网络创立之初,所有的访问都是通过IP地址来实现的,因web等协议与应用的兴起,有了域名,再通过IP去访问一方面不太容易记,另一方面因负载、CDN等方面的原因,单纯使用IP地址访问会带来一些问题。因此域名产生了,通过域名访问,中间设备只认识IP,因此最终还是解析到相应的IP地址去访问。 这个用来解析的协议称作DNS,主要功能为将域名解析到相应的IP地址。 DNS的创造是网络大师的一大杰作,通过DNS广大网民可以通过域名来访问相应的网站。这样只需要记住域名就可以了,不需要记住繁琐的IP地址。如我们经常访问的ww
1. 概述 上段时间一直忙于处理大会安全保障与应急,借助公司云悉情报平台,发现并处置几十起网站被劫持的情况。对黑客SEO技术颇有感觉。正好这段时间有时间,把以前遇到比较有趣的案例和大家分享一下。里面很多技术其实早已被玩透,只是网上搜了一下并无太多这方面的介绍。所以在这里共享一下相关的案例,案例主要分享一下思路。 1.1 原理 网站劫持是一个相对古老的技术,主要是黑帽用来做SEO用。实现网站劫持如果以下步骤: 入侵相关网站 然后在网站中插入JS或修改其配置文件,增加相应的劫持代码。另外一般会加入判断条件,判
第一步:在Web服务器上加一条跳转命令,将所有客户端浏览器80端口的所有请求都跳转到web服务器首页,命令如下:
在爬取简单的页面则很轻松的可以抓取搞定,但是如今一个b***p项目(不透露),需要抓取的网站有比较强悍的反爬虫技术,我们也提高作战技术,汇总并逐步实现反爬虫技术。
有一些网页,内容优质,用户也可以正常访问,但是Baiduspider却无法正常访问并抓取,造成搜索结果覆盖率缺失,对百度搜索引擎对站点都是一种损失,百度把这种情况叫“抓取异常”。对于大量内容无法正常抓取的网站,百度搜索引擎会认为网站存在用户体验上的缺陷,并降低对网站的评价,在抓取、索引、排序上都会受到一定程度的负面影响,影响到网站从百度获取的流量。
前一段时间有关利用网页JS挖矿的新闻屡见不鲜,其手段为黑客入侵网站后将正常网站页面嵌入恶意挖矿脚本,用户通过浏览器访问这些站点时这些脚本会在后台执行并大量占用资源,电脑会变慢、卡顿,CPU 利用率甚至
通过反向代理再加上缓存,现在很容易就能把别人的站给镜像克隆,这样会造成你网站被搜索引擎判断重复内容而降权,这样对于原创站点真的很不公平,虽然可以通过查询对方网站IP,然后在服务器上禁止这个IP的方法来禁止,但是对可以经常更换IP的对方网站或者对方套了CDN,就比较难操作,其实还可以再综合下面做法:
给网站添加一些特殊页面,如aaabbb.html, 并使用脚本自动读取访问日志(看看哪些ip访问过这个页面),筛选出反代服务器的IP并屏蔽之。 (防御强度:2)
手机浏览器页面发起产品购买请求,调起微信支付,支付完成后返回购买页面展示支付结果。(手机浏览器->微信app->手机浏览器)
这两天回了家从感觉浏览器行为有些怪异,有些熟悉的网页无故出现了额外的竖直滚动条,有时候是两个,有时候甚至到了3个!我是用的是chrome浏览器,像现在wp后台添加文章的页面就是有3个竖直滚动条的。
中间人攻击(MITM)该攻击很早就成为了黑客常用的一种古老的攻击手段,并且一直到如今还具有极大的扩展空间,MITM攻击的使用是很广泛的,曾经猖獗一时的SMB会话劫持、DNS欺骗等技术都是典型的MITM攻击手段.在黑客技术越来越多的运用于以获取经济利益为目标的情况下时,MITM攻击成为对网银、网游、网上交易等最有威胁并且最具破坏性的一种攻击方式.
