-
新型 HTTP/2 Bomb 攻击曝光:单台机器 10 秒耗尽 32GB 内存,Apache、Nginx、IIS 均受影响
一种名为“HTTP/2 Bomb”的新型拒绝服务(DoS)攻击,被安全公司 Calif 借助 OpenAI 的 Codex 智能体发现。攻击者仅需一台普通机器,利用 100Mbps 带宽,就能在数秒到数十秒内拖垮配置了默认 HTTP/2 的 Web 服务器。受影响的软件包括 Nginx、Apache HTTP Server、微软 IIS、Envoy、Cloudflare Pingora 等主流产品…- 47
- 0
-
NGINX vs Apache:实际生产环境中分别适用于哪些场景?
在 Web 服务器选型时,NGINX 和 Apache 是最常见的两个选择。坊间常说“NGINX 处理高并发更强,Apache 模块更灵活”。但在真实生产环境中,它们各自的优势场景是什么?如何根据业务特点做出正确选择?本文从架构原理、性能对比、适用场景三个维度详细拆解,并告诉你如何通过百度云防护让两种服务器都更安全、更快速。 一、 核心架构差异:事件驱动 vs 进程/线程驱动 对比维度NGINXA…- 9
- 0
-
Apache HTTP Server 连曝 10 个高危漏洞:覆盖 2.4.66 及更早版本,官方敦促升级至 2.4.67
2026 年 5 月 26 日,国家信息安全漏洞共享平台(CNVD)集中发布了 Apache HTTP Server 的 10 个安全漏洞公告,涉及双重释放、安全绕过、堆/缓冲区溢出、越界读取、HTTP 响应拆分、资源分配无限制等多种高危缺陷。这些漏洞影响 Apache HTTP Server 2.4.66 及所有更早版本,攻击者可利用它们实现远程代码执行、信息泄露、拒绝服务乃至完全接管服务器。A…- 37
- 0
-
Apache HTTP Server 双重释放高危漏洞(CVE-2026-23918):未认证远程攻击可致 RCE,升级至 2.4.67
一个 CVSS 评分高达 8.8(高危) 的双重释放漏洞,潜伏在 Apache HTTP Server 的 HTTP/2 协议处理模块中。攻击者无需任何身份认证,仅需一条 TCP 连接和两个 HTTP/2 帧,就能触发 Apache 工作进程崩溃,并在特定系统环境下实现远程代码执行,完全控制服务器。该漏洞仅影响 Apache HTTP Server 2.4.66 单一版本,PoC 和技术细节已公开…- 103
- 0
-
NGINX vs Apache:高并发场景下谁更强?2026年实战选择指南
“NGINX 处理高并发更强,Apache 模块更灵活”——这句话你肯定听过。但在真实的生产环境中,两者的性能差距到底有多大?如何根据业务特点选择?本文从架构原理、并发模型、真实压测数据、优化策略四个维度,帮你彻底搞清楚。同时,无论你选哪种 Web 服务器,搭配 百度云防护 CDN/WAF 都能让高并发处理能力再上一个台阶。 一、 核心差异:一个“事件驱动”,一个“进程/线程驱动” 对比维度NGI…- 22
- 0
-
Apache OFBiz 连曝三个高危漏洞:SSRF、输入验证缺陷可致数据泄露,建议升级至 24.09.06 或部署百度云防护 WAF
2026 年 5 月 21 日,国家信息安全漏洞共享平台(CNVD)连续收录了 Apache OFBiz 的三个安全漏洞,涉及 服务端请求伪造(SSRF)、输入验证不当 等多种风险。攻击者可利用这些漏洞绕过访问控制、探测内网、窃取敏感信息。受影响版本为 Apache OFBiz < 24.09.06。官方已发布修复版本,在无法立即升级的情况下,部署 百度云防护 WAF 可通过网络层拦截恶意请…- 47
- 0
-
Apache MINA 反序列化高危漏洞(CVE-2026-42779):9.8分严重风险,远程攻击者可执行任意代码
一个CVSS评分高达9.8(严重)的反序列化漏洞,隐藏在Apache MINA网络框架中。攻击者无需任何身份认证,仅需向暴露的Apache MINA服务发送一个精心构造的恶意序列化对象,即可远程执行任意代码,完全控制服务器。该漏洞是此前CVE-2026-41635的不完整修复版本,影响所有2.1.0至2.1.11以及2.2.0至2.2.6版本。百度云防护WAF通过内置的反序列化攻击检测规则,可在网…- 10
- 0
-
Apache CouchDB 远程代码执行漏洞风险通告(CVE-2022-24706)
