智乐兔

网络安全

  • 我是怎样在Periscope治理面板中绕过Google认证的

    我是怎样在Periscope治理面板中绕过Google认证的

    Periscope是一个属于Twitter的iOS/Android应用,主要用于现场直播。通过一个基于WEB的治理面板治理着数百万的用户,你可以通过访问admin.periscope.tv获悉。 当你浏览站点,所有的恳求都讲重定向到/auth?redirect=/(这是由于咱们没有一个有效的会话),进而重定向到谷歌身份验证 重定向后的URL如下所示,包含各种参数。最有趣的还是.hd这是用来限制登录到特定域,在咱们这个案例中为bountyapp.co https://accounts.google.com/o/oauth2/auth?access_type=&approval_pr ...

    查看全文

  • Python安全编码与代码审计(1)

    Python安全编码与代码审计(1)

    1 前言 现在一般的web开发框架安全已经做的挺好的了,比如大家常用的django,但是一些不规范的开发方法还是会导致一些常用的安全成绩,下面就针对这些常用成绩做一些总结。代码审计准备部分见《php代码审计》,这篇文档主要讲述各种常用错误场景,基本上都是咱们自己的开发人员犯的错误,敏感信息已经去除。 2 XSS 未对输入和输出做过滤,场景: def xss_test(request):    name = request.GET['name']    return Htt ...

    查看全文

  • HTML5:ping属性之殒命ping与隐衷追踪

    HTML5:ping属性之殒命ping与隐衷追踪

    在HTML5中a标签参加了一个新的属性ping。设计者参加它的理由是,Ping能够使浏览器对外发送一个异步恳求,通常用来告白的追踪、点击率统计或完成一次HTTP重定向。 但是听到监视、追踪这个词,你是不是也觉得有点不舒服,所以Ping这个属性真的是很不受欢迎。浏览器一度抵制、进而参加默认封闭必须从如config这样的选项中打开才能够应用,到现在我从caniuse.com上还没有追寻到哪个浏览器支持它,但在我测试中最新版Chrome44是默认支持Ping的。 一、Ping的用法 Ping的用法很简略,这里举一个例子。 <a href="https://www.xis ...

    查看全文

  • 主流Web模板安全破绽招致沙箱为歹意人士所破

    主流Web模板安全破绽招致沙箱为歹意人士所破

    逃脱:与Andy Dufresne不同,咱们可不想让真正的歹意人士脱离控制。 安全研讨职员忠告称,一项新型高危网络安全破绽曾经出现,其拥有引发各种隐患的恐怖能力。 Web应用顺序现在广泛应用模板引擎,旨在经由过程网页及电子邮件供给动态数据。这项技巧同时采用一套服务器端沙箱情况。然而由于大部分普遍实践允许非受信用户对模板停止编辑,因此带来了一系列非常严重的安全风险,而模板系统的说明文档傍边并不一定对此作出了强调,Web安全企业PortSwigger公司忠告称。 允许非受信用户向模板中输入信息这一安全破绽有可能被歹意人士用于面向服务器的歹意代码注入运动。 这类安全破绽—— ...

    查看全文

  • 看黑客怎样分分钟“插队”预定一加手机

    看黑客怎样分分钟“插队”预定一加手机

    前言 我是一加手机的死忠粉,一加1手机出来的时间,我就想尽了一切办法,参加了各种活动,但还是没搞到约请码。最终我从XDA论坛找了个人,花了20美元买了个约请码。因此我很讨厌一加的预约+约请体系。 一加2应用了排队预约机制,虽然我早早地就申请了,当时我的排名地位大概是9000左右,但是在一加2的排队机制中,能够经由过程推举挚友来晋升排名(即填写挚友邮箱,一加会给挚友发送邮件,约请挚友一起排队,而约请者也可借此晋升自己的排名)。我检查我的排名的时间曾经跌到了70,000多。 我试着在一加的约请页面填上mailinator.com的临时邮箱地址,居然能够用。我搞了10次,顺利将我的排名晋升到了5 ...

    查看全文

  • 应用Chrome XSS auditor偷取tokens

    应用Chrome XSS auditor偷取tokens

    提到XSS auditor咱们更多想到的便是绕过。XSS auditor实在可恶,不知让咱们死了多少脑细胞,今天咱们就来看看歪果仁是怎样应用Chrome的XSS auditor实现盗取token的,吐一口恶气吧! 检测XSS auditor James告诉我说在Chrome的Xss auditor中有一个块模式,对此我表示十分的有兴趣。当http头设置为: X-XSS-Protection: 1; mode=block 假如检测到存在XSS攻击,XSS auditor会删除页面上所有的内容。我认为咱们能够应用这个特性,因为目标站点包括一个iframe,接着应用窗口的长度属 ...

