尊重用户隐私一直是我们在开发应用程序时应重视的问题。在当今移动互联网时代,手机号码作为个人重要信息之一,泄露可能导致隐私侵犯和骚扰问题。为了保护用户的手机号安全,我们可以借助Spring Boot框架提供的强大功能,实现手机号脱敏的有效保护,让通信更加安心无忧。
提供日常开发中的一些js处理数据的方法,包括对数据的过滤,以及对数据的验证等。也希望大家能留下你好用的方法~~ 数据过滤 手机号码隐藏中间4位 保留两位小数 每三位逗号隔开,后面补两位小数,多用于
网络安全的本质是攻防对抗,而某大型活动是以红蓝对抗的形式组织开展的活动,其目的是在红队与蓝队的对抗中提升网络安全。
HVV期间负责的有溯源这块的工作,整理一下用到的技巧。通常情况下,溯源需要获取到目标攻击者的一部分社会信息,比如手机号,邮箱,QQ号,微信号等,通过这些信息在互联网可以进一步追溯攻击者的更多暴露信息。方便进一步溯源。
实际的业务开发过程中,我们经常需要对用户的隐私数据进行脱敏处理,所谓脱敏处理其实就是将数据进行混淆隐藏,例如下图,将用户的手机号、地址等数据信息,采用*进行隐藏,以免泄露个人隐私信息。
有些甚至含有地理定位信息,从地理位置最新更新时间来看,有可能是2020年之后的最新数据,而非2016年泄露的老数据重新整合。
最近碰到了这样一个需求,提交标单的时候判断用户(国内)是否在输入框输入了正常的手机或者电话座机号码。 手机号码格式比较固定,无非是13x xxxx xxxx或者15x xxxx xxxx再或者18x xxxx xxxx的格式。座机就比较麻烦,比如长途区号变长(3位或者4位)电话号码变长(7位或者8位)有些还需要输入分机号。 通常可以看到解决这个复杂问题的解决方案是手机号和座机号分开。座机号拆分成三段,区号,电话号码+分机号。但是为了表单看起来清爽,设计的时候给了一个“万能”的输入框,给用户输入电话号码或者手
某次内部渗透测试的时候遇到登录处无图形验证码、频次等限制机制,这种是需要整改的,但是如果没挖到有效的漏洞可能就会被开发小哥哥挑战,让人整改也就没底气,遂进一步利用了下。
工信部《电信网编号计划2017版》规定:公众移动网电话号码为11位,物联网网号为13位。从理论上讲,11位数有1000亿个。
2.然后输入一个真实的验证码进行找回密码。再点击下一步的时候打开拦截包的功能。并点击下一步后把数据包发送到repeater 这个功能上,
正则表达式是编程语言处理字符串格式的一种逻辑式子,它利用若干保留字符定义了形形色色的匹配规则,从而通过一个式子来覆盖满足了上述规则的所有字符串。正则表达式的保留字符主要有:圆括号、方括号、花括号、竖线、横线、点号、加号、星号、反斜杆等等。
提到哈希表,稍微有点编程基础的人都会对其非常熟悉。哈希表一种键值对的数据结构。那么回到最开始的位置,如果要我们来实现一个哈希表的,我们会怎么实现。
国内的手机号有十一位数字,从数学的角度上来说,包含了10^11种可能。如果遍历这10^11个数据,通过QQ中手机号查找QQ号的接口来寻找,未免太过费时费力,根据网上查到的资料,同一个QQ号,在十分钟内只能进行30次查询(未验证)。因此,直接遍历的方法不现实。
2.根据手机号前四位,将取出来的数据分别放在以手机号前四位开头的文件中。如:1880502xxxx 放在文件1880里,1881502xxxx 放在1881里。这些文件统一放在A文件夹下。
接收到提测邮件后,安全测试人员首先对已知漏洞在测试环境进行验证。使用burp对登录接口进行枚举验证:
手机靓号正则 ABC+ = 1234或12345… AAAA+ = 1111或11111…
有时候我们在开发中会遇到这样一种情况,例如:显示手机号我们需要将中间4位遮挡掉,一般使用“*”号代替,或是显示身份证号码是为了保护个人信息也同样需要遮挡掉4位,故可用到下列方式、代码进行实现:
