- 浏览: 885475 次
- 性别:
- 来自: 北京
最新评论
-
chenquanyi:
这本书我在京东买了,很好的一本书,点赞。
高手问答:大话Java性能优化 -
大胡子.:
请帮忙解下账号锁定吧,谢谢账号ID:青春..荒唐发帖内容:刚做 ...
ITeye问答频道全新改版上线——增加投票和勋章等多项新功能! -
zdphpn:
广告真他妈给力
ITeye问答频道全新改版上线——增加投票和勋章等多项新功能! -
猎头顾问Sunny汪:
...
高手问答:大话Java性能优化 -
liuyongchong:
大家都收到书了吗?我还没收到,是不是快递运丢了?
ITeye 3月技术图书有奖试读 获奖名单公布
为营造良好的技术氛围,本月ITeye携手电子工业出版社博文视点共同举办11月技术图书有奖试读活动。我们为大家精心选定了六本热门技术图书,总有一本是你想要的!奖品多多,赶快来写下你的试读感想,赢取技术好书吧!
本次试读的图书有:
- 《大型网站技术架构:核心原理与案例分析》
- 《SDN核心技术剖析和实战指南》
- 《智慧的分析洞察》
- 《模糊测试——强制发掘安全漏洞的利器》
- 《了不起的Node.js 将JavaScript进行到底》
- 《用AngularJS开发下一代Web应用》
活动时间:2013年11月25日-12月9日
参与方式:
从我们提供的试读图书中选择一本或多本阅读试读章节,在ITeye博客或论坛发表一篇不少于500字的文章,写试读心得或者根据提供的话题书写个人见解,并将文章的标题+链接发到本篇活动博文的评论中即可。
活动须知:
- 参加活动的文章必须将标题和链接发布到本文的留言区,否则将不参与评奖;
- 可以写一本或多本图书的试读心得或个人见解,如文章都很优秀可重复获奖;
- 参与活动的文章内容应围绕所试读图书的内容展开,不少于500字,文体不限;
- 参加活动的文章必须是博主个人原创,内容健康,客观公正,不得转载或截取他人文章。如抄袭他人文章一经查实,取消参加活动资格。
- 每本试读图书评选出5名优秀作者,由ITeye社区编辑和电子工业出版社共同评选。
- 从参与本次活动并且符合活动要求的用户中随机选出5名作者,作为本期幸运奖得主。
- 优秀奖:每本试读图书评选出5名优秀作者,每人赠送获奖作品对应的技术图书一本!
- 幸运奖:每位幸运用户将获得由ITeye提供的最新《程序员》杂志1本!
试读图书介绍及试读章节下载
1.《大型网站技术架构:核心原理与案例分析》
推荐语:最接地气的网站架构经验,网站生存技术心要,应对大数据挑战的干货分享!
图书介绍:
本书通过梳理大型网站技术发展历程,剖析大型网站技术架构模式,深入讲述大型互联网架构设计的核心原理,并通过一组典型网站技术架构设计案例,为读者呈现一幅包括技术选型、架构设计、性能优化、Web 安全、系统发布、运维监控等在内的大型网站开发全景视图。本书不仅适用于指导网站工程师、架构师进行网站技术架构设计,也可用于指导产品经理、项目经理、测试运维人员等了解网站技术架构的基础概念;还可供包括企业系统开发人员在内的各类软件开发从业人员借鉴,了解大型网站的解决方案和开发理念。
提示话题:
- 大型网站软件系统的特点。
- 网站架构设计误区。
- 大型网站架构模式。
- 谈谈你对这本书试读章节的看法。
2.《SDN核心技术剖析和实战指南》
推荐语:第一本原创的SDN著作
图书介绍:
SDN(Software Defined Networking,软件定义网络)是当前网络领域的热点,被业界普遍认为是未来网络发展的方向,孕育着巨大的市场机会。
本书首先对SDN 的概念和背景进行了系统的论述,比较和分析了SDN 领域的主流观点;进而全面深入地梳理了SDN 的核心技术体系,针对SDN 网络架构中各个层次的关键技术进行了重点讲解。同时,本书提供了基于开源技术的SDN 实践指南,帮助读者进一步加深对SDN 的原理与实现的理解。最后,本书充分地分析了SDN 的应用场景,并从产业生态系统的角度对SDN 的发展格局和未来走势进行了分析和展望。
本书对从事SDN 技术产品研发的专业人士、网络运营服务从业人员,以及相关专业的高校学生和对SDN 感兴趣的各位读者,都会提供有益的帮助。
提示话题:
- SDN 产业现状及展望。
- SDN给我们带来哪些好处。
- 谈谈你对这本书试读章节的看法。
3.《智慧的分析洞察》
推荐语:大数据时代的分析之道,你也能轻松获得的分析洞察力
图书介绍:
本书主要从体系结构和方法论层面讲述智慧的分析洞察、IBM“3A5 步”、信息议程、构建新一代数据中心、大数据管理、元数据管理、数据治理和主数据管理等相关概念、方法、模型和示例。针对信息供应链的每个领域以IBM 相关产品简单举例。
本书适合IT 从业者、CIO、数据库架构师、企业的架构师、IT 部门经理、数据库管理和开发人员阅读。同时还适合业务部门人士和互联网业务相关的业务经理,以及需要基于互联网进行业务创新的部门经理阅读。如果你正在思考如何开展业务创新,可以看看这本书,书中有不少适用于各个行业的例子,会启发你的业务创新。当然,本书对从事咨询业务的专家,像ITSP 咨询师,以及从事教育科学研究领域的人士,也有一定参考价值。
提示话题:
- 如何通过对数据的唤醒,获得深入洞察力,帮助企业获得独特的竞争优势。
- 如何基于参考模型,构建新一代混合型数据中心(大数据平台)。
- 谈谈你对这本书试读章节的看法。
4.《模糊测试——强制发掘安全漏洞的利器》》
推荐语:Jolt 大奖精选丛书