内网 IP 通常显现在 Web 应用程序/服务器所生成的错误消息中,或显现在 HTML/JavaScript 注释和部分页面跳转链接中。通过网站信息收集,发现其内网使用的 IP 地址(例如:内网 IP 地址段、IP 路由等等),可以帮助攻击者进行旨在渗透组织内部基础设施的网络层攻击。RFC 1918 规定了保留给私人网络使用的IP地址范围,这些地址不能在公共互联网上进行路由传输。内部 IP 定义为下列 IP 地址范围内:
这篇文章由“潇湘信安技术交流群”@嘞萌师傅投稿,@3h整理发布,记录的是他在无意中发现的一个新型钓鱼诈骗方式,从技术层面简单分析了下。
持久化对象 Kibana中可以查询到很多保存的对象,他们都存储在es中一个叫做.kibana的索引中。 搜索 存储在type为search中; 图表 存储在type为visualization中; 仪表板 存储在type为dashboard中; 每个plugins下的tab页都有一个对应的savedObject对象,比如 检索页对应的是savedSearch对象(discover/saved_searches/_saved_search.js) 图表页对应的是savedVisualization对象(vis
发现公众号上好像没什么代码审计的文章,于是便把之前自己的笔记拿过来给大家分享一下,这个cms基本已经被玩烂了,但是还是有一些学习意义的。
简单介绍一下HTTP劫持和DNS劫持的概念,也就是运营商通过某些方式篡改了用户正常访问的网页,插入广告或者其他一些杂七杂八的东西。 首先对运营商的劫持行为做一些分析,他们的目的无非就是赚钱
之前张戈博客全站启用了 https,并分享了相关经验心得。用了一段时间,问题还是不少,所以继续整上一篇文章,汇总一下网站启用 https 之后出现的问题以及解决办法。 在分享这些问题之前,我先分享一个国内支持 https 的 CDN,让个人博客也能无忧启用 https,而不暴露真实 IP。 我现在用的是腾讯云内测的支持 https 的 CDN,其他人也就暂时用不了。本以为国内基本就没有其他支持 https 的 CDN 了,结果晓庄等几个博主留言分享了一个支持 https 的 CDN——VeryCloud。
如今,混合开发似乎成为了主流。H5拥有跨平台的优势,却存在性能上的问题正好可以用搭建原生壳承载H5代码的方式去解决。 如何理解这种方式,就好像说Android原生代码封装外壳,内部包含H5代码作为核心内容。更细节一点,我们把引导页、登录页、首页等等与业务关联打不并且与用户交互较多的页面用原生去写,而业务页面,逻辑代码由H5处理,将他们结合就形成了混合开发的由原生壳承载的H5APP。 这么做有什么好处呢?组个例子,我们利用这种方式做好了一个Android原生APP,现在需要做一个IOS原生APP,我们可以直接简单搭建一个IOS壳,复用H5代码,完成IOS原生APP。同时我们需要在钉钉、微信小程序等等平台搭建,可以直接复用我们已有的H5代码。 而这样的搭建方式比纯H5搭建的APP的优势在于因为有原生壳的存在,可以自由的使用原生API。保证了交互上的流畅性。
github泄露到水坑攻击并利用CSRF Getshell组合入企业内网的案例 From ChaMd5安全团队核心成员 blueice 1. 突破点之Github信息泄漏 根据目标企业的一些信
Nginx 使用ngx_http_proxy_module来完成对后端服务的代理。
Nginx 和 Apache HTTP Server 都是业内流行的 web 服务器软件,但是相比 Apache HTTP Server,Nginx 更加轻量和高性能,所以在了解完 Apache HTTP Server 后,今天我们一起来进入 Nginx 的世界。
当有域名自动跳转(CNAME)到某一个指定 WEB 服务网站(单域名)的需求时,一般是在域名注册商那里添加 CNAME 解析就可以了,但是如果目标站点与多个其他站点服务部署在同一台服务器上,且站点服务是以域名区分(根据不同域名区分不同服务,但公用同一个IP和端口)的情况时,由于 CNAME 解析主要的作用只是映射出 CNAME 的目标域名的 IP 地址,本身不会做域名路由跳转,这样的话就不能正常跳转到指定域名的网站页面了,常见做法是给原域名搭建一个WEB网站服务,然后再通过这个WEB服务专门去做重定向跳转,但是仅仅为了一个页面跳转的功能就再搭建一个web服务的话,就有点太浪费成本了,有没有比较简便的方式呢?实际上我们可以利用免费的Github Pages服务来实现这个需求。