3、上机排查木马文件,找了好久没找到木马文件,一个个打开文件查看,终于找到了木马,哥斯拉的jsp木马
13.1点击更换图形验证码 (1)front/signup.html <input type="text" class="form-control" name="graph_captcha" placeholder="图形验证码"> <span class="input-group-addon03自然人信息收集流程思路(1)通过 IP 地址查询下载历史 首页就会默认显示出你的 IP 地址,以及通过这个 IP 地址你近期下载过那些东西。 地址: https://iknowwhatyoudownload.com/02自然人信息收集流程思路(1)通过 IP 地址查询下载历史 首页就会默认显示出你的 IP 地址,以及通过这个 IP 地址你近期下载过那些东西。 地址: https://iknowwhatyoudownload.com/04别被骗了,通过手机号码归属地轻松辨别诈骗电话手机号码归属地是指一个手机号码所属的地理位置。在中国,手机号码归属地通常是根据手机号码的前七位数字来确定的。这七位数字中,前三位代表运营商,后四位则代表地区码。04记一次社工骗子的过程前言:朋友是做营销,之前找人买了一个私人vx号,然后用了一段时间后被原主人找回了,朋友说那个号上有三百多个客户,所以他很生气...并向我求助。03自动化的攻击溯源之痛 :数据获取与关联的困惑自动化,快速准确地实现攻击溯源是网络空间防御体系向着智能化方向发展的重要基础。尽管学术界和工业界已经有了很多针对网络攻击溯源技术的研究,但是自动化攻击溯源本身却并没有取得实质性的突破。本文以真实的攻击溯源案例为基础,从数据获取和数据关联两个方面分析了自动化攻击溯源所面临的困难。01JS 活学活用正则表达式网上的帖子大多深浅不一,甚至有些前后矛盾,在下的文章都是学习过程中的总结,如果发现错误,欢迎留言指出~02个人信息「去标识化」就安全了吗?内容提要: 一、去个人标识化的数据就安全吗?二、具体有哪些针对隐私数据的攻击方法?1)链接攻击2)同质性攻击3)背景知识攻击三、那么,到底怎么样的数据才是安全的?1)K-匿名2)L-多样性四、怎么规避数据攻击第一,当然是要做好数据安全的评审啦!第二,对有问题的数据,要建议进行泛化处理第三、从 差分隐私 到 隐私计算 ---- 一、去标识化的数据就安全吗? 有一份10W人的体检数据,包括了个人的身份证号、手机号个人标识信息,以及身高、体重、血压、心率等健康指标。 首先先明确一个概念: 身份证号、手机号01SpringBoot 采用JsonSerializer和Aop 实现可控制的数据脱敏最近在写一个功能,对用户敏感的数据进行脱敏,在网上看一圈基本上都是全局范围的,我觉得应该更加灵活,在不同场景,不同业务下进行脱敏更加合适。01瑞吉外卖-移动端开发目前市面上有很多第三方提供的短信服务,这些第三方短信服务会和各个运营商(移动、联通、电信)对接,我们只需要注册成为会员并且按照提供的开发文档进行调用就可以发送短信。需要说明的是,这些短信服务一般都是收费服务。03搞一个短信验证码登录,难吗?1、构造手机验证码:使用random对象生成要求的随机数作为验证码,例如4位验证码:1000~9999之间随机数;02看我如何发现Facebook注册用户手机号码近期,曾通过链接重定向方法劫持川普Twitter的比利时黑客@securinti,发现了从Facebook查找注册用户手机号码的方法,我们一起来看看。以下是@securinti发表的博客: 上个月,我发现,通过Facebook可以轻而易举地获取到一些比利时名人和政治家的手机号码。目前,尽管这种方法貌似只对像比利时这样只有1120万人左右的小国家有效,但这种简单而有效的方法,却会让很多人的用户隐私受到影响。 