作者 axuy Web应用信息隐藏 信息收集的前期工作,决定后期渗透工作的难易程度,而自己搭建网站时则需要隐藏自己服务器的信息,增加网站的安全性。...本文内容 屏蔽php网页报错信息 隐藏wordpress指纹信息 隐藏nginx版本信息 隐藏apache版本信 进行下列操作时 需对配置文件备份,若误操作网站可能无法运行。...1 Php 隐藏网页报错信息 网页报错信息可能会暴露你网站的绝对路径,web应用版本信息等敏感信息 修改php.ini 文件中 display_errors 将默认的on 改为off 隐藏报错信息 2...Wordpress 指纹信息隐藏 Wordpress版本信息容易被入侵者利用,寻找漏洞进行攻击。...wallalyzer不显示版本信息了 4 Apache版本信息隐藏 修改apache目录下/conf-enabled/security.conf文件 将ServerTokens 值改为Prod ServerSignature
会看到下面这样的界面: http://localhost:8080/not-exist 404 http://localhost:8080/([%5E 400 如遇安全扫描等场景希望不暴露 Tomcat 版本信息时...showReport="false" showServerInfo="false" /> 隐藏后效果如下
我们在注册一些免费域名或者使用多个域名的时候,经常会遇到域名指向的问题。域名指向有隐藏性和非隐藏性两种类型。...隐藏指向和非隐藏指向都可以将与名指向到客户指定的已经可以访问的网站,但是这两种指向方式还是存在不一样的地方。 域名指向有什么用?...例如您已经注册了yiqixue.net ,但是并没有使用这个域名建站,只希望这个域名指向到已经可以正常使用的一个网站的子目录,就可以使用域名指向的功能来实现。 域名隐藏指向和非隐藏指向有何不同?...例如域名 www.yiqixue.net 要指向到已经可以访问的 http://www.hcm602.cn 使用域名隐藏操作的结果: 在IE地址栏输入: https://www.cmhello.com...使用域名非隐藏操作的结果: 在IE地址栏输入: https://www.cmhello.com 访问后,出现的内容是 http://www.hcm602.cn的内容,而且IE地址栏显示的也是http:/
提示:这样就完成了 打开图片正常显示 图片存储内存加大 修改为你添加的压缩格式 即可打开压缩包里的内容
所以为了减少一点——仅仅是一点的风险,我们可以隐藏Apache的配置 ?...此时刷新一下网页,发现Apache的版本信息已经被隐藏了 ?...当然,也可以通过修改源码,把Apache换个nginx的马甲,这样查看你版本信息的时候会误以为你用的是nginx,给攻击者额外增加一点难度。 至于如何改马甲,网上搜了几个教程,都没有成功。
因为封装一词已经被误用太久,所以使用「信息隐藏」能更简单的阐述清楚这个概念,这能避免受对「封装」先入为主的错误理解的影响。 信息隐藏, 顾名思义就是将信息给隐藏起来。 信息是什么?...在编程语言中, 信息包括变量、常量、语句、函数、类等等一切组成代码的元素, 信息隐藏的意义就是在高级别的代码元素层面上对低级别的代码元素进行隐藏。...类的作用就是将private成员给包裹起来,使之对于类外部不可见,这就是类的信息隐藏功能,而类的信息隐藏能力就是为大众所知的封装功能。...,是没有信息隐藏的能力的。...,因为它从某种角度显现出来的都是未经过信息隐藏的细节内容。
前言 每次渗透测试都需要对目标资产进行信息搜集,其中子域名信息是非常重要的一部分。在主域防御措施严密且无法直接拿下的情况下,可以先通过拿下子域名,然后再一步步靠近主域。...发现的子域名越多,意味着目标系统被渗透的可能性也越大。...DNS 域传送搜集 域传送(DNS zone transfer)漏洞是由于对 DNS 服务器的配置不当导致的信息泄露,通过该漏洞可以搜集更多的子域名信息。...方法一: 利用nmap检测域传送漏洞,如果存在漏洞将有大量域名信息显示。...SSL/TLS证书通常包含域名、子域名和电子邮件地址。因此SSL/TLS证书成为了攻击者的切入点。 查找一个域名证书的最简单方法是使用搜索引擎来收集计算机的CT日志,并让任何搜索引擎搜索它们。
本文部分节选于《web安全攻防渗透测试实战指南(第二版)》 域名信息收集 1.WHOIS查询 WHOIS是一个标准的互联网协议,可用于收集网络注册信息、注册域名﹑IP地址等信息。...使用全球WHOIS查询网站查询出的WHOIS信息明显比腾讯云的域名信息(WHOIS)查询网站显示的信息更全面,不仅列出了“ms08067.com”的注册信息,如域名ID、域名状态及网页主机IP地址等,还列出了注册局...是因为在收集目标主站域名信息时,通常会发现主站可以收集到的信息十分有限,这时就需要扩大信息收集的范围,即通过WHOIS查询获得注册当前域名的联系人及邮箱信息,再通过联系人和邮箱反查,查询当前联系人或邮箱下注册过的其他域名信息...常用的域名信息反查网站如下: 站长之家 微步在线 4.cn 西部数码 ViewDNS 子域名信息收集 子域名是指顶级域名下的域名。...图1-13 并不是所有的网站都会存在crossdomain和sitemap这两类文件,有的网站管理者会隐藏敏感文件或者干脆不用这两类文件进行跨域访问策略导向和网站信息导向,因此读者可以将这种方法作为一种辅助手段