举个例子,我们有个域名:ab.com,服务器部署在2个机房:中国、美国;当前访问用户的IP为中国,DNS解析会返回一个中国的IP;换之是海外用户,DNS会返回海外地址,这样保证每次用户都可以就近访问,加快访问速度。
版权声明:原创不易,多多珍惜 https://blog.csdn.net/wonaixiaoshenshen/article/details/89080861
http://tech.sina.com.cn/it/2018-04-19/doc-ifzihnep8570976.shtml 原文链接在这
用谷歌调试工具中的手机模拟器模拟手机进行webapp的开发,与真机上的效果还是有些偏差,opera手机模拟器的效果亦不佳。有时在pc上开发出来的webapp效果良好,在部分真机上就出现了偏差,这时候就需要我们进行微调。 在pc上微调后发布到测试环境再在手机上看效果,开发很慢,效率很低。这时候就想着有一个可以在手机上调试的工具,可以随时更改参数随时看到手机上的效果,免去发布再测试、模糊估计参数不精准的麻烦,weinre就是一个这样的工具。 weinre可以在PC上远程调试手机上的
刚开始写这篇文章还是挺纠结的,因为网上搜索“从输入url到页面展示到底发生了什么”,你可以搜到一大堆的资料。而且面试这道题基本是必考题,二月份面试的时候,虽然知道这个过程发生了什么,不过当面试官一步步追问下去的,很多细节就不太清楚了。
地址:http://www.cnblogs.com/xianyulaodi/ 作者:咸鱼老弟
最近一大学同窗开了家自习室,需要一个自习室的预约微信小程序,又恰好手上没有什么代码项目在写,本着少一事不如多一事的原则,尝试了第一次的微信小程序开发。白天要上班,只能利用晚上时间编写,反正他也不着急开业,于是前前后后用了大概半个月的时间,故做记录。 刚开始写,确实没什么经验,不知从何下手,每当这时,当然是坚持一个原则,划重点,开源无国界(天下代码一大抄)。当然,不管哪种语言,初学者都是从看会别人的代码开始的。 在这里,我不说明具体的代码,也不分析具体的代码,只大概分析一下,一个自习室预约软件的需求。总的来说,两点,前端微信小程序和后台服务器。
可以通过修改default.conf文件去修改dirsearch的默认配置(默认文件拓展名,超时时间,wordlist所在目录等)
在经历了两次对Chrome Ext安全的深入研究之后,这期我们先把Chrome插件安全的问题放下来,这期我们将一个关于Chrome Ext的番外篇 – Zoomeye Tools.
上节我们实现了登陆功能,但是可惜用户表中没数据。所以这节我们讲如何注册用户。
前面的文章,已经介绍了Nginx的作用以及Nginx的安装,本篇文章我们来看几个实际的小例子,来对Nginx进一步加深了解。 (一)Nginx一些常用的配置介绍 (二)使用Nginx配置一个静态资源服务 使用nginx配置静态资源文件访问,非常简单,如第一步里面的html的首页访问,下面是一个网站,css,js,image等相关资源的静态访问配置: 上面这一段代码需要配置server里面,然后就可以访问/root/下面的静态资源,并且可以定义相关用户ip的可以访问。 除此之外,我们还可以对指定文件夹开启目录
在不弹出权限询问的情况下,浏览器可以获得你的哪些信息?除了常见的 IP、地理位置、系统和浏览器版本,其实还能获取本地 IP、CPU 平台、显卡型号、登录过的社交网站等等信息。 What every Browser knows about you 展示了浏览器知道的所有关于你的信息。本文就来一一解释下所使用的技术。
前言 本文将介绍如何在主页侧边栏添加当前访客信息,具体效果如下: 📷 教程链接:Hexo博客搭建 与 美化教程 | 卓越科技的Blog (zykj.js.org) 操作 注意:必须确保使用了Hexo tag 外挂标签的span的样式(👈点击跳转),否则显示的内容没有彩色样式。 1.在 themes\Butterfly\layout\includes\widget\ 下创建 card_ip.pug 文件,并写入以下内容: .card-widget.card-ip .card-content