当我把这个情况向Facebook的安全团队报告之后,却得到了一个失望的回复,他们竟然认为这根本不是一个010十大漏洞之逻辑漏洞在十大漏洞中,逻辑漏洞被称为“不安全的对象引用,和功能级访问控制缺失”。现如今,越权和逻辑漏洞占用比例比较高,包括任意查询用户信息,重置任意用户密码,验证码爆破等。02[PHP]使用preg_replace来转换手机号中间四位为* 或者进行复杂字符替换使用正则表达式可以非常方便的进行复杂的字符串的替换 例如常见需求 , 把手机号12323432342 中间四位换成* $telphone=preg_replace("/(\d{3})(\d+)(\d{01Springboot+redis实现手机短信验证功能spring initializr 地址:https://start.springboot.io01生活常识(一) 一个手机号能泄露这么多信息?(也就是说,严格意义上,我们的手机号码是13位。不是我说的,是原信产部文件里说的。事实上,我们打+86 139 0123 4567这样的号码也能打通,手机来电也显示13位)03vue H5 接入短信验证码3、为了防止手机短信的恶意点击,我们将用户手机号和验证码关联并加上验证码过期时间一起存入数据库03浅谈渗透江湖之细水柔情在渗透测试的江湖里,不只有getshell后在刀光剑影的内网中拿下域控的快意恩仇,更有侧重于业务逻辑的细水柔情。业务安全需要去细腻的考虑方方面面,更偏向于逻辑漏洞的一个思路挖掘。02有赞大数据平台安全建设实践在大数据平台建设初期,安全也许并不是被重点关注的一环。大数据平台的定位主要是服务数据开发人员,提高数据开发效率,提供便捷的开发流程,有效支持数仓建设。大数据平台的用户都是公司内部人员。数据本身的安全性已经由公司层面的网络及物理机房的隔离来得到保证。那么数据平台建设过程中,需要考虑哪些安全性方面的问题?01从SSO认证缺陷到任意用户登录漏洞最近在项目中碰到了app中SSO单点登录使用不当导致的任意用户登录漏洞,渗透过程中碰到不少JS加密处理,SIGN值生成,在与开发的对抗中还是觉得比较有意思,特此记录一下01米斯特白帽培训讲义 漏洞篇 逻辑漏洞我们收到的验证码是六位数。如果网站没有设置频率限制,或者最大尝试次数限制的话,那我们自然就会想到可以爆破它。05有个姑娘网恋奔现发现自己被人卖了,跟她见面的是另一个人。十多天前,我接到一条线索,原本以为是一件很普通的事,当我追查的时候发现和暗网有牵连,自己不但暴露了还被对方反查到真实身份。04逻辑漏洞之密码找回漏洞(semcms)1 首先尝试正常找回密码流程,选择不同的找回方式,记录所有数据包 2 分析数据包,找到敏感部分 3 分析后台找回机制所采用的验证手段 4 修改数据包验证推测03实战挖掘短信轰炸漏洞(Burp系列教程)本次教程来自YanXia,转载请注明作者信息,博客地址http://www.535yx.cn,感谢03大数据下的隐私攻防02:身份证号+手机号如何脱敏才有效?在这样的背景下,全球掀起了监管不断强化的数据安全的立法热潮。欧盟的GeneralData Protection Regulation (GDPR);美国的CaliforniaConsumer Privacy Act(CCPA);我国已实施的基础性法规《网络安全法》,其中一个章节单独对个人信息与数据安全给出了诸多原则性的规定与约束,且两部专门的法律《数据安全法》、《个人信息保护法》在加快立法与制定中。(《浅析数据安全与隐私保护之法规》)03算法09 五大查找之:哈希查找前面的几篇文章分别总结了:顺序查找、二分查找、索引查找、二叉排序树。这一篇文章要总结的是五大查找的最后一个:哈希查找(也称为散列查找)。提起哈希,我的第一印象就是java中的Hashtable类,它是由 key/value 的键值对组成的集合,它就是应用了哈希技术。 那什么是哈希查找呢?