新闻中心
首页 > 新闻中心 > 企业新闻 >

UPS电源冗余度多少为最好?

阅览:次       发布时间:2014-05-05
  UPS的基本作用是为负载提供高质量、不间断的电力输出。但遗憾的是作为一种电子设备,UPS本身没有容错能力。传统在线式UPS系统虽然实现了蓄能供电及旁路转换过程的不间断供电,但随着电力需求标准的提高,用户渴望得到更为安全的UPS系统,甚至希望电源系统在故障、维护和维修过程中,负载仍能够得到UPS的全天候保护。

  最初,用户通常选择串连热备份的冗余方式,从技术上要求比较低,参与串联的可以是普通单机,这种方案的缺点是设备老化程度不同、冗余度高(≥100%),系统转换可靠度低,不能扩容。随后逐渐出现了1+1并联方案,这种冗余方案以100%设备冗余为代价,使系统拥有了一次容错能力;与单机及串连系统相比,可靠度得到了提高,但系统效率低下(不超过75%)。N+1多机并联技术的出现使系统冗余度第一次降到了100%以下,并有能力构成容错性超过一次的N+X系统。影响多机并联发展的因素主要是能够参与并机的UPS容量普遍偏大、价格较高,不太适合100KVA以下的中功率用户使用。功率单元容量适中是模块系统的突出特点,这使得容量不足100KVA的用户也有了享受N+1甚至N+X级别安全保护的机会。

  模块化系统在功率器件技术和制造工艺方面继承了UPS技术发展的成果;在系统架构方面,其以多机并联为基础,不仅实现了系统单元的热插拔,而且更好地处理了系统单元独立运作、相互协作和平稳转换的关系。传统多机并联,因参与并联UPS功率较大,成本较高,故很难应用于中功率段用户。由于模块功率适当,不仅使N+1或N+X解决方案对中功率段用户有了现实意义,而且统计数据表明,与传统多机并联不同,多数用户在实际使用当中,处于N+X级别的保护之下。N+X并联冗余模式构成当今最为可靠的供电解决方案,模块方案使N+X安全模式得以普遍应用。
  • 深圳市山特不间断电源有限公司
  •   版权所有 © 2017。 保留一切权利。
  • 联系我们  |  
  • 网站地图  |  
 
  • 主页
  • 高密劳保鞋
  • 多功能刀钳
  • 横财富心水论坛
  • 主页 > 高密劳保鞋 >

    何利用简单的配置错误拿下BBC新闻网

      发布时间:2018-01-24 08:05

      在这篇文章中,我将跟大家分享我的一次挖洞经验,希望大家能够喜欢,如果你有任何的疑问或者建议,请大家直接通过电子邮件与我联系(。:D

      接下来,我将跟大家描述我如何入侵了BBC的开发者门户网站,并控制了2500个API。需要提醒大家的是,这些API不仅覆盖了移动端应用程序以及BBC网站(包括uk以及的相关功能,而且还涉及到BBC无线广播电台的运作。

      我跟我的朋友Derp当时一起参与了一个漏洞奖励计划,我们的计划是找到一个目标并尝试实现子域名接管。也就是说,我们当时想尝试一下是否能够接管BBC的任意子域名。于是乎,我们首先使用了Ahmed Aboul-Ela (@aboul3la)的脚本(Sublist3r-【脚本下载地址】)来枚举出了bbc.co.uk的子域名。

      在Sublist3r脚本的帮助下,我们就可以轻松地枚举出目标域名的所有子域名了。Sublist3r的部分功能如下:它可以利用公开搜索引擎(例如Yahoo、Google和Bing等)以及第三方公开数据库(例如DNSdumpster、Virustotal和ThreatCrowd等)来进行资源搜索。得到了bbc.co.uk的子域名之后(大约730个),我便准备使用SubJack(一款采用Go语言开发的子域名接管工具)来分析这些子域名,但结果并不令人满意。于是接下来,我打算对这些子域名进行手动分析,并尝试找出其中存在的安全漏洞。

      我首先用我朋友Corben写的脚本(alive-host:一个简单的bash脚本,使用nmap来判断主机是否活跃)对子域名列表进行了一次扫描。这样不仅进一步缩小了活跃子域名的范围,而且还帮我省下了筛选无效子域名的时间。

      在浏览了一部分子域名之后,我发现了几个会以JSON格式输出错误信息的子域名。其中的一条错误信息如下所示:

      我对这条错误信息进行了分析之后,我发现他们使用了一款名叫APIgee的第三方API管理软件&分析预测工具,因此我感觉这里也许是我的入手点。

      接下来,我又对这些所有能够输出这类JSON错误信息的子域名进行了深入分析,但是扫描了半天我都没有在这些子域名中发现任何可以利用的安全漏洞。所以我最后打算对那些运行了API管理软件的子域名进行测试,我运行了大量的脚本,希望能够找到某些“猫腻”,但结果还是啥也没找到。于是,我只能回头想办法从之前的错误信息下手了:

      从这部分信息中可以发现,服务器似乎运行了代理来托管目录“/v1/”,但是并没有对其进行安装和配置。于是,我准备访问这个目录(“/v1/”)来看看它会显示什么内容。当我进入该目录之后,服务器返回了如下所示的数据:

      看来我拿到的貌似是某种登录凭证,于是我访问了APIGee并尝试使用我所得到的信息进行登录。你猜怎么着?我不仅成功登录进去了,而且我还是以管理员账号登录上去的,因此我将能够控制BBC所有的API,而这一切都是因为网站服务的错误配置(因为只设置了一个简单的代理)所导致的。由于管理员的输出,这一个小小的错误配置将会使数千名职工的全名、个人电子邮箱、员工ID、以及私人产品&应用面临严重的安全风险。

      其实说实话,我自己也觉得这个漏洞的发现纯靠运气,但我仍希望给大家提供一些挖洞方面的思路。由于BBC官方想掩盖这个漏洞,所以我在此就不跟大家讨论漏洞的披露过程了。