虽然我是肯定不会信的,但是家里的长辈就不一定了。 更有意思的是,下滑页面你会看到显示的是酷狗的域名。
前几天看到Barry Schwartz的一篇帖子,记录了SEO人员和Google内部人员关于子域名和子目录哪个更有利于SEO的争论,挺有意思的,这里介绍一下。倒不是这个问题有多大SEO价值,而是争论双方角色变化与观点、说法变化挺有意思。
上次介绍了一个公司的站点可能由各个独立在不同服务器上的服务组成,所以我们需要想尽办法找到更多的域名。
该篇Writeup讲述的是作者发现Google Tez网站的一个DOM based XSS漏洞,从而收获$3133.7奖励的经历,漏洞非常非常简单,我们一起来看看。
从杜郎这里看到了免费的gay域名。说实话,这个域名后缀真的蛮有意思的,当然如果全部放开的话可以申请一些比较有意思的域名,比如,is、isnot、iam、ur之类的。我的性观念是全包容的哈,不存在性别歧视,恋爱歧视。
本文是在工作过程中讲Zeppelin启用https过程和Hack内核以满足客户需求的记录。 原因是这客户很有意思,该客户中国分公司的人为了验证内网安全性,从国外找了一个渗透测试小组对Zeppelin和其他产品进行黑客测试,结果发现Zeppelin主要俩问题,一个是在内网没用https,一个是zeppelin里面可以执行shell命令和python语句。其实这不算大问题,zeppelin本来就是干这个用的。但是渗透小组不了解zeppelin是做什么的,认为即使在内网里,执行shell命令能查看操作系统的一些
最近发现小程序的云开发有些限制我的发挥了,毕竟云开发的资源针对的是单个小程序,后端的数据就像一座座孤岛。
当我看到 Kevin Rose 的最新网站的域名,Pownce.com,我想可能我也应该去给自己买个短些即使有点怪的域名。
由于中国网民记忆和输入习惯,拼音域名在国内非常吃香!最近三拼米也是爆发出了强劲的增值潜力,高价结拍或交易的案例一个接一个。这不,一枚三拼域名tongjiaosuo.com也以18888元一口价被秒了。
《顶级域名O.com流向市场,不知花落谁家?》文章摘要:威瑞信计划拍卖单字母域名O.com,得标者可持有五年时间,续费需支付该出价的5%。此次拍卖的钱将捐赠给以互联网为中心的非营利性机构。域名O.com可对应一切以字母“O”开头的品牌,搭建官网不仅给品牌带来不错的宣传效果,也能带来不少流量。
在最早注册的10个2数字.com数字域名中,比较有意思的是42.com (opens new window),访问该域名只能看到一句话:
今天无意间发现Github上的go[1]代码仓库有一个很有意思的# issue 48886[2],这不知道是不是吃了Golang的一个瓜?
今晚无意发现Nginx官方出了一本Guide to Hight Performance的书,翻了一下,有一些蛮有意思的点。
很多时候访问目标资产IP响应多为:401、403、404、500,但是用域名请求却能返回正常的业务系统(禁止IP直接访问),因为这大多数都是需要绑定host才能正常请求访问的 (目前互联网公司基本的做法)(域名删除了A记录,但是反代的配置未更新),那么我们就可以通过收集到的目标的 域名 和 目标资产 的IP段组合起来,以 IP段+域名 的形式进行捆绑碰撞,就能发现很多有意思的东西。
国外的FireEye实验室有一套自动化系统,这套系统能够主动侦测最新注册的恶意域名。所谓的恶意域名,绝大部分都是伪装成很多人知道的常用域名,以此来达到“恶意”的目的。比如说伪装成苹果公司的域名——FireEye的这套系统最近就检测到了今年一季度注册的不少此类钓鱼域名。 这类域名的特色就是擅长伪装,跟合法域名“长得”很像。FireEye报道称,这些“伪苹果”域名针对的主要是中国和英国的苹果iCloud用户。虽说FireEye先前曾经追踪过不少类似的域名,但这次的情况比较独特:这些站点的恶意钓鱼内容是一样的,而
这是在学习过程中遇到的一个有意思的bug。我估计很少有人会遇到吧,因为即使工作中这种场景也会很少遇到。
在我们“洪声十问”的第一期《吴洪声对话易名中国CEO金小刚》,当被问到关于域名有意思的事情的时候,金小刚说:"曾经有一个朋友打算创业,一开始给公司买了域名,这个属于公司财产,后面业务做不下去了,公司倒了,域名却价值倍涨”。 互联网信息飞速发展的时代,域名是企业在互联网上建立所有服务的基础,同时域名具有唯一性。企业若想要在互联网上展示信息,须先注册域名,因此,一个好的域名,就是企业形象的重要构成部分。 不仅如此,正如金小刚所言,优质域名,往往还带有理财产品的属性,是一种稀缺的数字资产。尤其是白金域名(溢价域
对于特殊的路径,我比较喜欢收集,然后批量扫子域名,来获取到敏感信息,在之前的渗透里面,机缘巧合下,拿到了一次最贵的信息泄露的漏洞。
大家知道,访问网站的时候,会有一个域名解析的过程,客户端会先拿到网站的IP地址,然后通过IP地址来进行后续的HTTP通信。