Apache CouchDB 官方发布安全通告,公告中修复了一个远程代码执行漏洞,漏洞编号CVE-2022-24706。可导致远程攻击者获得管理员权限等危害。为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。漏洞详情Apache CouchDB数据库,它类似于Redis,Cassandra和MongoDB,也是一个NoSQL数据库。…- 1.4k
- 0
-
使用CDN后获取用户真实IP详细教程
本章节介绍了不同类型的Web应用服务器(包括Tomcat、Apache、Nginx、IIS 6和IIS 7)如何获取客户端的真实IP。 背景信息 网站接入CDN加速后,源站服务器端从IP头部获取的用户访问IP不是客户端的真实IP。当您因为业务需要获取客户端真实IP时,可以通过配置网站服务器获取客户端的真实IP。 代理服务器(CDN、WAF等)在把用户的HTTP、WebSocket、WSS请求转到下…- 28.5b
- 0
-
Hadoop 管理工具 Apache Ambari 无人愿意开发即将退役
1 月 18 日消息,Apache Ambari 是一个基于 Web 的 Apache Hadoop 集群的供应、管理和监控工具,曾是 Apache Software Foundation 的顶级项目。 近日,Apache Ambari 的开发者之一 Jayush Luniya 提议将该项目的开发搁置,原因是大部分提交者和 PMC 成员没有积极参与该项目,过去两年来,只发布了&…- 908.8k
- 0
-
CISA发布Apache Log4j漏洞扫描器 可筛查易受攻击的应用实例
在 Log4shell 漏洞曝光之后,美国网络安全与基础设施局(CISA)一直在密切关注事态发展。除了敦促联邦机构在圣诞假期之前完成修补,国防部下属的该机构还发起了 #HackDHS 漏洞赏金计划。最新消息是,CISA 又推出了一款名叫“log4j-scanner”的漏洞扫描器,以帮助各机构筛查易受攻击的 web 服务。 截图(来自:GitHub) 据悉,作为 CISA 快速行动小组与开源社区团队…- 2k
- 0
-
Apache Log4j发布新版2.15.0 解决严重漏洞,为向后兼容,没移除旧功能导致
12 月 12 日消息,近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。 目前 Apache Log4j 2.15.0 正式版已发布,安全漏洞 CVE-2021-44228 已得到解决。 根据 Apache 软件基金会 Logging Services 的 PMC 成员 Volkan Yazıcı 的说法,本次的漏洞来自于一个旧功能,但为了保持向后兼…- 5.4k
- 0
-
Apache CVE-2021-40438 漏洞预警
漏洞详情地址 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-40438 漏洞影响版本 小于等于Apache2.4.48 发布时间 2021-9-23 0x01概要 漏洞名称 Apache 2.4.48 ssrf 漏洞 威胁等级 中危 漏洞类型 ssrf 发布日期 9月23日 受影响版本 小于等于Apache 2.4.48 利用条件 …- 38.9k
- 0
-
apache服务器开启百度云加速CDN后如何获取客户真实IP
之前有写过nginx设置真实用户IP的方法,今天我们来查下如何设置apache的,以主机吧宝塔面板为例: 进入软件商店,找到apache设置 配置修改找到,查到LogFormat "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-Agent}i\"" comb…- 49k
- 0
-
Apache软件基金会迎来22周年
作为一家在开源创新领域有着巨大影响力的非盈利组织,阿帕奇软件基金会(以下简称 ASF)刚刚迎来了该组织的22周岁生日。当地时间3月24日(本周三),350多个开源项目和计划的全职开发者们,在特拉华州威尔明顿市迎来了这个特殊的纪念时刻。 据悉,ASF 旗下拥有350+ 项目和37个面向向公众开放的孵化 Poddle,提供了100% 的免费使用、且不收取任何许可费用。 ASF 官方博客文章指出,这个在…- 2.9k
- 0
-
宝塔面板Apache性能调整配置详情
imeout : 请求的超时时间 KeepAliveTimeout : 长连接超时时间,默认5秒,打开长连接后则要达5秒后才会断开 MaxKeepAliveRequests : 长连接最大请求数量,默认100 ,即请求在5秒内达到100次请求后会断开 KeepAlive : 是否打开长连接,如果没有打开长连接,那么请求完成后连接就立即被服务器给断开了。打开长连接后则要达到默认超时时间15秒或者请求…- 30.6t
- 0