    查看全文

  • 使用CDN网络流量增大攻击方案

    使用CDN网络流量增大攻击方案

    首先,为了对CDN进行攻击,大家必须清楚CDN的工作原理,这里大家再来简单介绍一下CDN的工作模型。 CDN的全称是Content Delivery Network(内容分发网络),通过在网络每处的加速节点服务器来为网站抵挡恶意网络流量,把正常网络流量进行转发。用简单点的话来说,CDN一般有三个作用 1. 跨运营商加速:大家自己的网站常常只属于一个运营商(例如:电信),而加速节点遍历分布每家运营商,于是和网站不同运营商(例如:联通)的用户访问起来就不会那么慢了。 2. 缓存加速:很多的静态资源以及一部分页面更新都是比较慢的(例如首页),这个时候CDN就会根据浏览器的max- ...

    查看全文

  • 阿里云要研制量子计算机

    阿里云要研制量子计算机

    自上世纪90年代提出量子计算机概念以来,技术和研发费用是限制这类逆天设备发展的壁垒,期间加拿大D-Wave公司曾宣称已经研发出量子计算机,但是业界对这台设备仍持质疑态度。 庆幸的是,近几年我们能够看到业界在量子计算机上取得的突破。或许,第一台真正意义上的量子计算机很快就会来了! D-Wave量子计算机   量子计算机是一种遵循量子力学规律,进行高速运算、存储及处理量子信息的物理装置,其运行的是量子算法,处理速度惊人,比传统计算机快数十亿倍。 阿里已经和中科院共同成立了一个量子计算机研究室,其中中国科学院在量子信息技术方面处于国际先进水平。该实验室计划到2025年,量子模拟将达到当今世界最快的 ...

    查看全文

  • 阿里云曾经和正在遭受大面积攻击

    阿里云曾经和正在遭受大面积攻击

    京华时报讯(记者祝剑禾)昨天,阿里云计算发布声明称,12月20日-21日,部署在阿里云上的一家知名游戏公司,遭遇了全球互联网史上最大的一次DDoS攻击,攻击时长14个小时,攻击峰值流量达到每秒453.8G。   DDoS是DistributedDenialofService的缩写,翻译成中文是分布式拒绝服务。DDoS攻击就是指以分散攻击源来黑进指定网站的黑客方式。DDoS的攻击方式有很多种,最基本的攻击就是利用合理的服务请求来占用过多的服务器资源,从而使合法用户无法得到服务器响应。阿里云称,第一波DDoS共计从12月20日19点左右开始,一直持续到21日凌晨,第二天黑客又再次组织大规模攻击,共 ...

    查看全文

  • 专家解读:大数据时代-数据垄断的困境与隐忧

    专家解读:大数据时代-数据垄断的困境与隐忧

    人类思维的转向:人类的态度、情绪、行为等都可以变为数据进行分析和预测 人类内心深处隐秘的欲望、需求、情感是可以洞悉并预测的吗?这是一个长久以来盘亘在心理学家、行为学家、哲学家心中的困惑,而大数据时代的统计学家、数据挖掘专家则做出了肯定而乐观的回答。现在,“情感分析”、“预测模型”的应用已经渐入佳境,企业和媒体已经可以通过“情感分析”来确定社交媒体上用户群的态度,而推特(Twitter)甚至在2012年美国大选时对用户每天推文和评论的关键词进行量化跟踪,计算出“政治指数”来判断民心所向。 大数据技术使得人类的态度、情绪、行为等以往认为难以测量的方面,都可以变为数据来进行分析和预测。日常生活里的可 ...

    查看全文

  • 让你远离云计算安全问题的18个小贴士

    让你远离云计算安全问题的18个小贴士

    云计算正在全球范围内向各行各业扩展,显而易见基于云的SaaS应用会越来越多地取代现有的关键业务系统和服务。很多企业都看到了应用云计算的好处,但挑战与顾虑是难免的。本文中列举了帮助企业应对有关云计算的隐私、法规及安全问题的18个小贴士,希望可以使企业更顺利地使用云计算。 问题   用户的风险意识:商业用户只看到云应用提高生产力的一面,而IT部门又不十分了解企业数据在应用中的使用方式。有些商业用户还会撇开IT与安全政策自己去订阅云服务。 云服务条款:企业所遵守的数据相关政策标准与云服务提供商所遵守的并不相同,但用户在订阅云应用时看到使用条款就直接点同意了。 虚拟化:虚拟化技术是SaaS和云平台的 ...

    查看全文

在线客服
在线客服 X

售前: 点击这里给我发消息
售后: 点击这里给我发消息

智乐兔官微