作为一个软件开发者,你一定会对网络应用如何工作有一个完整的层次化的认知,同样这里也包括这些应用所用到的技术:像浏览器,HTTP,HTML,网络服务器,需求处理等等。
原文:http://igoro.com/archive/what-really-happens-when-you-navigate-to-a-url/
参考http://igoro.com/archive/what-really-happens-when-you-navigate-to-a-url/
背景:在我给别人发我的简书地址的时候以及在别的个人网站上写我的简书地址的时候就遇到了一个烦恼。。。 https://www.jianshu.com/u/643a6b684d57 这地址着实有点长啊~~,不美观,然后第一想法我把它映射到我之前买的阿里云域名下做二级域名就ok了,几秒后意识到由于前不久阿里域名续费太贵,我没续费。。。于是乎就想到用到了短连接 刚刚对短连接的思路探索了一下,其实很简单,给大家就介绍下得了。 当我们在浏览器里输入 http://v1wev.cn/kzf4C 时 DNS首先
大家好,今天我要分享的是一个影响20多个Uber子域名的XSS漏洞,该漏洞存在于uberinternal.com身份验证时向uber.onelogin.com的跳转过程中,漏洞最终获得了Uber官方$2500美金奖励。
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/xmt1139057136/article/details/91350114
2018年初,域名圈就频频传出域名终端的消息,尽管如此但还是有一小部分终端想要不花钱拿域名,现实当然没有这种好事。
由于redis-manager在导入现有redis时只能填写ip:port,而aws的elasticache提供的是域名方式(终端配置节点),所以你需要ping这个域名得到内网IP,把这个IP配置到导入流程中。
即使开了所谓的代理或者host文件,还是打不开,甚至一点动静都没有。但是过了一段时间又可以访问了。
从配网代码的回调里面看到,在配网成功后,会通过EsptouchActivity的TCP_SEND和UDP_SEND来尝试向设备投递信息,tcp端口是2003,udp是2002,投递的内容是邮件地址,也就是用户账号
利用第一个漏洞可以通过postMessage方式从facebook.com网站中发送跨域(cross-origin)消息,存在漏洞的路径会接收攻击者在请求参数中构造的控制内容,同时会以postMessage请求中提供的数据创建一个对象从而打开窗口。第二个漏洞与第一个漏洞相关,其影响为可以构造不安全的脚本形成XSS,或者基于接收数据通过Eventlistener方式提交表单。 漏洞:通过postMessage方式从facebook.com网站中发送跨域(cross-origin)消息 存在漏洞的路径为http
在上网冲浪时,我们在浏览器输入的都是网站的域名,而不是 Web 服务器的 IP 地址。
What’s the WebWorkers? 2008 年 W3C 制定出第一个 HTML5 草案中提出了工作线程(Web Worker)的概念,并且规范出 Web Worker 的三大主要特征:能够长时间运行(响应),理想的启动性能以及理想的内存消耗。Web Worker 允许开发人员编写能够长时间运行而不被用户所中断的后台程序,去执行事务或者逻辑,并同时保证页面对用户的及时响应。 Web Workers类型有哪些? 专用线程(Dedicated Workers) 由主线程创建,并且只能和主线程通信。
首先,我用来测试子域名漏洞的工具是Aquatone(洛克希德U2侦察机代号也叫这个),这个工具非常好用,可算是众多白帽的必备利器了。非常幸运的是,我不经意地用它来测试目标,就有了发现,真像是中了头奖!
尾随点是DNS定义必要的一个知识点,它代表了一个域名的绝对路径。在 DNS 层次结构中,根域(root domain)被表示为一个空字符串。因此,一个完全合格的域名(FQDN)如 www.example.com 在技术上应该写作 www.example.com.,其中末尾的点代表了根域,每个点儿前边的部分都是域名的一个级别,比如下图中的域名www.hk314.top.,根域为空,其他依次降级:
在该Writeup中,作者通过子域名枚举、文件枚举和代码审计方式,成功构造了有效的服务端请求,实现了Facebook某网站的SSRF(服务端请求伪造),可通过该方式探测收集Facebook网站内部信息,漏洞收获了Facebook官方奖励的$10000。以下是作者的漏洞发现过程,非常简单。 子域名枚举 通过对Facebook网站大量的子域名测试枚举,我发现了其中一个子域名网站-phishme.thefacebook.com,它的主页响应为403: 在我的另一篇漏洞Writeup中,我就曾通过这种403响应发
首先,第二题直接放弃了,算法对我来说很掉头发的,果断放弃了。毕竟现在不是答题时间了,下面的分析如有错误还请各位留言扶正,谢谢!
