首页
学习
活动
专区
工具
TVP
发布

FreeBuf

专栏作者
8086
文章
9121781
阅读量
349
订阅数
信息收集之利用Python批量判断CDN
 简介  在平时的安全测试中,信息收集是非常重要的一部分,信息收集之前少不了最重要的一步,就是判断网站是否使用了CDN。在测试过程中,如果目标使用了CDN 服务,将会影响到后续的安全测试过程。  方法  判断CDN的方法有很多种,在这里主要来讲解用nslookup判断并实现批量判断的目的。 使用nslookup,如果目标有CDN服务的话,那么将会返回多个IP地址(>=2个)。 nsllokup www.xxxx.com 可以清楚的看到该域名返回了两个地址,可以判断该域名使用了CDN服务。 我们的目的就是用
FB客服
2023-03-30
6120
Web渗透测试中我们该收集什么信息?
本章主要介绍的是渗透测试前期准备工作-信息收集,将从IP资源,域名发现,服务器信息收集,网站关键信息识别,社会工程学几个方面谈谈如何最大化收集信息。
FB客服
2021-12-31
1.3K0
隐藏源IP,提高溯源难度的几种方案
原因一:保护个人隐私是是第一出发点;科技进步飞快,网络也渗透入生活中的方方面面,近几年的隐私泄露事故时有发生,我们该如何保护个人隐私?
FB客服
2021-07-02
3.3K0
“海盗船”正驶向发展中国家,揭秘真实的在线盗版网络
《JOLLY ROGER’S PATRONS》,这份报告向公众揭露了发展中国家在线盗版团伙的金融犯罪网络。
FB客服
2020-08-07
5530
Cobalt Strike折腾踩坑填坑记录
最近在做渗透测试相关的工作,因工作需要准备用Cobalt Strike,老早都知道这款神器,早几年也看过官方的视频教程,但英文水平太渣当时很多都没听懂,出于各种原因后来也没怎么深入了解,所以一直都是处在大概了解的层面上。直到现在有需求了才开始研究,过程中体会也是蛮深,技术这东西真的不能只停留在知道和了解这个层面,就像学一门语言一样需要多动手去实践才能熟练运用的。
FB客服
2020-03-31
1.3K0
记一次被DDoS敲诈的历程
背景是这样,一个朋友网站业务被DDoS了,先是威胁要800元RMB,然后又转成提供DDOS的服务,然后又变成了DoS培训, 又变成了卖DDoS软件,最后又变成了DDoS高防护提供者,最后到警察叔叔那里,报警立案成功的故事。
FB客服
2019-06-28
2.8K1
Facebook CDN系统中的文件下载漏洞
这篇Writeup分享的是Facebook CDN系统的文件下载漏洞,Facebook CDN平台中的文件名会被以某种加密方法进行编码,当发生请求调用或下载时则指向一个加密字符串作为代替,作者通过破解了这种加密方法,可以任意修改其中与文件名对应的加密串,从而实现CDN系统中文件下载。该漏洞影响Facebook多个公开和内部CDN文件托管平台,以下是相关分享。
FB客服
2019-06-18
1.4K0
新一代子域名爆破工具brutedns
一直相信不要重复造轮子这句话,但是如果可以造出来更好的轮子,我认为那就应该勇敢的去造。总结一下工具特点:人无我有,人有我优。 废话不多说,先说特性。 特性: 1.快,快的有点狠。爆破分为三种模式:low,medium和high。medium的速度在每秒500上下,high的速度在每秒800上下。本来想加一个变态模式,每秒1000+,看后期有需求会加上。(ps:单进程+单线程) 2.检测cdn,并且cdn列表不断更新,更有针对性。 3.C段,爆破完成后自动对非cdn的ip段进行排序,助力快速挖洞。 4.全,测
FB客服
2018-02-23
2.4K0
浅析大规模DDOS防御架构:应对T级攻防
本文作者:ayaz3ro DDOS分类 在讲防御之前简单介绍一下各类攻击,因为DDOS是一类攻击而并不是一种攻击,并且DDOS的防御是一个可以做到相对自动化但做不到绝对自动化的过程,很多演进的攻击方式自动化不一定能识别,还是需要进一步的专家肉眼判断。 网络层攻击 Syn-flood 利用TCP建立连接时3次握手的“漏洞”,通过原始套接字发送源地址虚假的SYN报文,使目标主机永远无法完成3次握手,占满了系统的协议栈队列,资源得不到释放,进而拒绝服务,是互联网中最主要的DDOS攻击形式之一。 网上有一些加固
FB客服
2018-02-06
2.3K0
左右互博:站在攻击者的角度来做防护
0x01、前言 习惯性的讲点废话,笔者是一名菜鸟安全工程师。有幸参与过两次安全方面的比赛,有些个人的体会,所以就有了这篇文章了。(自知技术还很菜,望各位大牛不喜勿喷,也欢迎对这方面感兴趣的同学来和我一起交流探讨。) ‍‍‍‍0x02、攻击者会怎么做?‍‍‍‍ 在做这几次防护的过程中,我一直在思考。我如果是攻击者,我会怎么来攻击?我会怎么去做? A、第一步,针对目标做信息收集(扩大目标) 子域信息、Whois信息、Ip信息、端口信息、公司人员的信息、公司邮箱信息等等,一切与目标相关的信息。 B、针对拿到的信息
FB客服
2018-02-05
1.4K0
OpenSSL心脏出血漏洞全回顾
近日网络安全界谈论的影响安全最大的问题就是Heartbleed漏洞,该漏洞是4月7号国外黑客曝光的。据Vox网站介绍,来自Codenomicon和谷歌安全部门的研究人员,发现OpenSSL的源代码中存在一个漏洞,可以让攻击者获得服务器上64K内存中的数据内容。该漏洞在国内被译为” OpenSSL心脏出血漏洞”,因其破坏性之大和影响的范围之广,堪称网络安全里程碑事件。 OpenSSL心脏出血漏洞的大概原理是OpenSSL在2年前引入了心跳(heartbeat)机制来维持TLS链接的长期存在,心跳机制是作为TL
FB客服
2018-02-02
2.1K0
没有更多了
社区活动
Python精品学习库
代码在线跑,知识轻松学
热点技术征文第五期
新风口Sora来袭,普通人该如何把握机会?
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
技术创作特训营·精选知识专栏
往期视频·干货材料·成员作品·最新动态
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档