十一刚刚上班发现公司的一个站点无法正常访问,因为开启了SSL,导致跳转到另外一个站点,这就不对了呀,然后开始折腾历程,首先更换SSL证书,可是无论怎么更换都是跳转到其他站点,起初是以为本地浏览器缓存,索性用其他电脑测试,问题依旧,干脆更换掉Let's的证书,使用阿里的免费证书,重新申请重新部署,然而并没有什么卵用,,,一时间陷入僵局。
本文首发于先知社区,地址 https://xz.aliyun.com/t/9177
微信客户端提供了部分Schemes供外部应用跳转进微信客户并执行相关操作,网上有网友总结了一批scheme,但是我试了一下,基本全部都失效了,不过weixin://dl/business/依然坚挺。类似这样的链接地址,可以直接跳转到微信内部,并打开某个网址
Step 1——在一两个月前,小黑通过Unicode钓鱼的方式盗取了很多币安账号(下称“肉鸡”)与相对应的API Key,并绑定了自己的自动交易程序(API Key可以理解为绑定自动交易程序所需的密码),以便后续操作。
http://www.baidu.com@10.10.10.10与http://10.10.10.10请求是相同的
单点登录:Single Sign On,简称SSO。用户只要登录一次,就可以访问所有相关信任应用的资源。企业里面用的会比较多,有很多内网平台,但是只要在一个系统登录就可以。
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成,由服务端发起请求的一个安全漏洞。SSRF是笔者比较喜欢的一个漏洞,因为它见证了攻防两端的对抗过程。本篇文章详细介绍了SSRF的原理,在不同语言中的危害及利用方式,常见的绕过手段,新的攻击手法以及修复方案。
微信域名防封是指通过技术手段来实现预付措施。一切说自己完全可以防封的那都是不可能的。一切说什么免死域名不会死的那也是吹牛逼的。我们要做的是让我们的推广域名寿命更长一点,成本更低一点,效果更好一点。
上面的第一种思路说白了就是在第二种思路的基础之上加上了域名伪造以及网站源码,第一种相较于第二种更加逼真,而且更加适合投入实战中使用,第二种对于有安全意识的人员来说已然不奏效,本篇文章将主要基于第二种思路进行一系列的演示~
目前国内做网站安全防护的公司比较少,因为需要实战的攻防经验以及安全从业经历,针对网站被黑客攻击以及被黑客篡改了数据库以及其他信息,或被植入了木马后门和跳转代码(从百度输入点击直接被跳转到其他网站),还有一些像服务器被DDOS攻击导致无法打开,都需要网站安全公司来解决。国内像Sinesafe,鹰盾安全,启明星辰,大树安全盾都是目前国内做的有实力的安全公司。
Burp Suite是一个集成化的渗透测试工具,它集合了多种渗透测试组件,使我们自动化地或手工地能更好的完成对web应用的渗透测试和攻击。在渗透测试中,我们使用Burp Suite将使得测试工作变得更加容易和方便,即使在不需要娴熟的技巧的情况下,只要我们熟悉Burp Suite的使用,也能使得渗透测试工作变得轻松和高效。
域名跳转 : 域名跳转就不多说了,几乎大家都知道,就是一个老的域名跳转到一个新的域名,例如当大家访问我的www.okay686.com的时候其实会自动跳转到www.okay686.cn。 <VirtualHost *:80> DocumentRoot "/data/wwwroot/test3.com" ServerName www.test3.com ServerAlias www.haha.com #<Directory /data/wwwroot/test3.com>
本次项目做到一个点赞功能,即分享出去一个页面给微信好友,微信好友点开并点赞,需要将点赞用户的微信昵称,微信头像以及微信openid,微信unionid(这个需要关注公众号才会有该字段)传给后端,记录点赞人的相关信息
据热心网友 @Zsedczy 反馈(滑稽)使用评论的时候的选填项url填写时如果包含 http(s):// 会导致链接跳转出错(valine会输出重复的 http(s):// url)
自从手机、电脑、平板等电子设备的普及,浏览网站的用户越来越多,包括购物、社交、生活、娱乐等,丰富用户的日常生活,然而,在这里面蕴含着巨大商机,许多企业纷纷瞄准机会,从线下转移到线上,也就是开始建立企业网站。那么建立网站之前做点什么呢?自然是考虑网站域名怎么买?如何选择网站域名?请跟随小编一起看下文。