说明: 1. 开发板Web服务器的设计可以看我们之前发布的史诗级网络教程:链接。 2. 需要复杂些的Web设计模板,可以使用我们V6开发板发布的综合Demo:链接。 3. 教程中使用的是花生壳免费版,免费版仅支持电信用户,每个月1GB的流量,实际测试几天,稳定性还行。收费版没有这些限制。 4. 现在已经用了快两年的花生壳收费版,比较稳定,基本没有死机现象。 5. 不管是免费版本的花生壳还是收费版的,有时候会提示需要实名认证,可以不用管。现在还没有强制必须执行。如果长期使用的话,建议做一下认证,认证过程也比较简单。 6. 注册了花生壳后会免费给一个域名,通过这个域名配合花生壳就可以实现内网透传了,无需公网IP,现在由于IPv4地址资源枯竭,运营商给客户的基本都是内网IP。 7. 利用花生壳,可以通过手机或者电脑很方便的访问开发板建立的Web服务器,从而可以做一些有意思的外网远程监控。 =================================== 专题教程下载:
面试的场景是越来越不一样了,第一次是正式在公司,第二次就是在边打游戏边面试,这次第三次面试就是下课走路上的面试,走路上的时候,学校还自带Bgm,中途还暂停了两次,说我要出示一下健康码哈哈哈,佛了
据Bleeping Computer消息,同性恋应用程序Sniffies近日被黑灰产们盯上了。他们通过推销各类诈骗和不安全的谷歌Chrome扩展程序的域名来诱骗用户。在某些情况下,这些非法域名会启动 Apple Music 应用程序,提示用户购买订阅,这反过来又会为攻击者赚取佣金。
前两天写了一篇小程序云开发高逼格玩法,准备开始正式进入实战阶段了,本篇文章基于腾讯云的服务来简单实现一个API接口「依赖云服务器、私有网络、云函数、API网关、云函数、云解析」
又好久没写blog啦。诶最近好懒啊。正好过年在家里有点空,写完我那些lib的patch之后还有一点时间写一下2016年的总结吧。
大千世界无奇不有,尤其是现在的互联网时代,赚钱的法子真是千方百计,只有你想不到没有别人做不到。
Telnet协议和SSH协议一样,都是用于远程主机工作,而SSH相比于Telnet,SSH更加的安全,提到ssh的安全,就得提一下他的两种级别的安全验证 第一种是使用 口令认证的验证,就是用你设置的密码来验证登录 第二种是使用密钥, ssh-key,这种方法需要自己在自己的机器创建一个密钥,然后将公钥放置在服务器,这样一来,你用SSH请求服务器连接的时候,SSH就会向服务器发送请求,请求与你的私钥配对,如果当前服务器公钥的话,那么就会发过来和你的私钥做比较,如果没问题,那么就连接了,Telnet就没那么多毛病,所以不安全
•五位及以上长度的 .eth 域名注册,年费为5美金/年。 •四位长度的 .eth 域名注册,年费为160美金/年。 •三位长度的 .eth 域名注册,年费为640美金/年。
作为一个软件开发者,你一定会对网络应用如何工作有一个完整的层次化的认知,同样这里也包括这些应用所用到的技术:像浏览器,HTTP,HTML,网络服务器,需求处理等等。 本文将更深入的研究当你输入一个网址的时候,后台到底发生了一件件什么样的事~ 1. 首先嘛,你得在浏览器里输入要网址: 2. 浏览器查找域名的IP地址 导航的第一步是通过访问的域名找出其IP地址。DNS查找过程如下: * 浏览器缓存 – 浏览器会缓存DNS记录一段时间。 有趣的是,操作系统没有告诉浏览器储存DNS记录的时间,这样不同浏览器会
近期,我针对GitHub做了一些安全测试,特别对其不同的CSRF token进行了绕过测试,在此过程中,我顺带研究了urls生成的各种方法函数,希望从中发现用来创建token的相关方法,最后发现了其中的一个开放重定向漏洞,利用该漏洞可以成功劫持GitHub Gist账户。漏洞收获了$10,000的奖励。
今天分享的writeup是一个非常有意思的漏洞,作者在目标网站Tomcat Examples的遗留测试示例中,发现了Cookie Example示例页面显示了主站的所有Cookie信息,可通过其实现Cookie窃取,该漏洞最终收获了四位数$
领取专属 10元无门槛券
手把手带您无忧上云