在弄清楚什么是哈希查找之前,我们要弄清楚哈希技术,哈希技术是在记录的存储位置和记录的 key 之间建立一个确定的映射 f(),使得每个 key 对应一个存储位置 f(key)。若查找集合中存在这个记录,则必定在 f(key)09SRC逻辑漏洞挖掘详解以及思路和技巧由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,统称为业务逻辑漏洞。常见的逻辑漏洞有交易支付、密码修改、密码找回、越权修改、越权查询、突破限制等,下图是简单的逻辑漏洞总结,在挖掘的过程中更多的时候需要脑洞大开:01夜曲编程Python入门课程Pro在python中, 没有隐式转换的概念,即 数字型与字符串型不能拼接。除了乘号的情况,代表打印字符串几次05渗透测试之攻破登录页面登陆界面最直接的就是密码爆破,上面说的那些漏洞我也说了,很难遇到!而对于爆破最重要的不是用的哪个工具,而是字典好不好,这里用的bp!01
(1)通过 IP 地址查询下载历史 首页就会默认显示出你的 IP 地址,以及通过这个 IP 地址你近期下载过那些东西。 地址: https://iknowwhatyoudownload.com/
手机号码归属地是指一个手机号码所属的地理位置。在中国,手机号码归属地通常是根据手机号码的前七位数字来确定的。这七位数字中,前三位代表运营商,后四位则代表地区码。
前言:朋友是做营销,之前找人买了一个私人vx号,然后用了一段时间后被原主人找回了,朋友说那个号上有三百多个客户,所以他很生气...并向我求助。
自动化,快速准确地实现攻击溯源是网络空间防御体系向着智能化方向发展的重要基础。尽管学术界和工业界已经有了很多针对网络攻击溯源技术的研究,但是自动化攻击溯源本身却并没有取得实质性的突破。本文以真实的攻击溯源案例为基础,从数据获取和数据关联两个方面分析了自动化攻击溯源所面临的困难。
网上的帖子大多深浅不一,甚至有些前后矛盾,在下的文章都是学习过程中的总结,如果发现错误,欢迎留言指出~
内容提要: 一、去个人标识化的数据就安全吗?二、具体有哪些针对隐私数据的攻击方法?1)链接攻击2)同质性攻击3)背景知识攻击三、那么,到底怎么样的数据才是安全的?1)K-匿名2)L-多样性四、怎么规避数据攻击第一,当然是要做好数据安全的评审啦!第二,对有问题的数据,要建议进行泛化处理第三、从 差分隐私 到 隐私计算 ---- 一、去标识化的数据就安全吗? 有一份10W人的体检数据,包括了个人的身份证号、手机号个人标识信息,以及身高、体重、血压、心率等健康指标。 首先先明确一个概念: 身份证号、手机号
最近在写一个功能,对用户敏感的数据进行脱敏,在网上看一圈基本上都是全局范围的,我觉得应该更加灵活,在不同场景,不同业务下进行脱敏更加合适。
目前市面上有很多第三方提供的短信服务,这些第三方短信服务会和各个运营商(移动、联通、电信)对接,我们只需要注册成为会员并且按照提供的开发文档进行调用就可以发送短信。需要说明的是,这些短信服务一般都是收费服务。
1、构造手机验证码:使用random对象生成要求的随机数作为验证码,例如4位验证码:1000~9999之间随机数;
近期,曾通过链接重定向方法劫持川普Twitter的比利时黑客@securinti,发现了从Facebook查找注册用户手机号码的方法,我们一起来看看。以下是@securinti发表的博客: 上个月,我发现,通过Facebook可以轻而易举地获取到一些比利时名人和政治家的手机号码。目前,尽管这种方法貌似只对像比利时这样只有1120万人左右的小国家有效,但这种简单而有效的方法,却会让很多人的用户隐私受到影响。 当我把这个情况向Facebook的安全团队报告之后,却得到了一个失望的回复,他们竟然认为这根本不是一个
在十大漏洞中,逻辑漏洞被称为“不安全的对象引用,和功能级访问控制缺失”。现如今,越权和逻辑漏洞占用比例比较高,包括任意查询用户信息,重置任意用户密码,验证码爆破等。