图书介绍:
随着软件安全性问题变得越来越关键,传统的仅由组织内的少数安全专家负责安全的模式正受到越来越多的挑战。模糊测试是一种能够降低安全性测试门槛的方法,它通过高度自动化的手段让组织的开发和测试团队都能参与到安全性测试中,并能够通过启发式等方法不断积累安全测试的经验,帮助组织建立更有效的面向安全性的开发流程。
本书是一本系统性描述模糊测试的专著,介绍了主要操作系统和主流应用类型的模糊测试方法,系统地描述了方法和工具,并使用实际案例帮助读者建立直观的认识。无论读者是否已有一定的安全性测试经验,本书都能够让你立即获得收益。
提示话题:
- 模糊测试的局限性和期望。
- 谈谈你对这本书试读章节的看法。
5.《了不起的Node.js: 将JavaScript进行到》
图书介绍:
本书是一本经典的 Learning by Doing的书籍。它由 Node社区著名的 Socket.IO作者—— Guillermo Rauch,通过大量的实践案例撰写,并由 Node社区非常活跃的开发者—— Goddy Zhao翻译而成。
本书内容主要由对五大部分的介绍组成: Node核心设计理念、 Node核心模块 API、Web开发、数据库以及测试。从前到后、由表及里地对使用 Node进行 Web开发的每一个环节都进行了深入的讲解,并且最大的特点就是通过大量的实际案例、代码展示来剖析技术点,讲解最佳实践。
提示话题:
- Node.js的优势有哪些。
- 谈谈你对这本书试读章节的看法。
6.《用AngularJS开发下一代Web应用》
推荐语:来自Google,最具潜力的JavaScript框架的唯一著作。
图书介绍:
AngularJS是一款来自Google的前端JS框架,它的核心特性有:MVC、双向数据绑定、指令和语义化标签、模块化工具、依赖注入、HTML模板,以及对常用工具的封装,例如$http、$cookies、$location等。AngularJS框架的体积非常小,但是设计理念和功能却非常强大,值得前端开发者深入学习。
本书对AngularJS框架的核心特性做了全面的介绍,包括常用的开发工具和开发环境。作为国内第一本关于AngularJS的书籍,本书是学习AngularJS的必备入门工具。
提示话题:
- AngularJS框架最核心特性。
- 使用 AngularJS的原因。
- 谈谈你对这本书试读章节的看法。
本活动最终解释权归ITeye所有,如有任何问题请发送邮件到webmaster@iteye.com。
- 大型网站技术架构:核心原理与案例分析试读.pdf (1.7 MB)
- 下载次数: 1133
- SDN核心技术剖析和实战指南试读样章.pdf (1.9 MB)
- 下载次数: 225
- 智慧的分析洞察.pdf (1.2 MB)
- 下载次数: 231
- 模糊测试——强制发掘安全漏洞的利器试读样章.pdf (1.7 MB)
- 下载次数: 143
- 了不起的Node.js_将JavaScript进行到底试读样章.pdf (2.8 MB)
- 下载次数: 628
- 用AngularJS开发下一代Web应用试读样章.pdf (3.1 MB)
- 下载次数: 535
评论
28 楼
xanodu
2013-12-02
maoghj 写道
关于《SDN核心技术剖析和实战指南》的读后感
1 SDN产业现状及展望
SDN发展展望
市场研究公司IDC的数据显示,目前85%的行业相关企业正在研究SDN,预计2016年SDN相关市场空间将从2012年微不足道的3.6亿美元快速增长至37亿美元。之所以能如此迅速地增长,主要是SDN市场的推动者正在与日俱增。如今SDN已成为业界最炙手可热的概念之一,几乎所有的网络设备厂商、服务商都在转向这一新的潮流,正如08年和09年所有人都在拥抱云计算一样。此外,在资本市场,SDN也是热门话题。2012年在风险投资和并购方面,关于SDN的大交易新闻如下。
2012年7月,VMware用12.7亿美金收购Nicira公司,引爆了SDN领域的风险投资和收购热潮。
2012年7月,在VMware公布收购Nicira公司消息后的一周,Oracle宣布收购Xsigo公司,Oracle 在声明中说:"Xsigo 的SDN技术允许客户动态灵活地将任意服务器与任意网络及存储连接,简化了云基础设施及操作,在提高资产利用率及应用性能的同时降低了成本,Xsigo 的网络虚拟化与 Oracle VM 的服务器虚拟化相结合将会为云环境提供一套整的虚拟化能力。"
2012年11月6日,博科宣布以全现金交易形式收购私人企业Vyatta。Vyatta的总部设在加州贝尔蒙特,该公司率先开发了业内首个独立平台网络操作系统--Vyatta网络操作系统,为物理、虚拟和云网络环境提供先进路由、安全性和VPN功能的下一代按需服务的网络操作系统。该操作系统让系统架构师能够安全地连接至虚拟、云或其他物理基础设施,同时为它们所支持的应用提供相同的弹性、移动性、自动配置和实用程序许可等诸多好处。博科首席执行官Mike Klayko表示:"此次收购进一步完善了我们对以太网架构和SDN的研发投资,进一步推动了我们在行业级和解决方案级的合作伙伴关系,让博科能够在数据中心虚拟化、公有云、企业虚拟私有云和管理服务方面追求新的市场机会。我们通过此次战略收购巩固了'建立与合作'方面的努力,本次收购的目标是使博科成为软件网络领域的创新和领导厂商。"
2012年12月,瞻博用1.76亿美元现金和股票收购了SDN创业企业Contrail Systems,该公司制造用于SDN的控制器。
