分类技术分享下的文章 - 高先生笔记

累计撰写 126 篇文章
累计收到 209 条评论

高先生笔记

搜索到 27 篇与技术分享的结果

2023-01-19
点击劫持漏洞 1.前言点击劫持就是一种视觉上的欺骗手段，攻击者使用一个透明的、不可见的iframe，覆盖在一个网页上，然后诱使用户在该网页上进行操作，此时用户在不知情的情况下点击了透明的iframe页面。通过调整iframe页面的位置，可以诱使用户恰好点击在iframe页面的一些功能性按钮上，攻击者常常配合社工手段完成攻击。（一般能被劫持就是网站缺少X-FRAME-OPTIONS）点击劫持一般在渗透测试中比较常见2.过程如何测试，有两种方法，今天就讲一种最简单常用的方式（burpsuite模块）在这里就用测过的一个站点做例子吧1）这是一个正常的站点 2）我们需要打开burpsuite，选择burp模块，再去选择一个点击劫持模块 3)复制payload，然后打开刚才的站点，选择开发者模式，把复制的payload粘贴到console模块 3.修复建议X-FRAME-OPTIONS是目前最可靠的方法。X-FRAME-OPTIONS是微软提出的一个http头，专门用来防御利用iframe嵌套的点击劫持攻击。并且在IE8、Firefox3.6、Chrome4以上的版本均能很好的支持。这个头有三个值：DENY：拒绝任何域加载SAMEORIGIN：允许同源域下加载ALLOW-FROM：可以定义允许frame加载的页面地址
- 2023年01月19日
- 26
- 0
- 0
2023-01-18
云注入完美去除(精准替换入口) 用算法助手可以发现云注入了的软件有DES ECB模式解密1.打开云注入样本，找到云注入的类2.可以在com.cloudinject.feature.App里看到如下内容，A的即为软件真实入口的密文，APP_iD的前8位即为密钥然后随便找个网站解密一下即可获得软件真实入口3.替换入口
- 2023年01月18日
- 22
- 0
- 0
2023-01-14
宝塔Linux面板配置网站允许跨域请求跨域请求今天把项目放到服务器上，调试的时候出现“已阻止载入混合活动内容……”的报错解决方法如下：避免在HTTPS页面中包含HTTP的内容。我们可以看看是不是从https提交内容到http的原因，如果是的话，把请求的URL改成https的就可以了。经排查，发现访问URL的时候确实是http的，将其改成https，不再报错了。已拦截跨源请求：同源策略禁止读取位于XXX 解决方法如下：宝塔设置跨域问题（Nginx环境添加允许跨域Header头）配置文件中添加以下代码并保存，add_header Access-Control-Allow-Origin * always; add_header Access-Control-Allow-Methods GET,POST,DELETE; add_header Access-Control-Allow-Header Content-Type,*;经最后测试已正常
- 2023年01月14日
- 40
- 0
- 3
2023-01-10
今天配置⽀付宝遇到的问题！报错截图错误原因： 1.php版本低于5.5 2.把配置私钥的位置，填写成了支付宝公钥或者商户公钥导致。如果大家做了上面操作还是报相同错欢迎在帖子下方追问
- 2023年01月10日
- 79
- 2
- 1
2022-12-16
网站被反诈中心DNS劫持该如何解决？如果你的网站部分地区用户访问反馈访问不了，测试域名DNS被劫持到了127.0.0.1 或 0.0.0.0 可能是域名被墙了，或则被反诈中心拦截了，如果遇到该问题，需要检测单被运营商拦截还是也有被反诈中心拦截。【排查过程】可以把问题域名通过阿里云检测平台：阿里云网站运维检测平台 (aliyun.com) 进行ping检测，分析各个省份和运营商的DNS情况，如果出现解析记录为127.0.0.1、0.0.0.0、或则反诈中心的IP地址的话就说明域名被劫持了。如下图所示，即表示域名被劫持了需要检测的域名通过 https://www.110.cqqgsafe.com/ 进行检查，如果被反诈中心拦截的话，都会有联系电话，可以电话联系了解具体的原因。如下图，问题域名是被河北公安反诈中心拦截了。