使用正则表达式可以非常方便的进行复杂的字符串的替换 例如常见需求 , 把手机号12323432342 中间四位换成* $telphone=preg_replace("/(\d{3})(\d+)(\d{
spring initializr 地址:https://start.springboot.io
(也就是说,严格意义上,我们的手机号码是13位。不是我说的,是原信产部文件里说的。事实上,我们打+86 139 0123 4567这样的号码也能打通,手机来电也显示13位)
3、为了防止手机短信的恶意点击,我们将用户手机号和验证码关联并加上验证码过期时间一起存入数据库
在渗透测试的江湖里,不只有getshell后在刀光剑影的内网中拿下域控的快意恩仇,更有侧重于业务逻辑的细水柔情。业务安全需要去细腻的考虑方方面面,更偏向于逻辑漏洞的一个思路挖掘。
在大数据平台建设初期,安全也许并不是被重点关注的一环。大数据平台的定位主要是服务数据开发人员,提高数据开发效率,提供便捷的开发流程,有效支持数仓建设。大数据平台的用户都是公司内部人员。数据本身的安全性已经由公司层面的网络及物理机房的隔离来得到保证。那么数据平台建设过程中,需要考虑哪些安全性方面的问题?
最近在项目中碰到了app中SSO单点登录使用不当导致的任意用户登录漏洞,渗透过程中碰到不少JS加密处理,SIGN值生成,在与开发的对抗中还是觉得比较有意思,特此记录一下
我们收到的验证码是六位数。如果网站没有设置频率限制,或者最大尝试次数限制的话,那我们自然就会想到可以爆破它。
十多天前,我接到一条线索,原本以为是一件很普通的事,当我追查的时候发现和暗网有牵连,自己不但暴露了还被对方反查到真实身份。
1 首先尝试正常找回密码流程,选择不同的找回方式,记录所有数据包 2 分析数据包,找到敏感部分 3 分析后台找回机制所采用的验证手段 4 修改数据包验证推测
本次教程来自YanXia,转载请注明作者信息,博客地址http://www.535yx.cn,感谢
在这样的背景下,全球掀起了监管不断强化的数据安全的立法热潮。欧盟的GeneralData Protection Regulation (GDPR);美国的CaliforniaConsumer Privacy Act(CCPA);我国已实施的基础性法规《网络安全法》,其中一个章节单独对个人信息与数据安全给出了诸多原则性的规定与约束,且两部专门的法律《数据安全法》、《个人信息保护法》在加快立法与制定中。(《浅析数据安全与隐私保护之法规》)
前面的几篇文章分别总结了:顺序查找、二分查找、索引查找、二叉排序树。这一篇文章要总结的是五大查找的最后一个:哈希查找(也称为散列查找)。提起哈希,我的第一印象就是java中的Hashtable类,它是由 key/value 的键值对组成的集合,它就是应用了哈希技术。 那什么是哈希查找呢?在弄清楚什么是哈希查找之前,我们要弄清楚哈希技术,哈希技术是在记录的存储位置和记录的 key 之间建立一个确定的映射 f(),使得每个 key 对应一个存储位置 f(key)。若查找集合中存在这个记录,则必定在 f(key)
由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,统称为业务逻辑漏洞。常见的逻辑漏洞有交易支付、密码修改、密码找回、越权修改、越权查询、突破限制等,下图是简单的逻辑漏洞总结,在挖掘的过程中更多的时候需要脑洞大开:
在python中, 没有隐式转换的概念,即 数字型与字符串型不能拼接。除了乘号的情况,代表打印字符串几次
登陆界面最直接的就是密码爆破,上面说的那些漏洞我也说了,很难遇到!而对于爆破最重要的不是用的哪个工具,而是字典好不好,这里用的bp!
领取专属 10元无门槛券
手把手带您无忧上云