2012年12月,思科以1.4亿美元收购IP/MPLS流量管理软件供应商Cariden,希望加快该公司面向服务提供商客户的SDN战略的发展;在同一个月,又宣布收购提供政策控制和服务管理技术公司BroadHop的计划,以增强其为运营商网络提供的产品,并将其作为开放网络环境战略的一个关键组成部分;在此之前,思科对自己前员工创办的Insieme进行了1亿美元的投资。
2013年2月11日网络加速厂商F5宣布收购创业企业LineRate Systems, 收购金额没有披露。LineRate Systems公司位于科罗拉多州,专门开发SDN技术,该公司的产品是一个全软件代理和流量管理套装软件,在推出第一个产品10个月之后就被F5收购了。
目前,SDN的产业生态系统正在快速形成,相关的技术标准在不断制定和完善,产业链相关各方也都在积极探索和研发转型的过程中。
SDN产业现状
目前,SDN的产业生态系统已初现雏形,基本形成了芯片提供商、设备和解决方案提供商、互联网企业和运营商三大产业角色。
谈谈你对这本书试读章节的看法
这本书提供了基于开源技术的SDN 实践指南,帮助读者进一步加深对SDN 的原理与实现的理解。最后,本书充分地分析了SDN 的应用场景,并从产业生态系统的角度对SDN 的发展格局和未来走势进行了分析和展望。
大佬,看清楚说明
并将文章的标题+链接发到本篇活动博文的评论中
是让发博文,而不是让把文章贴到评论中来。
btw,看完了《了不起的Node.js》样章,楼主,就这两个样章,完全看不出有啥神奇的啊!!!
27 楼
魔力猫咪
2013-12-02
《用AngularJS开发下一代Web应用》试读
http://wlmouse.iteye.com/blog/1980218
http://wlmouse.iteye.com/blog/1980218
26 楼
maoghj
2013-12-02
6.《用AngularJS开发下一代Web应用》 的读后感
AngularJS框架最核心特性
MVC、模块化、自动化双向数据绑定、语义化标签、依赖注入,等等。
使用 AngularJS的原因
ngularJS将帮助标准化的开发web应用结构并且提供了针对客户端应用的未来开发使用的模板
versin 1.0 发布在6个月前,已经被很多的应用实践过了,包括商业应用及其产品。Angularjs作为可选的架构必将成为整个开发社区的明星。因为AngualrJS是google开发的产品,所以注定了你将有一个坚实的基础,相信它能够成为你的最佳选择!
原因二:AngularJS非常全面
类似 Backbone 或者 JavaScriptMVC,anguar是一个快速的前端开发解决方案。没有其它的插件或者架构足以开发数据驱动的web应用。下面列出了AnguarJS的一些特性:
方便的REST: RESTful逐渐成为了标准的服务器和客户端沟通的方式。使用一行javascript代码,你就可以快速的从服务器端得到数据。AugularJS将这些变成了JS对象,作为Model,遵循MVVM(model view view-model)设计模式。
原因三:花几分钟就可以开始开发
学习Angular非常简单。添加几个属性到你的HTML中,你可以使用5分钟搭建一个应用!
添加ng-app directive到<html>标签,这样Angular知道应该运行:
<html lang="en" ng-app>
添加Angular<script>标签到<head>标签里:
<head>
...meta and stylesheet tags...
<script src="lib/angular/angular.js"></script>
添加正常的HTML标签。AngularJS directive可以在HTML属性中被访问,而表单式将使用两个大括号来标示:
AngularJS框架最核心特性
MVC、模块化、自动化双向数据绑定、语义化标签、依赖注入,等等。
使用 AngularJS的原因
ngularJS将帮助标准化的开发web应用结构并且提供了针对客户端应用的未来开发使用的模板
versin 1.0 发布在6个月前,已经被很多的应用实践过了,包括商业应用及其产品。Angularjs作为可选的架构必将成为整个开发社区的明星。因为AngualrJS是google开发的产品,所以注定了你将有一个坚实的基础,相信它能够成为你的最佳选择!
原因二:AngularJS非常全面
类似 Backbone 或者 JavaScriptMVC,anguar是一个快速的前端开发解决方案。没有其它的插件或者架构足以开发数据驱动的web应用。下面列出了AnguarJS的一些特性:
方便的REST: RESTful逐渐成为了标准的服务器和客户端沟通的方式。使用一行javascript代码,你就可以快速的从服务器端得到数据。AugularJS将这些变成了JS对象,作为Model,遵循MVVM(model view view-model)设计模式。
原因三:花几分钟就可以开始开发
学习Angular非常简单。添加几个属性到你的HTML中,你可以使用5分钟搭建一个应用!
添加ng-app directive到<html>标签,这样Angular知道应该运行:
<html lang="en" ng-app>
添加Angular<script>标签到<head>标签里:
<head>
...meta and stylesheet tags...
