志无法完成所有统计。 ---- 二、A
不想成为将军的士兵,不是好士兵-拿破仑 如何成为运维经理?成为运维经理需要什么样的能力?我想很多运维工程师都会有这样的思考和问题。 如何成为运维经理。一般来说,运维经理大概有两种出身,一种是从底层最基
在该Writeup中,作者通过子域名枚举、文件枚举和代码审计方式,成功构造了有效的服务端请求,实现了Facebook某网站的SSRF(服务端请求伪造),可通过该方式探测收集Facebook网站内部信息,漏洞收获了Facebook官方奖励的$10000。以下是作者的漏洞发现过程,非常简单。 子域名枚举 通过对Facebook网站大量的子域名测试枚举,我发现了其中一个子域名网站-phishme.thefacebook.com,它的主页响应为403: 在我的另一篇漏洞Writeup中,我就曾通过这种403响应发
不想成为将军的士兵,不是好士兵-拿破仑 如何成为运维经理?成为运维经理需要什么样的能力?我想很多运维工程师都会有这样的思考和问题。 如何成为运维经理。一般来说,运维经理大概有两种出身,一种是从底层最基础的维护做起,通过出色的维护工作,让公司领导对这个人非常认可,同时对Linux运维工作也比较重视,逐步走向Manager的岗位。第二种是业务管理出身或者有IT技术背景,具备了一定经验直接进入IT管理层的人员。 那么做为一个Linux运维经理,你需要哪些技能武器、管理哪些细节,具备什么样的能力? ----
本文的宗旨在于通过易于上手实操的方式,教会读者完成系统ELK日志采集的对接和使用。那你知道对于一个系统的上线考察,必备的几样东西是什么吗?其实这也是面试中考察求职者,是否真的做过系统开发和上线的必备问题。包括:服务治理(熔断/限流)、监控和日志,如果你做的系统里没有这样几个东西,一种是说明系统是玩具项目,另外一种就是压根没做过或者没关心过。前面的已经写完了,所以今天来给大家写ELK日志。
在文中,京东余珽介绍了京东移动网络优化方面的实践和收益,开发者可以通过阅读本文了解HTTP2.0、HTTPDNS、图片压缩聚合等传统的移动网络优化手段并应用到业务中。同时本文也详细讲解了在国家推行IPv6的情况下获得IPv6/IPv4双栈网络下的经验和踩坑经历,以及如何构建立体化的异常监控、性能监控体系来提升移动互联网络优化,带来更好的用户体验和业务可用性。
在网络安全领域中,寻找安全漏洞一直都是一项重要的任务。在我近期的一次安全研究过程中,我偶然发现了一个潜伏在Google子域名中的XSS(跨站脚本)漏洞,该漏洞不仅会成为威胁行为者的一个潜在入口点,而且更重要的是,它能够揭示网络安全实践的重要性,哪怕是Google这样的巨头亦是如此。这一个漏洞,使我进入了Google名人堂并获得了丰厚的漏洞奖励。
最后,我也因此测试漏洞收获了苹果官方不菲的赏金,以及漏洞名人堂的入榜致谢。好吧,我们一起来看看这个苹果官网的无限制文件上传漏洞。
请点击蓝字 关注我们 01 谷歌宣布了对Chrome浏览器用户的一些新的保护措施,来降低用户登录钓鱼网站比率。主要通过将当前网页的URL与最近访问过的URL进行对比,如果看起来相似,网页就会显示一条警告。 还推出了一个新的扩展(Suspicious Site Reporter),用来让重度用户上报可能是钓鱼网站的可疑网页,当它发现你正在看的网页不够可靠时,扩展位置的小旗便会转为橙色,你就可以上报可疑域名,截图等信息。 02 facebook发数字货币,Block.one联合创始人BM花3000万美元为自家
前几周UC小伙伴跟我说,“老王,给你看两张图,看看你的心愿实现了”,发来看了之后,还是蛮激动的呢(文后放出)。
【注】命令中的 xxx 为报错中 NO_PUBKEY 后的 GPG Key 。命令中的 keyserver.ubuntu.com 为提供 GPG Key 对应的 GPG 验证文件的公钥服务器,目前国内可访问的公钥服务器列表如下:
背景 当用户 APP 或小程序购买商品,遇到突然闪退,请求超时或者下单失败,前端页面响应慢等终端问题,可能会直接导致用户流失。 这种看似简单的终端问题,既可能是前端程序问题导致,也可能是因为中间件或数据库故障或者后端服务的错误。有时候在前端排查出异常,也很难直接定位到后端哪个应用或服务导致的,无法明确给出确定性的根因。 前后端一般通过请求进行交互,当服务出现异常时,开发人员需要回溯当时所有操作,进行异常分析与定位。单点监控导致前后端数据无法串联,无法完整回溯所有行为,且定位问题成本较高。 用户终端发起请求
常常会苦恼,平常做的项目很普通,没啥亮点;面试中也经常会被问到:做过哪些亮点项目吗?
