首页
学习
技术分享
建站教程
值得一看
懒得分类
观影报告
优选文章
相册
日记
捐赠本站
恋爱小窝
足迹地图
更多
友情链接
简言随笔
关于本站
我要留言
推荐
用户中心
关键词搜索
搜索
标签搜索
建站教程
日记
懒得分类
技术分享
相册
技术教程
观影报告
优选文章
渗透案例
网络骗子
音乐推荐
值得一看
热门文章
1
五年草根站长经历
3,156 阅读
2
讲讲我和她的故事
1,504 阅读
3
羊了个羊刷榜教程
684 阅读
4
QQ发送语音包教程
571 阅读
5
盛世华诞,荣耀中华
562 阅读
6
高先生有话说
532 阅读
7
正在努力学习吉他
527 阅读
8
v2ray科学上网详细教程
489 阅读
9
站长亲身经历:个人博客网站被恶意DDOS攻击
455 阅读
高先生
累计撰写
126
篇文章
累计收到
209
条评论
首页
栏目
学习
技术分享
建站教程
值得一看
懒得分类
观影报告
优选文章
相册
日记
页面
捐赠本站
恋爱小窝
足迹地图
友情链接
简言随笔
关于本站
我要留言
推荐
用户中心
用户登录
登录
注册
高先生笔记
搜索到
27
篇与
技术分享
的结果
2023-01-19
点击劫持漏洞
1.前言点击劫持就是一种视觉上的欺骗手段,攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上,攻击者常常配合社工手段完成攻击。(一般能被劫持就是网站缺少X-FRAME-OPTIONS) 点击劫持一般在渗透测试中比较常见2.过程如何测试,有两种方法,今天就讲一种最简单常用的方式(burpsuite模块)在这里就用测过的一个站点做例子吧1)这是一个正常的站点 2)我们需要打开burpsuite,选择burp模块,再去选择一个点击劫持模块 3)复制payload,然后打开刚才的站点,选择开发者模式,把复制的payload粘贴到console模块 3.修复建议X-FRAME-OPTIONS是目前最可靠的方法。X-FRAME-OPTIONS是微软提出的一个http头,专门用来防御利用iframe嵌套的点击劫持攻击。并且在IE8、Firefox3.6、Chrome4以上的版本均能很好的支持。这个头有三个值:DENY:拒绝任何域加载SAMEORIGIN:允许同源域下加载ALLOW-FROM:可以定义允许frame加载的页面地址
2023年01月19日
26
0
0
2023-01-18
云注入完美去除(精准替换入口)
用算法助手可以发现云注入了的软件有DES ECB模式解密1.打开云注入样本,找到云注入的类2.可以在com.cloudinject.feature.App里看到如下内容,A的即为软件真实入口的密文,APP_iD的前8位即为密钥然后随便找个网站解密一下即可获得软件真实入口3.替换入口
2023年01月18日
22
0
0
2023-01-14
宝塔Linux面板配置网站允许跨域请求
跨域请求今天把项目放到服务器上,调试的时候出现“已阻止载入混合活动内容……”的报错 解决方法如下:避免在HTTPS页面中包含HTTP的内容。我们可以看看是不是从https提交内容到http的原因,如果是的话,把请求的URL改成https的就可以了。经排查,发现访问URL的时候确实是http的,将其改成https,不再报错了。已拦截跨源请求:同源策略禁止读取位于XXX 解决方法如下:宝塔设置跨域问题(Nginx环境添加允许跨域Header头)配置文件中添加以下代码并保存,add_header Access-Control-Allow-Origin * always; add_header Access-Control-Allow-Methods GET,POST,DELETE; add_header Access-Control-Allow-Header Content-Type,*;经最后测试已正常
2023年01月14日
40
0
3
2023-01-10
今天配置⽀付宝遇到的问题!
报错截图错误原因: 1.php版本低于5.5 2.把配置私钥的位置,填写成了支付宝公钥或者商户公钥导致。 如果大家做了上面操作还是报相同错欢迎在帖子下方追问
2023年01月10日
79
2
1
2022-12-16
网站被反诈中心DNS劫持该如何解决?