<script src="lib/angular/angular.js"></script>
添加正常的HTML标签。AngularJS directive可以在HTML属性中被访问,而表单式将使用两个大括号来标示:
25 楼
maoghj
2013-12-02
5.《了不起的Node.js: 将JavaScript进行到》的读后感
Node.js的优势有哪些
•Node.js 的架构与 Django, Rails 等传统的 Framework 不同,不需要放在 Nginx / Apache 后,利用 WSGI, CGI 之类的接口一板一眼的 [接受Request] -> [运行程序逻辑] -> [生成并返回Response]。这是一个巨大的变化,之前一些无法想象的功能都有可能实现了。比如 https://github.com/Miserlou/DirtyShare... 可以用浏览器实现 P2P 的文件传输。正因为 Node.js 可以更精细的控制 Request 和 Response 的时间和内容,websocket 似乎天生就是为 Node.js 而生的,而配合 http://socket.io 这个神奇的库之后,在 realtime webapp 这个领域,Node.js 已经没有对手了。
•Node.js 的包管理器 npm 设计得比 python 和 ruby 好很多。有很多的 module 开发者。
Node.js的优势有哪些
•Node.js 的架构与 Django, Rails 等传统的 Framework 不同,不需要放在 Nginx / Apache 后,利用 WSGI, CGI 之类的接口一板一眼的 [接受Request] -> [运行程序逻辑] -> [生成并返回Response]。这是一个巨大的变化,之前一些无法想象的功能都有可能实现了。比如 https://github.com/Miserlou/DirtyShare... 可以用浏览器实现 P2P 的文件传输。正因为 Node.js 可以更精细的控制 Request 和 Response 的时间和内容,websocket 似乎天生就是为 Node.js 而生的,而配合 http://socket.io 这个神奇的库之后,在 realtime webapp 这个领域,Node.js 已经没有对手了。
•Node.js 的包管理器 npm 设计得比 python 和 ruby 好很多。有很多的 module 开发者。
24 楼
maoghj
2013-12-02
《模糊测试——强制发掘安全漏洞的利器》》的读后感
1模糊测试的局限性和期望
访问控制漏洞
有些应用需要分级的权限模型来支持多账户或是不同级别的用户。例如,考虑一个通过Web 前端访问的在线日程安排系统(Calendaring System)。该应用有一个管理员,管理员可以控制哪些用户能够登录到这个系统。除管理员外,该系统中还有一个特别的用户组,这组用户具有创建日程的权限。除此之外,其他用户只有读权限。在这个系统中,最基本的权限控制是保证一个普通用户无法执行管理员才能执行的任务。
模糊测试器也许能够发现该日程安排软件中的“允许攻击者取得系统的完全控制权”错误。从低级别来看,这类软件错误在不同被测应用中都可能出现,因此,可以用相同的逻辑来检测不同的测试应用中的这类错误。但是,另一类涉及应用本身逻辑的访问权限问题却很难在模糊测试中被发现。例如,在测试过程中,模糊测试器以普通用户的身份成功访问到了只有管理员才能访问到的功能,但是,这个明显的权限问题很可能不会被模糊测试器标示出来。为什么?因为模糊测试器并不理解程序逻辑,它并不知道普通用户不可以访问管理员区域。那么,是否可以在模糊测试中实现这些逻辑功能,告诉模糊测试器哪些功能是只有管理员能够使用的?这种想法听上去很美好,但实际上,这种方式的实现非常麻烦,并且,采用这种实现导致模糊测试器与应用有非常大的耦合,适用于某个应用的模糊测试器如果不经过彻底修改的话,是完全不可能在另一个应用中重用的。
糟糕的设计逻辑
模糊测试器也不是发现糟糕的逻辑设计的最佳工具。例如,考虑在Veritas BackupExec 中发现的一个安全漏洞。该安全漏洞允许攻击者远程控制Windows 服务器并能创建、修改、删除注册表中的键值。这个漏洞导致攻击者几乎可以完全控制系统。这个问题产生的原因是Windows 服务器中一个基于TCP 实现远程过程调用(RemoteProcedure Call, RPC)的接口,该接口接受修改注册表的指令,并且完全不需要认证。实际上,这不是一个认证问题。因为Windows 服务器就是这样设计的。这只能说是一个不合适的设计决定,该决定可能因为设计者认为攻击者更愿意花费时间来破译Microsoft 接口描述语言(Interface Description Language, IDL),并据此设计一个工具来与服务器交互,而不是花时间去寻找RPC 服务的漏洞。
虽然模糊测试器可以发现由于被测应用对RPC 连接传入数据的糟糕处理,导致的某些形式的较低层次错误,但模糊测试器并不适合用来确定这些错误是否导致真正的不安全。在第18 章“自动化浏览器模糊测试”中讨论ActiveX 的模糊测试时,我们会再次讨论这个概念,在那一章中,我们会看到许多控件暴露了某些方法,这些方法使得攻击者可以通过它们创建和执行文件。需要对这些设计缺陷给予特殊的考虑。