本文介绍了如何使用Performance API获取网页性能数据,包括网络延迟、页面渲染时间、CPU使用情况等。同时,还介绍了如何通过Performance API提供的指标,计算出网页的加载速度和性能数据。通过使用Performance API,开发者可以更方便地监控网页性能,优化网页,提高用户体验。
作为前端工程师,无论是业务需要还是我们对于自己开发的Web站点的要求,往往都有性能监测以及数据上报的需求。而Performance API除了简单易用对前端工程师极其友好的特点之外,还有能提供高精确度的时间测量(千分之一毫秒)这个特点。
本文档介绍Helium console的使用,将标准的LoRaWAN终端加入到Helium People’s Network,并通过腾讯云IoT explorer物联网开发平台集成,在微信公众号以及腾讯连连小程序推送消息和展示数据。
起初我在测试目标网站的时候,未发现任何高风险漏洞,经过近一个小时的探测分析,我发现存在一些无关紧要的IDOR和XSS漏洞,没有高危漏洞。正当我打算要放弃的时候,我发现目标网站使用了Amazon Cloudfront服务来存储公共图片,其存储 URL链接形如以下:
当用户碰到问题时极少会选择反馈,沉默的是大多数,现在不少APP比如知乎都提供了摇一摇弹出用户反馈入口,减少进入功能模块的时间成本,不过遗憾的是,针对同一个问题一百个人有一百种描述方法,用户反馈的语法分析和文本分类是一个大工程。另外通过排查传统基础层的方法很难快速定位到问题,比如运营商光缆被挖断,导致某地区CDN图片异常告警居高不下,由于用户到后端资源的不透明性,问题可能出现在缓存配置可能是因为小运营商非法调度也可能出现在源站,当你排查一圈后突然恢复了,诸如此类问题,通过主动监测可以快速定位到问题
使用浏览器访问 saturn.vip.vip.com。如果启用了登录功能(-Dauthentication.enabled=true),会被重定向到CAS进行身份认证。
Hacking Team这次泄露的信息包括很多监视代码。如Windows平台上的间谍软件工程Soldier(战士),用于非法监听用户的上网信息和本地信息。今天我们来分析一下这个工程。 工程介绍 工程结
一、概要 近期,腾讯反诈骗实验室和移动安全实验室通过自研AI引擎—TRP,从海量样本中监测到一个后门病毒家族TigerEyeing,据腾讯反诈骗实验室和移动安全实验室安全专家分析发现,TigerEye
该篇Writeup讲述的是作者发现Google Tez网站的一个DOM based XSS漏洞,从而收获$3133.7奖励的经历,漏洞非常非常简单,我们一起来看看。
Qzone移动端页面去年在切换至HTTPS后,页面加载速度遇到了较大的挑战,出现了较大的上升趋势。为了解决这个问题,Qzone前端以及运维团队通过反复实验、分析,在实践中总结了一些方法,有效提升了HTTPS页面的访问速度。希望本文能够帮助提高用户在全站HTTPS环境上的体验,减少大家对全站启用HTTPS的顾虑。毕竟用户的体验同用户信息安全是一样重要的。 以iOS平台为例。Qzone页面在在切换至HTTPS之前,平均访问速度约为1795ms。切换至HTTPS之后,平均访问速度直接飙升至2630ms。我的天呐
本文讲述如何通过监控上报、脚本报错、代码规范、安全扫描、性能优化等手段,提升前端项目的稳定性,保障项目的高质量交付。通过分析项目中的主要问题和报错信息,提出了有效的优化方案,包括跨域资源共享、代码规范、错误量统计、性能优化等,具有很高的实用价值。同时,通过错误定位、异常上报、错误统计、代码规范等,实现了全方位的错误管理,提高了项目的稳定性。通过优化脚本错误处理流程,将错误量减少到了极致,大大提高了项目的开发效率和交付质量。
本文讲述如何通过监控上报、脚本错误量极致优化、跨域请求以及错误信息处理等方法,实现Web性能监控和错误处理,从而提高Web应用的稳定性和可靠性。
3. 去除创建网站自动创建的垃圾文件(index.html、404.html、.htaccess)
这篇文章是我的好朋友广胤所写,里面记录了我们2018年探索的前端监控体系的历程,由于在建设完后的我离职了,后续也没有继续能和广胤一起更进一步的探索,还是有一些些遗憾。还记得我第一次进入「兑吧」的时候,我就在简历里描述了错误监控之类的项目,其实当时我并没有在一个公司进行过实践,这大概是之前在网易的时候,闲来没事,进行的自我探索。然后进入「兑吧」后,没想到当时公司正好缺少这一块的基建,于是 TL 就让我和广胤负责了这块项目,也是这次经历让我从实习阶段就正式踏入了前端基础建设的道路,还是非常感谢这一次的机会,让我从单一的业务开发人员,转化到了结构型开发人员。记得在开发的项目的那一个月中,除了吃饭,或者和广胤讨论项目的进度问题,近乎一种忘我的开发状态。
我现在是有参与到团队的日志系统的开发维护,所以今后打算把 前端监控 做成一个系列,把整个前端监控链路给总结一遍
在我司线上运行的是近亿级别的广告页面,这样线上如果裸奔,出现了什么问题不知道,后置在业务端发现,被业务方询问,这种场景很尴尬。
领取专属 10元无门槛券
手把手带您无忧上云