很多计算机专业大学生经常和我交流:毕业设计没思路、不会做、论文不会写、太难了......
简单介绍一下HTTP劫持和DNS劫持的概念,也就是运营商通过某些方式篡改了用户正常访问的网页,插入广告或者其他一些杂七杂八的东西。 首先对运营商的劫持行为做一些分析,他们的目的无非就是赚钱
每个客户端都会有自己的 UA (userAgent)标识,可以用 JavaScript 获取客户端标识。
11月12日,据火绒安全实验室官网公告,近期发现中国联通官方网站的业务办理页面携带木马脚本,用于向用户推广色情APP和游戏,检测发现这些域名服务器均托管在境外。
本文从黑产攻击方式、木马恶意行为、监控及防御方案等角度对Lnkr木马进行分析,此类木马影响范围较广,攻击手法多样,但目前国内相关的资料却非常稀少,希望本文的实践经验和总结能对从事相关安全检测的同学有所帮助。
通过判断浏览器的 userAgent,用正则来判断手机是否是ios和Android客户端。代码如下:
2020年10月,美团安全运营平台发现流量中存在恶意JavaScript请求,信息安全部收到告警后立即开始应急处理,通过对网络环境、访问日志等进行排查,最终锁定恶意请求由Chrome浏览器安装恶意插件引起,该恶意JavaScript文件会窃取Cookie并强制用户跳转到恶意色情站点、推广链接等,结合美团威胁情报大数据,发现该插件与Lnkr Ad Injector木马特征吻合。
WebStorm 2022 for Mac被称为最好用的Web前端开发神器。WebStorm 新版对JavaScript,TypeScript和CSS支持更好,改进了Vue.js的体验,并为Jest集成增加了新功能。
先来了解一下什么是Taiko:“Taiko是一个免费的开源浏览器自动化工具,由ThoughtWorks开发。它是一个node的库,Taiko使用Chrome Devtools API,它是为测试现代web应用程序而构建的。”
在爬取简单的页面则很轻松的可以抓取搞定,但是如今一个b***p项目(不透露),需要抓取的网站有比较强悍的反爬虫技术,我们也提高作战技术,汇总并逐步实现反爬虫技术。
Service Workers 本质上是一种能在浏览器后台运行的独立线程,它能够在网页关闭后持续运行,能够拦截网络请求并根据网络是否可用来采取适当的动作、更新来自服务器的的资源,从而实现拦截和加工网络请求、消息推送、静默更新、事件同步等一系列功能,是 PWA 应用的核心技术之一。
无线钓鱼是一个广受关注但难以根治的热点安全话题。本文中,我将以攻击者视角揭露无线钓鱼攻击的技术原理,包括DNS劫持、Captive Portal、JS缓存投毒等有趣的攻击利用。随后将探讨企业该如何帮助员工应对无线钓鱼攻击。企业内做钓鱼热点防护就够了吗?如何进行有效的无线安全意识培训?使用VPN就能抗住所有攻击?员工在非信任无线网络中进行远程办公是不可避免的安全挑战,零信任产品带来了更多的解决思路。
WebStorm for Mac很多编程人员所使用的编辑器,满足前端人对于Mac上面前端编辑的需求,多种必要的功能让前端人员以更为良好的形式进行代码上面的编辑,WebStorm在功能上面绝对是非常的强大。
当我们使用鼠标完成某些工作时,Key Promoter X会提示对应的快捷键,方便我们更快地掌握IDEA的快捷键。
这是一个使用vue.js + mint-ui + .net core api的小说网站。
navigator对象有一个属性为userAgent,这是一个只读的字符串,声明了浏览器用于HTTP请求的用户代理头的值。所以我们可以通过判断navigator.userAgent里面是否包含某些值来判断。如下为userAgent的打印值。
近期,我们收到了许多店铺反馈,部分IOS终端的企业微信无法正常使用我们的录单系统,所有截图都是HTTP ERROR 500错误。为了解决这个问题,我们进行了深入的调查和测试,并最终找到了解决方案。
前言 本文只针对比较流行的跳转型暗链作为研究对象,其他类型的暗链暂时不做讨论。只对bypass进行讨论,不涉及检测工具的编写。本着不知功焉知防的思想,从绕过XSS过滤的角度对暗链检测提出一些新的idea。 跳转型暗链的一般模式 暗链模式一:见人说人话 如今很多的被植入暗链的网站都有一个奇怪的现象,就是通过地址直接访问不会跳转到非法网站,但是通过搜索引擎搜索关键字才会跳转到非法网站。 这种一般是通过JS的document.refere字段来实现的: HTTP Header referer这玩意主要是告诉人们
Sublime Text 是一款代码编辑器,其具有漂亮的界面和强大的功能,如:代码缩略图,Java、JavaScript、Python语言插件,代码段补充等并且Sublime Text 是一个跨平台的编辑器,同时支持Windows、Linux、Mac OS X等操作系统。