一个模糊测试器对被测应用的结构只有很少的了解,后门看上去与其他的正常逻辑没什么不同。考虑一个应用的登录界面,无论是后门还是正常登录逻辑,都是接受输入并返回认证后的身份信息。不仅如此,除非模糊测试器有足够的信息识别成功的登录,否则,即使这个模糊测试器偶然发现了一个固定的口令,它仍然没有办法识别出这个安全漏洞。在对口令域进行模糊测试时,如果某个输入导致应用发生崩溃,这种漏洞通常可以被发现;但一个通过随机猜测可以被发现的,能进入系统的硬编码的(hardcoded)口令就不会被发现。
破坏
内存破坏问题通常会导致被测应用的崩溃。这类问题可以根据与拒绝服务类似的症状来加以识别和发现。然而,有些内存错误问题会被被测应用掩盖,因此简单的模糊测试器永远都发现不了这类问题
多阶段安全漏洞(MuliStage Vulnerability)
可利用性(Exploitation)不总意味着像攻击单一弱点那么简单。复杂的攻击通常通过连续利用若干个安全漏洞来获得机器的控制权:起先通过漏洞让机器接受未被授权的访问,然后利用其他漏洞缺陷获得更大的权限
这本书介绍了主要操作系统和主流应用类型的模糊测试方法,系统地描述了方法和工具,并使用实际案例帮助读者建立直观的认识
谈谈你对这本书试读章节的看法
1模糊测试的局限性和期望
访问控制漏洞
有些应用需要分级的权限模型来支持多账户或是不同级别的用户。例如,考虑一个通过Web 前端访问的在线日程安排系统(Calendaring System)。该应用有一个管理员,管理员可以控制哪些用户能够登录到这个系统。除管理员外,该系统中还有一个特别的用户组,这组用户具有创建日程的权限。除此之外,其他用户只有读权限。在这个系统中,最基本的权限控制是保证一个普通用户无法执行管理员才能执行的任务。
模糊测试器也许能够发现该日程安排软件中的“允许攻击者取得系统的完全控制权”错误。从低级别来看,这类软件错误在不同被测应用中都可能出现,因此,可以用相同的逻辑来检测不同的测试应用中的这类错误。但是,另一类涉及应用本身逻辑的访问权限问题却很难在模糊测试中被发现。例如,在测试过程中,模糊测试器以普通用户的身份成功访问到了只有管理员才能访问到的功能,但是,这个明显的权限问题很可能不会被模糊测试器标示出来。为什么?因为模糊测试器并不理解程序逻辑,它并不知道普通用户不可以访问管理员区域。那么,是否可以在模糊测试中实现这些逻辑功能,告诉模糊测试器哪些功能是只有管理员能够使用的?这种想法听上去很美好,但实际上,这种方式的实现非常麻烦,并且,采用这种实现导致模糊测试器与应用有非常大的耦合,适用于某个应用的模糊测试器如果不经过彻底修改的话,是完全不可能在另一个应用中重用的。
糟糕的设计逻辑
模糊测试器也不是发现糟糕的逻辑设计的最佳工具。例如,考虑在Veritas BackupExec 中发现的一个安全漏洞。该安全漏洞允许攻击者远程控制Windows 服务器并能创建、修改、删除注册表中的键值。这个漏洞导致攻击者几乎可以完全控制系统。这个问题产生的原因是Windows 服务器中一个基于TCP 实现远程过程调用(RemoteProcedure Call, RPC)的接口,该接口接受修改注册表的指令,并且完全不需要认证。实际上,这不是一个认证问题。因为Windows 服务器就是这样设计的。这只能说是一个不合适的设计决定,该决定可能因为设计者认为攻击者更愿意花费时间来破译Microsoft 接口描述语言(Interface Description Language, IDL),并据此设计一个工具来与服务器交互,而不是花时间去寻找RPC 服务的漏洞。
虽然模糊测试器可以发现由于被测应用对RPC 连接传入数据的糟糕处理,导致的某些形式的较低层次错误,但模糊测试器并不适合用来确定这些错误是否导致真正的不安全。在第18 章“自动化浏览器模糊测试”中讨论ActiveX 的模糊测试时,我们会再次讨论这个概念,在那一章中,我们会看到许多控件暴露了某些方法,这些方法使得攻击者可以通过它们创建和执行文件。需要对这些设计缺陷给予特殊的考虑。
一个模糊测试器对被测应用的结构只有很少的了解,后门看上去与其他的正常逻辑没什么不同。考虑一个应用的登录界面,无论是后门还是正常登录逻辑,都是接受输入并返回认证后的身份信息。不仅如此,除非模糊测试器有足够的信息识别成功的登录,否则,即使这个模糊测试器偶然发现了一个固定的口令,它仍然没有办法识别出这个安全漏洞。在对口令域进行模糊测试时,如果某个输入导致应用发生崩溃,这种漏洞通常可以被发现;但一个通过随机猜测可以被发现的,能进入系统的硬编码的(hardcoded)口令就不会被发现。
破坏
内存破坏问题通常会导致被测应用的崩溃。这类问题可以根据与拒绝服务类似的症状来加以识别和发现。然而,有些内存错误问题会被被测应用掩盖,因此简单的模糊测试器永远都发现不了这类问题
多阶段安全漏洞(MuliStage Vulnerability)
可利用性(Exploitation)不总意味着像攻击单一弱点那么简单。复杂的攻击通常通过连续利用若干个安全漏洞来获得机器的控制权:起先通过漏洞让机器接受未被授权的访问,然后利用其他漏洞缺陷获得更大的权限
这本书介绍了主要操作系统和主流应用类型的模糊测试方法,系统地描述了方法和工具,并使用实际案例帮助读者建立直观的认识
谈谈你对这本书试读章节的看法
23 楼
maoghj
2013-12-02
关于《SDN核心技术剖析和实战指南》的读后感