【解决方案】如果网站被墙或则是被反诈中心拦截了，域名不是非要不可的情况，建议更换新的域名，申诉过程扰心费力，且不好解除。域名价值非常高的话，可以尝试一下方案申请看看。情况一：域名被运营商localdns 劫持了未被反诈中心拦截localdns是由当地运营商维护的；您可以联系解析您域名异常的网络运营商反馈下当前问题情况。中国内地三大主要运营商投诉电话如下：移动用户，请拨打10086报障。电信用户，请拨打10000报障。联通用户，请拨打10010报障。也建议可拨打出问题地区的通管局电话咨询下具体情况，或者访问下面地址到工信部申诉一下，申诉对象选择：运营商 https://yhssglxt.miit.gov.cn/web/ 提高申诉的频率，加速运营商的解决。情况二：域名被运营商localdns 劫持了且被反诈中心拦截在确保域名有ICP备案的前提下，联系反诈中心域名申诉电话：：010-67825170 或 010-67825169 进行申诉，会有民警联系你，需要写承诺书，进行申诉，有一定几率可以申诉成功，祝您好运！
- 2022年12月16日
- 138
- 0
- 0
2022-11-13
教你用wget来扒站看到好看的前端想要克隆/扒/仿下来，学习学习，分享一个我常用网站扒皮命令wget，在linux下执行以下命令wget -r -p -np -k -P /zhuanjiao 网址这个语句表示下载全站，等于把一个网站整个静态化到本地。解释一下参数-P 表示下载到哪个目录-r 表示递归下载-np 表示不下载旁站连接.-k 表示将下载的网页里的链接修改为本地链接.-p 获得所有显示网页所需的元素
- 2022年11月13日
- 142
- 2
- 0
2022-10-24
谨防“网络钓鱼” 近几天，老是在各种社交媒体（邮箱 QQ群 QQ空间微博微信）遇到一些钓鱼链接，也发现有许多人因此上钩，成了网络钓鱼的受害者之一。网络钓鱼是针对特定用户设置情景，诱使其点击链接或输入信息，从而盗取个人账号密码。如各种渠道（QQ聊天信息、QQ空间、假系统消息等）散布中奖、排名、免费送QQ靓号等虚假信息吸引用户眼球，并以丰厚的奖品为噱头吸引用户点击链接，进入到仿冒的腾讯公司中奖活动网zd页，要求用户输入QQ号码、密码、个人资料，并以此盗取QQ。网络钓鱼属于社会工程学攻击，是一门欺诈的艺术，他利用人的本能反应、好奇心、信任、贪便宜等弱点进行诸如欺骗、伤害、盗取等危害手段，获取自身利益。准确来说网络钓鱼不攻击计算机，而是攻击使用计算机的人。所以，用户期望依靠科技公司避免风险的可靠性不大，毕竟谁也不能阻止你受骗，谁也不能阻止你把密码间接告诉别人。预防网络钓鱼的唯一方法就是不要太贪小便宜，记住：天上不会掉馅饼，天上不会掉英雄皮肤，天上不会掉点券，天上不会掉成绩单，天上不会掉美女，天上不会掉下个老熟人可是，谁也不会保证万无一失，社工的手段层出不穷。分享最近见到的几个钓鱼案例看完这个，你好奇么？tm我也好奇啊，你说这里边有啥照片啊，快扫扫看看吧但是我没扫先拿去解码然后发现是挺板正个域名，先打开看看你看看，让你输入密码了，但是你再看看他的网址，这是官方的登录入口么？？？？电脑端的登录入口是这个样子？？？而且他的网站有备案，还用国内的服务器查下备案，是个四川的冯兄的网站又打开了他的主域名，是个电商的自媒体所以在输入账号密码的时候要看清是否为官方网址，一般如果是在qq内打开，都会有一个警告提示，不要随便输入账号密码，你是否当成了耳旁风？我c 我会挂科么？骗鬼呢？看看发件人，也是个受害者先把短连接还原下这个直接用IP访问，打开看看仿了一个qq邮箱登录界面.... 看看代码，分析不了，下个吧又来了个送皮肤的，先看看发件人和链接又是钓鱼同理，还原短链看看我们看看代码这也就导致了快速安全登录也是用不了的所以建议使用快速安全登录
- 2022年10月24日
- 163
- 0
- 0
2022-10-17
快捷指令：一键切换苹果手机地区切换App Store地区扫码获取指令该快捷指令可一键切换苹果手机地区，支持日本、韩国、中国香港、美国四个地区。切换后打开App Store或者其他app则是对应地区内容。App Store想要下载依旧需要登录对应地区的APP ID ！注意：如果使用WiFi无法添加，请使用手机网络添加该快捷指令！
- 2022年10月17日
- 169
- 0
- 0