1、隐藏nginx版本信息 在nginx.conf里面加server_tokens off;就可以隐藏版本号。...2、隐藏server信息 实现方案 : 需要重新编译nginx 进入解压出来的nginx 源码 目录(不是nginx的安装目录) vi src/http/ngx_http_header_filter_module.c...CRLF;static char ngx_http_server_full_string[] = "Server:X-Web " CRLF; 修改完后重新编译nginx,再看header里面Server信息变成了自定义的名字...,不再显示nginx信息了。
简介 dnsenum的目的是尽可能收集一个域的信息,它能够通过谷歌或者字典文件猜测可能存在的域名,以及对一个网段进行反向查询。...它可以查询网站的主机地址信息、域名服务器、mx record(函件交换记录),在域名服务器上执行axfr请求,通过谷歌脚本得到扩展域名信息(google hacking),提取自域名并查询,计算C类地址并执行...--noreverse 跳过反向查找操作(IP反查域名)。 --nocolor 禁用ANSIColor输出。 --private 在文件domain_ips.txt的末尾显示并保存私有ip。...Desktop] └─# dnsenum -enum baidu.com -o baidu.xml #将扫描结果保存到baidu.xml文件中 dnsenum VERSION:1.2.6 省略部分输出信息
Web地址:http://whois.chinaz.com/ | http://www.whois.net/ 软件参数:whois 常用命令:whois 域名 (重点看whois server和Referral
题目 给你一条个人信息字符串 S,它可能是一个 邮箱地址 ,也可能是一串 电话号码 。...我们将隐藏它的隐私信息,通过如下规则: 电子邮箱 定义名称 name 是长度大于等于 2 (length ≥ 2),并且只包含小写字母 a-z 和大写字母 A-Z 的字符串。...我们只暴露最后 4 个数字并隐藏所有其他数字。 本地号码是有格式的,并且如 "***-***-1111" 这样显示,这里的 1 表示暴露的数字。...为了隐藏有国际号码的电话号码,像 "+111 111 111 1111",我们以 "+***-***-***-1111" 的格式来显示。...最后,将提供的信息正确隐藏后返回。
un=xxx xxx替换成你想查的人的百度账号ID 懒得调用可直接使用上方功能查询 社工时要是苦苦找不到贴吧ID信息,不妨到他的回复翻一翻。说不定会有意想不到的收获。 原文由:社会工程学研究所
“ 隐藏表白技能” 你有想过一张图片所包含的信息吗?你有想过一张图片可以为你隐藏表达一些内容吗?你有想过图片的隐藏信息可以为你表达你想要说明的东西吗?以及你可以 用图片去表达你的爱意。...我们想做什么,我们想在图片上隐藏的表达我们的爱意,并且让对方必须通过某种方式才能获取到这些信息。 那问题就出现了,我们要如何去做。...黑客手段之一张照片就可能暴露你的基本信息 好了,有思路那就完美了,我们继续来看。 第二步:我们要如何才能做到信息的隐藏?...通过python我们已经可以获取到图片的隐藏信息,那我们能不能不能修改图片的exif信息呢?答案当然是能的,于是我们寻找到 piexif 这个模块可以帮助我们修改,exif的信息。...让你隐藏的表达你需要的内容。 02— 编写代码 知道如何实现,那我们来看如何实现这个需求。
Http中的Nginx版本信息 查看http请求的response里面的header我们会发现有server这个参数,它表示服务端使用的是什么web服务器。...很多网站不止返回了nginx而且还带了版本号,而像版本号这种东西完全没必要暴露给用户,我们可以通过设置server_tokens off隐藏掉版本号: PHP中的Nginx版本信息 即使把server_tokens...设为了off,也并不代表nginx的版本号是完全不可见的~ 通过上图我们可以看到虽然http返回的header里面已经没有了版本号,但是php里面还是可以获取到nginx的版本号的,如果要对PHP也隐藏掉版本号就需要修改...fastcgi_paramSERVER_SOFTWARE nginx/$nginx_version; 修改或者隐藏Nginx信息 如果我希望nginx也不显示呢?