前言 先从第一个登录页面的案例开始,写一个登陆案例的脚本示例,这里以禅道网站登录为例。 登录脚本 脚本实现功能: 输入用户名,断言输入框输入成功 输入密码,断言输入成功 点登陆按钮 断言1 判断页面重定向跳转到首页 断言2 判断页面包含某个文件 断言3 判断登录成功后,cookie存在 login_web.js脚本参考示例 /** * Created by dell on 2020/5/11. */ describe('登陆web网站案例', function() { beforeEach((
攻击者在入侵网站后,常常会通过恶意劫持流量来获取收益,从而实现流量变现。有一些黑帽劫持的手法堪称防不胜防,正常的访问行为很难发现异常。今天给大家分享一下常见的网站劫持手法和排查思路。
查看自己的网站是否被镜像 在搜索引擎中搜索自己网站的完整标题 语法:intitle 你的网站标题 JS跳转 <script type="text/javascript"> if (document.domain !== 'www.roaing.com'){ window.location.href='https://www.roaing.com'; } </script> 注:域名修改为自己的 屏蔽镜像站IP .htaccess文件,添加如下代码 Order Allow,De
1.《从 0 开始入门 Chrome Ext 安全(一) -- 了解一个 Chrome Ext》 2.《从 0 开始入门 Chrome Ext 安全(二) -- 安全的 Chrome Ext》
在昨天的工作中遇到了一个微信小程序上传代码过大的情况,在这里总结一下具体的解决步骤,首先介绍一下,技术栈是使用uniapp框架+HBuilderX的开发环境。
测试一个web网站的时候,通常需要先登录。要是每个脚本都写一次登录流程,太麻烦了,于是我们会想到写一个公共函数,这样每次去调用函数即可。 cypress 里面提供了一个 commands.js 可以自定义命令,如使用cy.login(user,password)就能调用了
我们公司内部用企业微信沟通,最近有个需求,一个应用在企业微信PC版打开时,要自动跳转到PC的默认浏览器。在开发过程中,我经历了几个坑,在这里记录一下,希望对你有所帮助。
昨天写了一篇使用cdn的教程,因为我也是第一次弄,出了不少的差错,今天重新写一篇。 本文参考 IOIOX博客 文章教程修改,已获得作者授权,如果有看不懂的地方请 查看原文 ;
上篇文章写到了一个亲自测试的demo,其中有一个地方讲到了“html字符实体”,这是上次xss成功需要知道的非常重要的一个小知识。不仅html字符实体,要继续学习xss需要了解很重要的一个知识就是编码。不然很多时候遇到各种对特殊字符的过滤可能就无能为力了。这篇文章就是要学习一下xss各种编码的知识,内容可能比较枯燥~~
“眼尖”的朋友,已经看到张戈博客已全面启用 https 了,当然这几天站点 502 也是常用的事情。不过到我写这篇文章为止,应该算是安定了下来。 自从百度推荐全站 https 以来,一直就想让博客跟上这个节奏。可惜,国内所有的免费 CDN 都不支持 https。所以要开启 https 势必要暴露网站真实 ip,按照现在张戈博客被攻击的节奏,估计一暴露就没有了安生的日子! 偶尔的心血来潮,百度了一把支持 https 的 CDN,打开了腾讯云的一个 Q&A: 1.3CDN 支持 https 吗? https
根据文章内容为读者提供摘要总结。
大家好,我是阿辰,今天教大家如何利用Flask框架结合ECharts,将采集的数据实现在线可视化效果(可以将可视化效果放到网页上,分享给其他小伙伴)
Hi~ o( ̄▽ ̄)ブ, 我偷偷回来了,你还在吗?最近在搞公众号和小程序的开发,需要进行公众号和小程序的用户互通。网上搜、问人,都说需要公众平台绑定公众号和小程序,拿到unionId才能互通,但根据我自己的实践(瞎搞),发现无需unionId就能实现互通。
领取专属 10元无门槛券
手把手带您无忧上云