1. 概述 上段时间一直忙于处理大会安全保障与应急,借助公司云悉情报平台,发现并处置几十起网站被劫持的情况。对黑客SEO技术颇有感觉。正好这段时间有时间,把以前遇到比较有趣的案例和大家分享一下。里面很多技术其实早已被玩透,只是网上搜了一下并无太多这方面的介绍。所以在这里共享一下相关的案例,案例主要分享一下思路。 1.1 原理 网站劫持是一个相对古老的技术,主要是黑帽用来做SEO用。实现网站劫持如果以下步骤: 入侵相关网站 然后在网站中插入JS或修改其配置文件,增加相应的劫持代码。另外一般会加入判断条件,判
今天在项目中遇到一个问题,测试时发现使用 vue-router 的 this.$router.push 给 URL 添加参数,不能正常跳转。
JDK(Java Development Kit)是Java语言的软件开发工具包,主要用于移动设备、嵌入式设备上的Java应用程序。JDK是整个Java开发的核心,它包含了Java的运行环境,Java工具和Java基础的类库。
安装VS Code,开始vue的学习及编程,但是总是遇到各种各样的错误,控制台语法错误,格式错误。一股脑的袭来,感觉创建个项目怎么这个麻烦。这里就讲一下vue的安装及创建。
通过JS判断访问设备并跳转对应HTML页面 <script type="text/javascript"> if ((navigator.userAgent.match(/(iPhone|iPod|Android|ios|iPad)/i))) { window.location = "手机页面.html"; //移动端访问跳转页面 } else { window.location = "电脑页面.html"; //PC端访问跳转页面 } </sc
HarmonyOS是一款“面向未来”、面向全场景(移动办公、运动健康、社交通信、媒体娱乐等)的分布式操作系统。在传统的单设备系统能力的基础上,HarmonyOS提出了基于同一套系统能力、适配多种终端形态的分布式理念,能够支持多种终端设备。
由于移动设备的显示屏幕相对于桌面显示器来说小很多,在桌面显示器上能够正常显示的内容,到了移动设备中就不正常了。为了实现移动端和桌面端的相互跳转,我们可以通过JavaScript来判断当前的设备是否是移动设备,然后执行相应的代码。
工欲善其事,必先利其器。想要优雅且高效的编写代码,必须熟练使用一款前端开发工具。但前端开发工具数不胜数,像HBuilder、Sublime Text、WebStorm、Visual Studio Code……等等,其中VSCode以其轻量且强大的代码编辑功能和丰富的插件生态系统,独受前端工师的青睐。网上有很多vscode的配置以及使用博客,但都没有本篇那么详细且全面。
几个月后的今天,我发现了单位网站中某篇文章中提到的一个域名,被腾讯网址安全检测识别为「危险-网站含有违规内容」…
四、那么应该如何修改呢? 具体步骤如下: 1、查看package.js文件的scripts命令 2、打开webpack.dev.conf.js文件,找到publicPath: config.dev.assetsPublicPath,按Ctrl点击,跳转到index.js文件 3、其中dev是开发环境,build是构建版本,找到build下面的assetsPublicPath: ‘/’,然后修改为assetsPublicPath: ‘./’,即“/”前加点。 4、终端运行 npm run build 即可。
常见禁用开发者工具手段:https://blog.csdn.net/cplvfx/article/details/108518077
最近在写的应用需要实现打开微信的功能,对应原生来说这个很容易实现。 思路就是: * iOS需要找到对应App的URL Scheme,配置在项目中 * 检测是否能打开这个App * 打开App
前言 本系列是基于React Native版本号0.44.3写的。我们都知道,一个App不可能只有一个不变的界面,而是通过多个界面间的跳转来呈现不同的内容。那么这篇文章将介绍RN中的导航。 导航 什么是导航? 其本质就是视图之间的界面跳转,例如首页跳转到详情页。 在RN中有两个组件负责实现这样的效果,它们是: NavigatorIOS React Navigation 你可能在很多地方听说过Navigator,这个老组件会逐渐被React Navigation代替。笔者在最后也会讲解一下Navigator