如果你的网站部分地区用户访问反馈访问不了,测试域名DNS被劫持到了127.0.0.1 或 0.0.0.0 可能是域名被墙了,或则被反诈中心拦截了,如果遇到该问题,需要检测单被运营商拦截还是也有被反诈中心拦截。【排查过程】可以把问题域名通过阿里云检测平台:阿里云网站运维检测平台 (aliyun.com) 进行ping检测,分析各个省份和运营商的DNS情况,如果出现解析记录为127.0.0.1、0.0.0.0、或则反诈中心的IP地址的话就说明域名被劫持了。如下图所示,即表示域名被劫持了需要检测的域名通过 https://www.110.cqqgsafe.com/ 进行检查,如果被反诈中心拦截的话,都会有联系电话,可以电话联系了解具体的原因。如下图,问题域名是被河北公安反诈中心拦截了。【解决方案】如果网站被墙或则是被反诈中心拦截了,域名不是非要不可的情况,建议更换新的域名,申诉过程扰心费力,且不好解除。域名价值非常高的话,可以尝试一下方案申请看看。情况一:域名被运营商localdns 劫持了未被反诈中心拦截localdns是由当地运营商维护的;您可以联系解析您域名异常的网络运营商反馈下当前问题情况。中国内地三大主要运营商投诉电话如下:移动用户,请拨打10086报障。电信用户,请拨打10000报障。联通用户,请拨打10010报障。也建议可拨打出问题地区的通管局电话咨询下具体情况,或者访问下面地址到工信部申诉一下,申诉对象选择:运营商 https://yhssglxt.miit.gov.cn/web/ 提高申诉的频率,加速运营商的解决。情况二:域名被运营商localdns 劫持了且被反诈中心拦截在确保域名有ICP备案的前提下,联系反诈中心域名申诉电话::010-67825170 或 010-67825169 进行申诉,会有民警联系你,需要写承诺书,进行申诉,有一定几率可以申诉成功,祝您好运!
2022年12月16日
138
0
0
2022-11-13
教你用wget来扒站
看到好看的前端想要克隆/扒/仿下来,学习学习,分享一个我常用网站扒皮命令wget,在linux下执行以下命令wget -r -p -np -k -P /zhuanjiao 网址 这个语句表示下载全站,等于把一个网站整个静态化到本地。解释一下参数-P 表示下载到哪个目录-r 表示递归下载-np 表示不下载旁站连接.-k 表示将下载的网页里的链接修改为本地链接.-p 获得所有显示网页所需的元素
2022年11月13日
142
2
0
2022-10-24
谨防“网络钓鱼”
近几天,老是在各种社交媒体(邮箱 QQ群 QQ空间 微博 微信)遇到一些钓鱼链接,也发现有许多人因此上钩,成了网络钓鱼的受害者之一。网络钓鱼是针对特定用户设置情景,诱使其点击链接或输入信息,从而盗取个人账号密码。如各种渠道(QQ聊天信息、QQ空间、假系统消息等)散布中奖、排名、免费送QQ靓号等虚假信息吸引用户眼球,并以丰厚的奖品为噱头吸引用户点击链接,进入到仿冒的腾讯公司中奖活动网zd页,要求用户输入QQ号码、密码、个人资料,并以此盗取QQ。 网络钓鱼属于社会工程学攻击,是一门欺诈的艺术,他利用人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害、盗取等危害手段,获取自身利益。准确来说网络钓鱼不攻击计算机,而是攻击使用计算机的人。所以,用户期望依靠科技公司避免风险的可靠性不大,毕竟谁也不能阻止你受骗,谁也不能阻止你把 密码间接告诉别人。预防网络钓鱼的唯一方法就是 不要太贪小便宜,记住:天上不会掉馅饼,天上不会掉英雄皮肤,天上不会掉点券,天上不会掉成绩单,天上不会掉美女,天上不会掉下个老熟人 可是,谁也不会保证万无一失,社工的手段层出不穷。分享最近见到的几个钓鱼案例看完这个,你好奇么?tm我也好奇啊,你说这里边有啥照片啊,快扫扫看看吧 但是我没扫 先拿去解码然后发现是挺板正个域名,先打开看看你看看,让你输入密码了,但是你再看看他的网址,这是官方的登录入口么???? 电脑端的登录入口是这个样子??? 而且他的网站有备案,还用国内的服务器 查下备案,是个四川的冯兄的网站 又打开了他的主域名,是个电商的自媒体 所以在输入账号密码的时候要看清是否为官方网址,一般如果是在qq内打开,都会有一个警告提示,不要随便输入账号密码,你是否当成了耳旁风? 我c 我会挂科么?骗鬼呢? 看看发件人,也是个受害者 先把短连接还原下这个直接用IP访问,打开看看仿了一个qq邮箱登录界面.... 看看代码,分析不了,下个吧又来了个送皮肤的, 先看看发件人 和链接 又是钓鱼 同理,还原短链看看我们看看代码这也就导致了快速安全登录也是用不了的 所以建议使用快速安全登录
2022年10月24日
163
0
0
2022-10-17
快捷指令:一键切换苹果手机地区
切换App Store地区扫码获取指令 该快捷指令可一键切换苹果手机地区,支持日本、韩国、中国香港、美国四个地区。切换后打开App Store或者其他app则是对应地区内容。App Store想要下载依旧需要登录对应地区的APP ID ! 注意:如果使用WiFi无法添加,请使用手机网络添加该快捷指令!
2022年10月17日
169
0
0
1
2
...
4