大家都听说过黑客,知道他们的技术很牛,可以轻而易举就破坏一般的技术防护,让你的网站服务器瘫痪,他们会篡改数据进行非法活动,有些获取数据以后进行批量转卖,获取非法利益,还有些是以编写入侵系统为生,进行着违法的勾当,这个黑客产业链很强大,而且他们的技术都在不断的升级迭代,有时候他们会做到无声无息。
用户认证是在你打开网页的时候就需要进行认证,如果没有通过认证就不允许访问网页,和网站上的登录账户不一样。这样的做法虽然可以增加安全性,但是会导致用户体验很差,因为总是要你认证完了才能访问网页,也是挺麻烦的。不过这样的需求还是有可能会遇到的,因为有些网页需要比较高的安全保证,例如后台管理员登录的入口网页。
请注意,本文编写于 456 天前,最后修改于 358 天前,其中某些信息可能已经过时。
经过近3个月的努力,微慕团队对微慕小程序专业版进行了全面的功能完善和优化,虽然这次版本升级没有增加比较大的新功能,不过微慕团队在产品细节上下了很大的功夫,对于产品发展方向,微慕团队一直秉承一个产品理念:为用户创造价值。微慕小程序的核心功能都是围绕这个理念进行开发的,团队不追求堆砌大量无用的功能,也不想靠堆砌功能来吸引用户购买我们的产品,一个产品只有真正为用户创造了价值,才有长久的生命力。
在逛别人的博客的时候,发现了有一种叫go.php的东西,可以经过自己站点的网页再跳转出去,方便SEO优化。但是像Hexo这类静态博客,想要从源HTML修改链接难度有点大,这里我们采用JavaScript动态修改。
本篇讲解常见的几种跨域方案:JSONP、CORS、图像Ping、document.domain、window.name。
在这一篇文章中,我将会介绍如何给博客绑定你自己的域名。其实绑定域名本应该很简单的,但我当初在这上走了不少弯路,所以我觉得有必要用一篇文章专门写这个,以供大家借鉴。
第一步:克隆勾股OA到你本地(不使用git的用户,可以点击右上角打包zip下载,并解压上传代码即可)
笔者最近一直在开发京东app嵌入的h5项目和微信小程序商城项目,在此期间遇到很多坑。这篇文章主要是针对 h5| Hybrid | 微信小程序 三个方向来讲述我遇到的坑,以及详细讲解我是如何解决问题的。
互联网普及后,企业由于发展和宣传需要,都会建设自己企业的网站,但是建设一个网站费用问题是很模糊的概念。因为需求决定了价格。今天,小熊优化的小编就为大家说一说建设一个网站需要多少钱。
这个问题,开发人员在其本地开发环境复现不了,仅在我本机可以,因此,他们初步怀疑,这个是浏览器兼容性问题。开发人员经过一段时间排查,终究没找出问题所在。
最近作者发现了一个针对LastPass的钓鱼攻击,其允许攻击者窃取一个LastPass用户的邮箱、密码甚至二次验证的验证码,这就使得攻击者可以完全获取到用户存储在LastPass上的密码和文档。 这个对LastPass的钓鱼攻击被命名为“LostPass”,其利用代码可以在Github上面找到。 LostPass之所以能成功攻击。是因为LastPass在浏览器内显示的信息都可以被攻击者所伪造。而用户是无法找出伪造的LostPass消息和真正的有什么不同,因为它们本来就没有区别——它们拥有“像素级相似”的通知
面试的场景是越来越不一样了,第一次是正式在公司,第二次就是在边打游戏边面试,这次第三次面试就是下课走路上的面试,走路上的时候,学校还自带Bgm,中途还暂停了两次,说我要出示一下健康码哈哈哈,佛了
然后就遇到了一些配置上的问题,比如说https的设置啦,还有就是什么缓存配置、防盗链之类的。这段时间正好理顺了一下思路,记录一下。
利用反射型XSS二次注入绕过CSP form-action限制 0x01 简单介绍 CSP(Content-Security-Policy)是为了缓解XSS而存在的一种策略, 开发者可以设置一些规则来
幻想领域 哇塞,终于有一款属于自己的图床了. 幻想领域是使用 PHP 语言开发的一款轻量级的新浪图床系统. 它的诞生,并不是最终的解决方案,开发它的目的是为了方便自己使用. 项目主页 传送门 项目地址 传送门 系统介绍 在 幻想领域中, 图床图片全部托管在 新浪云, 每张图片都有多张不同级别的缩略图.这便是幻想领域的最大特色之一. 拥有较为完善的用户系统与管理员系统。管理员在后台拥有完全权限,对网站的一切基本配置 我的图库,将会罗列出用户自己所上传的所有图片,管理员则显示系统托管的所有图片.你可