1 SDN产业现状及展望
SDN发展展望
市场研究公司IDC的数据显示,目前85%的行业相关企业正在研究SDN,预计2016年SDN相关市场空间将从2012年微不足道的3.6亿美元快速增长至37亿美元。之所以能如此迅速地增长,主要是SDN市场的推动者正在与日俱增。如今SDN已成为业界最炙手可热的概念之一,几乎所有的网络设备厂商、服务商都在转向这一新的潮流,正如08年和09年所有人都在拥抱云计算一样。此外,在资本市场,SDN也是热门话题。2012年在风险投资和并购方面,关于SDN的大交易新闻如下。
2012年7月,VMware用12.7亿美金收购Nicira公司,引爆了SDN领域的风险投资和收购热潮。
2012年7月,在VMware公布收购Nicira公司消息后的一周,Oracle宣布收购Xsigo公司,Oracle 在声明中说:"Xsigo 的SDN技术允许客户动态灵活地将任意服务器与任意网络及存储连接,简化了云基础设施及操作,在提高资产利用率及应用性能的同时降低了成本,Xsigo 的网络虚拟化与 Oracle VM 的服务器虚拟化相结合将会为云环境提供一套整的虚拟化能力。"
2012年11月6日,博科宣布以全现金交易形式收购私人企业Vyatta。Vyatta的总部设在加州贝尔蒙特,该公司率先开发了业内首个独立平台网络操作系统--Vyatta网络操作系统,为物理、虚拟和云网络环境提供先进路由、安全性和VPN功能的下一代按需服务的网络操作系统。该操作系统让系统架构师能够安全地连接至虚拟、云或其他物理基础设施,同时为它们所支持的应用提供相同的弹性、移动性、自动配置和实用程序许可等诸多好处。博科首席执行官Mike Klayko表示:"此次收购进一步完善了我们对以太网架构和SDN的研发投资,进一步推动了我们在行业级和解决方案级的合作伙伴关系,让博科能够在数据中心虚拟化、公有云、企业虚拟私有云和管理服务方面追求新的市场机会。我们通过此次战略收购巩固了'建立与合作'方面的努力,本次收购的目标是使博科成为软件网络领域的创新和领导厂商。"
2012年12月,瞻博用1.76亿美元现金和股票收购了SDN创业企业Contrail Systems,该公司制造用于SDN的控制器。
2012年12月,思科以1.4亿美元收购IP/MPLS流量管理软件供应商Cariden,希望加快该公司面向服务提供商客户的SDN战略的发展;在同一个月,又宣布收购提供政策控制和服务管理技术公司BroadHop的计划,以增强其为运营商网络提供的产品,并将其作为开放网络环境战略的一个关键组成部分;在此之前,思科对自己前员工创办的Insieme进行了1亿美元的投资。
2013年2月11日网络加速厂商F5宣布收购创业企业LineRate Systems, 收购金额没有披露。LineRate Systems公司位于科罗拉多州,专门开发SDN技术,该公司的产品是一个全软件代理和流量管理套装软件,在推出第一个产品10个月之后就被F5收购了。
目前,SDN的产业生态系统正在快速形成,相关的技术标准在不断制定和完善,产业链相关各方也都在积极探索和研发转型的过程中。
SDN产业现状
目前,SDN的产业生态系统已初现雏形,基本形成了芯片提供商、设备和解决方案提供商、互联网企业和运营商三大产业角色。
谈谈你对这本书试读章节的看法
这本书提供了基于开源技术的SDN 实践指南,帮助读者进一步加深对SDN 的原理与实现的理解。最后,本书充分地分析了SDN 的应用场景,并从产业生态系统的角度对SDN 的发展格局和未来走势进行了分析和展望。
22 楼
maoghj
2013-12-02
《大型网站技术架构:核心原理与案例分析》
网站架构设计的误区
1. 一味的追求大公司的解决方案
一些公司遇到一些网站架构设计的问题的时候往往会参考大公司的成熟的技术架构,这点本身是没错的,但是一味的追求大公司的解决方案,有时候会“邯郸学步”。
由于大公司的光环,再加上一些公司从大公司挖来的技术高手的影响,有时候会出现在讨论技术架构的生活,往往能够听到“Google, Amazon就是这么搞的,所以我们也应该这么做”…之类的言论。
大公司的成熟的经验和模式固然很重要,值得我们借鉴和学习,但是千万不要盲从。
2. 不要为了技术而技术
任何的技术都是为了解决现实生活中的一些问题而存在的。所以在技术选型的生活,不要脱离具体的业务场景,不要看着别人使用NoSQL,看到最近Hadoop很火,然后就也对数据量级很小的业务也去使用这些技术。不要一味的追求时髦的技术,因为这样可能会走入崎岖。
3. 不要企图用技术解决所有问题
虽然理想的情况下,是技术帮我们完成所有的事情,我们人类可以吃喝玩乐。但是我们也需要脚踏实地,着眼于问题的根本。
比如,2012年初12306网站故障事件以后,一些人开始在微博上呐喊,说为12306出谋划策,也有人想为12306做一个开源的网站,来解决它的大规模并发访问的问题。
大型网站架构模式
2.1.1 分层
分层是企业应用系统中最常见的一种架构模式,将系统在横向维度上切分成几个部分,每个部分负责一部分相对比较单一的职责,然后通过上层对下层的依赖和调用组成一个完整的系统。
分层结构在计算机世界中无处不在,网络的7层通信协议是一种分层结构;计算机硬件、操作系统、应用软件也可以看作是一种分层结构。在大型网站架构中也采用分层结构,将网站软件系统分为应用层、服务层、数据层,如表2.1所示。
表2.1 网站分层架构
应用层