在介绍Cordova之前,必须先提一下PhoneGap。PhoneGap 是Nitobi软件公司2008年推出的一个框架,旨在弥补web 和iOS 之间的不足,使得web 和 iPhone SDK 之间的交互更容易。后来又加入了Android SDK 和BlackBerry SDK,再然后又陆续加入了更多的平台。 但是在2011年,Nitobi公司被Adobe收购,PhoneGap也被提交到Apache Incubator。由于Adobe现在拥有PhoneGap商标,PhoneGap v2.0版产品就更名为Apache Cordova。 据说Cordova是Nitobi团队当时坐落的街道名称,用此名来纪念Nitobi团队的贡献。Apache Cordova是从PhoneGap中抽出的核心代码,是驱动PhoneGap的核心引擎。
本文介绍了腾讯在登录态隔离场景下,将传统的cookie替换为p_skey以及实现ptlogin登录态的方案。通过该方案,可以大幅降低XSS漏洞的影响,提高系统的安全性。同时,该方案也解决了跨域请求中cookie无法携带p_skey的问题。
目前腾讯的web业务都是共享skey作为登录态凭证,skey这个cookie打在*.qq.com一级域名下,被qzone.qq.com、mail.qq.com、t.qq.com等各web类业务共享。一旦某个业务出现xss漏洞,恶意脚本可能访问其他所有以skey为登录凭证的web业务的接口,例如广发微博,或者盗取用户邮件正文等私密信息;恶意脚本还能收集skey这个票据,然后伪造请求,达到窥探用户隐私或者发送广告的目的。登录态隔离,通过公司统一登录平台(ptlogin)下发业务私有的p_skey作为用户登录态凭证,不再让skey成为畅游qq各业务的通行证,有利于大幅降低xss漏洞的影响。
Xcode如何下载安装或更新呢?打开Mac机上的App Store,搜索Xcode,进行安装或者更新,注意观察下Xcode的更新日志,可以看到当前版本支持的IOS SDK版本。
路由react-router可以实现根组件自动挂载其他不同的子组件,今天写一个路由的配置首先打开github搜索react-router,看一下上面有写好的示例,照葫芦画瓢即可:
近日,火绒安全团队发现,新型病毒“VanFraud”正通过国内多家知名下载站的“高速下载器”大肆传播,日感染量最高可达10余万台。该病毒感染用户电脑后,会强行添加QQ好友,散播淫秽、赌博、诈骗等违法信息,还有劫持浏览器首页等侵害行为。经技术排查发现,在“2345软件大全”、“非凡软件站”等18家下载站内(详见下图)均可能被该病毒利用,近期在这些站点下载过软件的用户,都有可能被感染,建议大家尽快使用“火绒安全软件”及专杀工具,对电脑进行扫描查杀。
在组件中,有需要跳转页面,并且不让用户返回的情况,例如:支付、登录、注销等。请做一下修改:
最近在写一个覆盖公司产品全站页面性能测试的项目,随着代码量逐渐上升, 单纯的脚本执行的姿势,使维护成本上去了,代码散落各地,调用要打一大串。 所以直接搞成CLI改善使用体验和降低维护成本。
众所周知,Hexo 是一款免费开源的静态博客生成工具,使用它可以快速生成一个博客。但随着文章之类的东西增加,生成的速度也会逐渐变慢,如果你配置不够,那搞不好就要几小时才能生成,并且还有一个好处:
XRay是长亭科技洞鉴核心引擎中提取出的社区版漏洞扫描神器,属于一款功能十分强大的国产被动扫描工具,其应用范围涵括,Web通用漏洞扫描、被动代理扫描、社区POC集成……
我们都经常遇到这个情况,在 Web 项目目录结构划分得细致之后,从某个子组件引用公共模块时,如果使用准确的相对路径,路径可能会变得相当长:
但是 Navigator组件有比较大的局限性, 该组件通过启动一个新的 Hippy 实例实现,在 2.0 下实例之间可能无法互相通信,iOS 上也必须作为根节点包裹所有子组件,使用有很大限制。
Hippy (https://github.com/Tencent/Hippy) 是腾讯在2019年12月20日开源跨端框架。
劣势:需加载适配各个终端的各个资源,在不同终端通过响应式布局实现不同展现,部分交互效果需要在页面中做终端判断,代价较大,若图片资源为一套,部分图片在超高分辨率设备(例如iphone系列)下会失真,且在非wifi情况下即使加了延时加载也易出现加载慢的情况。
大家好┏ (ω)=,许久不见,一不小心断更就成为了一种习惯,因为最近掉React Native的坑里,无法自拔啊~(╯‵□′)╯︵┻━┻。 关于React Native是什么,各位可谷歌之,这里主要给大家安利下React Native,总结下一些从Android到React Native相关的概念和基础。来吧,互相伤害啊(˶‾᷄ ⁻̫ ‾᷅˵)。
大家好┏ (^ω^)=,许久不见,一不小心断更就成为了一种习惯,因为最近掉React Native的坑里,无法自拔啊~(╯‵□′)╯︵┻━┻。
领取专属 10元无门槛券
手把手带您无忧上云