在项目中,有时候一些信息不便完全显示,只需要显示部分信息。...现在提供一些隐藏敏感信息的操作方法,主要为对信息的截取操作: 1.指定左右字符数量,中间的*的个数和实际长度有关: /// /// 隐藏敏感信息...return sbText.ToString(); } 2.指定左右字符数量,中间的*的个数固定: /// /// 隐藏敏感信息...,默认左右各取1/3: /// /// 隐藏敏感信息 /// /// <param name="...email.LastIndexOf('@'); return HideSensitiveInfo(email, left, suffixLen, false); } 在一些<em>信息</em>的<em>隐藏</em>操作
二.域名信息收集 1.域名查询 域名系统 域名系统(英文:Domain Name System,缩写:DNS)是互联网的一项服务。...2.Whois查询 Whois是用来查询域名的IP以及所有者等信息的传输协议。简单说,Whois就是一个用来查询域名是否已经被注册,以及注册域名的相信的数据库(如域名所有人、域名注册商)。...每个域名或IP的Whois信息由对应的管理机构保存,例如以.com结尾的域名的Whois信息由.com运营商VeriSign管理,中国国家顶级域名.cn由CNNIC(中国互联网信息中心)管理。...通过Whois查询可以获得域名注册者邮箱地址等信息,一般情况下对于中小型网站域名注册者就是网站管理员,利用搜索引擎对Whois查询到的信息进行搜索,获取更多域名注册者的个人信息。...3.敏感目录信息 针对目标Web目录结构和敏感隐藏文件探测是非常重要的,在探测过程中很可能会探测到后台页面、上传页面、数据库文件,甚至是网站源代码文件等。
项目上线时需要切换生产环境配置信息,这些信息可以直接被保存在项目中吗?如果保存下来,不小心提交到仓库或被破解查看,生产环境岂不是裸奔?那么该如何解决?...2.方案 一般配置信息都保存在指定目录下,分为测试、开发以及生产。...然后在项目加载默认配置信息后,通过环境变量引入生产配置信息,从而覆盖掉无用配置,隐藏敏感信息。这样我们的生产信息既不在仓库内,也不在项目中,而是在服务器某个角落。...项目中的配置信息都是本地配置项,被人知道也无妨,保留后还能造成迷惑。...Elasticsearch 数据库集群信息,还可以保存私钥等敏感信息。
二、隐写术的原理 隐写术是一种将信息隐藏在其他媒体中的技术。通过使用特定的方法和技术,可以将信息编码成图像、文本或其他形式的媒体,而这些信息只有在特定的方式下才能被读取。...隐写术的基本原理是利用人类视觉、听觉或其他感官的局限性,将信息隐藏在不易察觉的地方。 三、隐写术的应用 军事和情报:隐写术在军事和情报领域有着广泛的应用。...特工可以利用隐写术将秘密信息隐藏在普通的照片、视频或音频文件中,以避免被敌方发现。 数字版权保护:艺术家和创作者可以使用隐写术将版权信息、作者标识等隐藏在数字作品中,以保护他们的权益。...例如,检查图像文件的元数据、视频的帧率等,可能会发现隐藏的信息。 隐写术检测工具:有一些专业的工具可以检测数字媒体中是否使用了隐写术。这些工具通常基于隐写术的原理,能够快速地找到隐藏的信息。...五、总结 隐写术是一种非常有趣且有用的技术,它让我们能够将信息隐藏在普通媒体中,实现秘密通信和保护知识产权等目的。然而,它也可能被用于非法活动,如恶意软件传播、身份盗窃等。
+前言 SubDomainizer是一款用于查找隐藏在页面的内联和引用Javascript文件中子域的工具。除此之外,它还可以为我们从这些JS文件中检索到S3 bucket,云端URL等等。...-h –help 显示帮助信息并退出。 -cop –cloudop 需要存储云服务结果的文件名。...使用示例 显示帮助信息: python3 SubDomainizer.py -h 查找给定单个URL的子域,S3 bucket和云端URL: python3 SubDomainizer.py -u http
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