不知不觉 nginx主题的文章写了60+篇,有最早的也有最近的,有些是记录安装配置,有些是记录问题解决方法,内容质量有深也有浅参差不齐,随着技术迭代有些文章已经过时了(例如Docker时代)不再符合当前的技术需求,而有些文章虽然久远但是仍有有意义(例如Nginx HA),所以有了梳理这些文章的想法,目标有两个吧,一是回顾下过去的文章巩固下知识点,二是去其糟粕留下精华将有价值的文章搬迁(搬砖)的微信公众号。
SSRF,Server-Side Request Forgery,服务端请求伪造,是一种由攻击者构造形成由服务器端发起请求的一个漏洞。一般情况下,SSRF 攻击的目标是从外网无法访问的内部系统。漏洞形成的原因大多是因为服务端提供了从其他服务器应用获取数据的功能且没有对目标地址作正确的过滤和限制 。
之前看到研究院的同学写了一篇关于今年 Blackhat 议题的分析https://mp.weixin.qq.com/s/GT3Wlu_2-Ycf_nhWz_z9Vw,对其中的原理比较感兴趣,再结合自己之前在审计 DiscuzQ 代码时发现的一个 HTTP/HTTPS 的无回显SSRF 点结合宝塔的 WAF 所依赖的 Memcache 形成一套完整的题目,也算是该种利用方式的复现环境了。
特地去知乎搜了一波,果然有各路大佬在分享源码,特地弄了一个进行源码审计,学习学习~
最近我们组要给负责的一个管理系统 A 集成另外一个系统 B,为了让用户使用更加便捷,避免多个系统重复登录,希望能够达到这样的效果——用户只需登录一次就能够在这两个系统中进行操作。很明显这就是单点登录(Single Sign-On)达到的效果,正好可以明目张胆的学一波单点登录知识。
使用命令行工具发送请求,一个 HTTP 请求客户端(实际上它也可以做 FTP/SCP/TELNET 协议的事情)。可类比于浏览器中的 fetch
一、找网站SQL注入点 在测试时后发现有一个信息查询框,就是下面这个图片显示的。一般信息查询框会和数据库存在交互。 我输入数字1,会正常提示木查询到相关信息。 那我们使用1’测试一下,发现不弹未查询到相关信息的提示框,也没有任何数据输出,大致判断这个点存在sql注入,并且不对输出报错信息。 大概猜测出SQL语句为 : select * from A where id ='$_POST['id']'; 没有对用户输入的数据做任何过滤。 构造一个闭合语句再次确认一些是否确认存在sql注入。 paylo
曾经作为一名想黑盒出CNVD的小白,我几乎看遍了所有公开的关于挖CNVD的文章与视频,什么CNVD收录条件啊,利用搜索引擎啊,刷弱口令啊,复现三例凑足十个案例啊......
Apache用户认证: vim /usr/local/apache2.4/conf/extra/httpd-vhosts.conf //把123.com那个虚拟主机编辑成如下内容 <Virtual
语句的意思是:IE8浏览器下,引入my.css文件。其他版本IE浏览器,if判断为flase,则不引入。
单点登录是支持用户使用统一帐号访问企业内多个系统的安全通信技术。 腾讯会议企业版为了方便用户登录,提供了sso登录供用户免费申请。腾讯会议使用sso单点登录的好处是:
一.引言 Neets视频网站及公众号的出现给广大追剧用户提供了优质的管理服务,用户可以在平台上搜索到众多资源。Neets收录了近2000条剧集条目,超过30000个视频链接,覆盖了包括美剧、日剧、韩剧、国产剧、动漫等在内的各种主流电视剧和部分热门电影。众多资源为其带来了巨大的流量,一些视频网站也凭借着流量开始加入各种垃圾营销广告,推广浏览器、色播软件、暗扣陷阱、赌博棋牌等应用。 二.视频网站推广 笔者选取了一个典型视频网站http://www.goudaitv.com,首先通过pc端查看,并没有显示广告信息
2)css、js、img等静态资源合并压缩(vue的项目有压缩css和js)
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
实时音视频