负责具体业务和视图展示,如网站
首页及搜索输入和结果展示
服务层
为应用层提供服务支持,如用户管理
服务,购物车服务等
数据层
提供数据存储访问服务,如数据库、
缓存、文件、搜索引擎等
通过分层,可以更好地将一个庞大的软件系统切分成不同的部分,便于分工合作开发和维护;各层之间具有一定的独立性,只要维持调用接口不变,各层可以根据具体问题独立演化发展而不需要其他层必须做出相应调整。
但是分层架构也有一些挑战,就是必须合理规划层次边界和接口,在开发过程中,严格遵循分层架构的约束,禁止跨层次的调用(应用层直接调用数据层)及逆向调用(数据层调用服务层,或者服务层调用应用层)。
在实践中,大的分层结构内部还可以继续分层,如应用层可以再细分为视图层(美工负责)和业务逻辑层(工程师负责);服务层也可以细分为数据接口层(适配各种输入和输出的数据格式)和逻辑处理层。
分层架构是逻辑上的,在物理部署上,三层结构可以部署在同一个物理机器上,但是随着网站业务的发展,必然需要对已经分层的模块分离部署,即三层结构分别部署在不同的服务器上,使网站拥有更多的计算资源以应对越来越多的用户访问。
所以虽然分层架构模式最初的目的是规划软件清晰的逻辑结构便于开发维护,但在网站的发展过程中,分层结构对网站支持高并发向分布式方向发展至关重要。因此在网站规模还很小的时候就应该采用分层的架构,这样将来网站做大时才能有更好地应对。
适用于指导网站工程师、架构师进行网站技术架构设计,也可用于指导产品经理、项目经理、测试运维人员等了解网站技术架构的基础概念;还可供包括企业系统开发人员在内的各类软件开发从业人员借鉴,了解大型网站的解决方案和开发理念。
网站架构设计的误区
1. 一味的追求大公司的解决方案
一些公司遇到一些网站架构设计的问题的时候往往会参考大公司的成熟的技术架构,这点本身是没错的,但是一味的追求大公司的解决方案,有时候会“邯郸学步”。
由于大公司的光环,再加上一些公司从大公司挖来的技术高手的影响,有时候会出现在讨论技术架构的生活,往往能够听到“Google, Amazon就是这么搞的,所以我们也应该这么做”…之类的言论。
大公司的成熟的经验和模式固然很重要,值得我们借鉴和学习,但是千万不要盲从。
2. 不要为了技术而技术
任何的技术都是为了解决现实生活中的一些问题而存在的。所以在技术选型的生活,不要脱离具体的业务场景,不要看着别人使用NoSQL,看到最近Hadoop很火,然后就也对数据量级很小的业务也去使用这些技术。不要一味的追求时髦的技术,因为这样可能会走入崎岖。
3. 不要企图用技术解决所有问题
虽然理想的情况下,是技术帮我们完成所有的事情,我们人类可以吃喝玩乐。但是我们也需要脚踏实地,着眼于问题的根本。
比如,2012年初12306网站故障事件以后,一些人开始在微博上呐喊,说为12306出谋划策,也有人想为12306做一个开源的网站,来解决它的大规模并发访问的问题。
大型网站架构模式
2.1.1 分层
分层是企业应用系统中最常见的一种架构模式,将系统在横向维度上切分成几个部分,每个部分负责一部分相对比较单一的职责,然后通过上层对下层的依赖和调用组成一个完整的系统。
分层结构在计算机世界中无处不在,网络的7层通信协议是一种分层结构;计算机硬件、操作系统、应用软件也可以看作是一种分层结构。在大型网站架构中也采用分层结构,将网站软件系统分为应用层、服务层、数据层,如表2.1所示。
表2.1 网站分层架构
应用层
负责具体业务和视图展示,如网站
首页及搜索输入和结果展示
服务层
为应用层提供服务支持,如用户管理
服务,购物车服务等
数据层
提供数据存储访问服务,如数据库、
缓存、文件、搜索引擎等
通过分层,可以更好地将一个庞大的软件系统切分成不同的部分,便于分工合作开发和维护;各层之间具有一定的独立性,只要维持调用接口不变,各层可以根据具体问题独立演化发展而不需要其他层必须做出相应调整。
但是分层架构也有一些挑战,就是必须合理规划层次边界和接口,在开发过程中,严格遵循分层架构的约束,禁止跨层次的调用(应用层直接调用数据层)及逆向调用(数据层调用服务层,或者服务层调用应用层)。
在实践中,大的分层结构内部还可以继续分层,如应用层可以再细分为视图层(美工负责)和业务逻辑层(工程师负责);服务层也可以细分为数据接口层(适配各种输入和输出的数据格式)和逻辑处理层。
分层架构是逻辑上的,在物理部署上,三层结构可以部署在同一个物理机器上,但是随着网站业务的发展,必然需要对已经分层的模块分离部署,即三层结构分别部署在不同的服务器上,使网站拥有更多的计算资源以应对越来越多的用户访问。
所以虽然分层架构模式最初的目的是规划软件清晰的逻辑结构便于开发维护,但在网站的发展过程中,分层结构对网站支持高并发向分布式方向发展至关重要。因此在网站规模还很小的时候就应该采用分层的架构,这样将来网站做大时才能有更好地应对。
适用于指导网站工程师、架构师进行网站技术架构设计,也可用于指导产品经理、项目经理、测试运维人员等了解网站技术架构的基础概念;还可供包括企业系统开发人员在内的各类软件开发从业人员借鉴,了解大型网站的解决方案和开发理念。
21 楼
lester015
2013-12-02
《智慧的分析洞察》
http://weilongquan.iteye.com/blog/1983372
写的非常好!支持!
http://weilongquan.iteye.com/blog/1983372
写的非常好!支持!
20 楼
shenguanghui
2013-12-01
《大型网站技术架构:核心原理与案例分析》偶读
http://shenguanghui.iteye.com/blog/1983555
http://shenguanghui.iteye.com/blog/1983555
19 楼
weilongquan
2013-11-30
18 楼
weilongquan
2013-11-30
《智慧的分析洞察》
http://weilongquan.iteye.com/blog/1983372
http://weilongquan.iteye.com/blog/1983372
17 楼
烈火
2013-11-29
16 楼
thickforest
2013-11-28
《SDN核心技术剖析和实战指南》读后感
http://thickforest.iteye.com/blog/1982648
http://thickforest.iteye.com/blog/1982648
15 楼
thickforest
2013-11-28
《SDN核心技术剖析和实战指南》读后感
http://thickforest.iteye.com/blog/1982648
http://thickforest.iteye.com/blog/1982648
14 楼
spaljay
2013-11-28
13 楼
lihao312
2013-11-28
http://lihao312.iteye.com/blog/1982306
《用AngularJS开发下一代Web应用》 有感
《用AngularJS开发下一代Web应用》 有感
12 楼
lizhicheng99
2013-11-28
读《了不起的Node.js 将JavaScript进行到底》后感
http://lizhicheng99.iteye.com/blog/1982284
http://lizhicheng99.iteye.com/blog/1982284
11 楼
chainhou
2013-11-27
了不起的Node.js,了不起的好书。
http://chainhou.iteye.com/blog/1981858
http://chainhou.iteye.com/blog/1981858
10 楼
willwen
2013-11-27
读《大型网站技术架构:核心原理与案例分析》 后感
http://willwen.iteye.com/blog/1980945
http://willwen.iteye.com/blog/1980945
9 楼
wzg1101
2013-11-27
读《大型网站技术架构:核心原理与案例分析》有感
http://wzg1101.iteye.com/blog/1981572
http://wzg1101.iteye.com/blog/1981572
发表评论
-
ITeye 3月技术图书有奖试读活动开始啦!
2016-03-01 15:30 6544为营造良好的技术氛 ... -
【征文】Hadoop十周年特别策划——我与Hadoop不得不说的故事
2016-02-26 16:28 36282016年是Hadoop的十周年生 ... -
ITeye11月技术图书有奖试读获奖名单公布
2015-12-03 11:15 2929ITeye携手博文视点举办的11月技术图书有奖试读活动已圆满结 ... -
ITeye11月技术图书有奖试读活动开始啦!--已结束
2015-10-30 11:44 4758为营造良好的技术氛 ... -
ITeye 8月技术图书有奖试读获奖名单公布
2015-09-09 11:41 3129ITeye携手博文视点举办的8月技术图书有奖试读活动已圆满结束 ... -
ITeye8月技术图书有奖试读活动开始啦!--已结束
2015-08-04 14:04 4518为营造良好的技术氛围,本月ITeye携手电子工业出版社博文 ... -
ITeye6月技术图书有奖试读活动开始啦!--获奖名单公布
2015-06-01 10:08 9129为营造良好的技术氛围,本月ITeye携手电子工业出版社博文 ... -
《像外行一样思考,像专家一样实践》有奖试读,大奖等你来拿!--获奖名单公布
2015-03-10 10:43 3434这是一本对所有人都 ... -
《京东技术解密》有奖试读获奖名单公布
2015-01-14 14:16 3046ITeye携手博文视点举办的12月技术图书有奖试读活动已圆满结 ... -
《京东技术解密》有奖试读,大奖等你来拿!--已结束
2014-12-10 11:14 9964京东高速的增长、闪电响应的供应链、庞大的团队规模等背后内幕 ... -
ITeye 9月技术图书有奖试读获奖名单公布
2014-11-04 15:48 1677ITeye携手博文视点举办的9月技术图书有奖试读活动已圆满 ... -
ITeye9月技术图书有奖试读活动开始啦!
2014-09-19 11:23 14939为营造良好的技术氛围 ... -
ITeye 8月技术图书有奖试读获奖名单公布
2014-09-18 14:53 5899ITeye携手博文视点举办的8月技术图书有奖试读活动已圆满结束 ... -
ITeye 8月技术图书有奖试读活动——已结束
2014-08-12 13:35 12878为营造良好的技术氛围,本月ITeye携手电子工业出版社博文视 ... -
ITeye 7月技术图书有奖试读获奖名单公布
2014-08-08 16:58 3386ITeye携手人民邮电出版社图灵教育共同举办的7月技术图书有奖 ... -
ITeye 7月技术图书有奖试读活动——已结束
2014-07-16 14:47 13282【更新】获奖名单:http://webmaster.iteye ... -
ITeye 6月技术图书有奖试读获奖名单公布
2014-07-08 13:21 1965ITeye携手电子工业出版社博文视点共同举办的6月技术图书有奖 ... -
ITeye 6月技术图书有奖试读活动——已结束
2014-06-09 13:09 15944为营造良好的技术氛围,ITeye携手电子工业出版社博文视点共同 ... -
ITeye 4月技术图书有奖试读获奖名单公布
2014-04-25 16:59 3156ITeye携手电子工业出版社博文视点共同举办的4月技术图书有奖 ... -
ITeye 4月技术图书有奖试读活动——已结束(评奖阶段)
2014-04-03 13:40 114524月ITeye技术图书有奖试 ...
相关推荐
批判性思维要求我们能够客观评价图书、杂志、网站等来源的信息,通过提出关键问题来帮助我们判断信息的可信度和相关性。 #### 2. 从不同角度考察信息 在听取不同意见时,如医生、立法委员、建筑师等专业人士的观点...
标题中的“ITeye 5月技术图书有奖试读活动 图书券兑奖说明”表明这是一个与IT领域相关的活动,可能是一个在线平台如ITeye举办的技术图书试读竞赛,获胜者将获得图书券作为奖励。然而,由于描述为空,我们无法获取...
本书《跨终端Web》由徐凯所著,由电子工业出版社在2014年6月出版。本书聚焦于解决移动互联网时代,跨终端Web应用开发面临的挑战,即移动设备的碎片化问题。随着智能手机和平板电脑等移动设备的普及,开发者们需要在...