1
mac 用nettop监听网络流量的方法

mac用一个简单的命令就能监听网络流量了,如果你想查询一个恶意域名、ip和本机的连接情况,那么可以试试nettop,并且是通过进程的方式展示的,非常方便排除异常进程。 ...

Mysticbinary @ 2020/07/30

2
记一次针对静态页面的DDOS基本防护

可以说是我试图进入安全口的天才第一步了,能走多远鬼知道呢 背景 去年年前接到的一个外包项目,是一个base在日本的中国人留学机构做的静态页面。出于锻炼自己的目的,选择为他们按次结薪做长期服务维护。20年618当天给我越洋电话打过来说大量潜在客户试图访问机构官网报错无法访问服务器,让我去帮他们看看怎么 ...

Approid @ 2020/07/30

3
教您搭建与布署NTP网络时钟服务器

教您搭建与布署NTP网络时钟服务器 安徽京准电子科技官微——ahjzsz 为您提供更多的产品资料、 网络时间协议(NTP)用来同步网络上不同主机的系统时钟。所有受管理的主机可以与一台名为NTP服务器的指定时间服务器同步时间。另一方面,NTP服务器则与任何公共NTP服务器或者你所选择的任何服务器同步自 ...

NTP校时服务器 @ 2020/07/29

4
win系统下进行网络监视

TCPView可以非常条理地列出目前电脑的网络连接状况,可以查询到目前连线有哪些软件连接到了网络,也可以知道该程序所使用的端口,它占用了多大的带宽使用了多少流量。如果您聪明还能通过它发现不正常的网络连接,避免电脑被木马遥控。 无论是挖矿病毒、僵尸网络、肉鸡、CC服务器、内网传播等恶意行为都需要与其他 ...

Mysticbinary @ 2020/07/28

5
记一次抓包和破解App接口

第一章 · 起源 某日,想做个爬虫工具,爬某个网站上的数据已做实验之用。大家都知道爬pc网页上的数据有几个常见的问题:首先是数据不规范需要自己解析html,第二现在很多网站是前端动态渲染的,直接爬取的html可能就是个静态页面什么也没有,还需要执行js才能生成最终的页面。因此就考虑,能否用它App的 ...

后厂村海盗 @ 2020/07/26

7
xss原理绕过防御个人总结

xss原理 xss产生的原因是将恶意的html脚本代码插入web页面,底层原理和sql注入一样,都是因为js和php等都是解释性语言,会将输入的当做命令执行,所以可以注入恶意代码执行我们想要的内容 xss分类 存储型xss: js脚本代码会插入数据库,具有一定的持久性 反射型xss: js经过后端p ...

Lmg66 @ 2020/07/25

8
红日VulnStack(5)靶机实战

#1.环境搭建 靶机下载地址:http://vulnstack.qiyuanxuetang.net/vuln/ win7(双网卡): 192.168.135.150(外网) 192.168.138.136(内网) 外网使用NAT模式,内网仅主机模式。 win2008: #2.外网信息收集 ##2.1 ...

ZHH-BA @ 2020/07/23

9
北斗授时服务器,时间同步服务器,网络时钟服务器2020最新报价

北斗授时服务器,时间同步服务器,网络时钟服务器2020最新报价 ...

NTP校时服务器 @ 2020/07/22

11
Android 7.0+使用VirtualXposed+Charles进行抓包

本文首发于“合天智汇”公众号 作者:yunen 前言 最近在对一个app进行测试的时候,尝试抓取数据包,发现以前的使用方法失效了,原因是随着安卓版本的提高,对证书的限制越发严格,而我身边的老机子放在学,不在身边,没得办法,只好研究一下怎么绕过这种限制。 经过一方查找,终于发现了一个相对比较简单的办法 ...

合天智汇 @ 2020/07/22

12
DNS反向查询

DNS反向查询是什么 DNS反向查询大概的一个定义就是: 从 IP 地址获取 PTR 记录。也就是说,通过使用一些网络工具可以将 IP 地址转换为主机名。 实际上,PRT 代表 POINTER,在 DNS 系统有唯一性,将 IP 地址与规范化的主机名联系起来。PTR 记录其实是 NDS 系统的一部分 ...

Mysticbinary @ 2020/07/21

13
xss利用

xss盗取cookie 什么是cookie cookie是曲奇饼,啊开个玩笑,cookie是每个用户登录唯一id和账号密码一样可以登录到网站,是的你没有听错cookie可以直接登录,至于服务器怎么设置cookie 和cookie存储这里就不说了,需的要自行百度 xss盗取cookie(dvwa演示) ...

Lmg66 @ 2020/07/18

14
通过安全厂商的设备发现企业存在的安全问题

目标: 甲方企业安全建设,除了通过内部的力量发现安全问题,也可以通过外部的力量,比如通过租凭、购买安全厂商的设备,来发现企业存在的安全问题。大致的安全场景已经对于安全厂商和产品如下 TOS(终端操作系统): 华为云 主机: 青藤云 防火墙: 天融信 WAF: 绿盟 安全狗 CDN: 知道创宇 加速乐 ...

Mysticbinary @ 2020/07/18

16
xss小游戏源码分析

配置 下载地址:https://files.cnblogs.com/files/Lmg66/xssgame-master.zip 使用:下载解压,放到www目录下(phpstudy),http服务下都行,我使用的是phpstudy 第一关 查看源码: <!DOCTYPE html> <head> < ...

Lmg66 @ 2020/07/17

17
DVWA(xss部分源码分析)

前言 DVWA靶场都不陌生,最新学习xss,从新又搞了一遍xss部分,从源码方面康康xss的原因,参考了很多大佬的博客表示感谢 更多web安全知识欢迎访问:https://lmg66.github.io/ 环境配置 官网:http://www.dvwa.co.uk/ 下载地址:https://git ...

Lmg66 @ 2020/07/15

18
Web For Pentester靶场(xss部分)

配置 官网:https://pentesterlab.com/ 下载地址:https://isos.pentesterlab.com/web_for_pentester_i386.iso 安装方法:虚拟机按照,该靶场是封装在debian系统里,安装完成打开,ifconfig查看ip地址: 然后直接访 ...

Lmg66 @ 2020/07/15

19
Ripple 20:Treck TCP/IP协议漏洞技术分析

本文由“合天智汇”公众号首发,作者:b1ngo Ripple 20:Treck TCP/IP协议漏洞技术分析 Ripple20是一系列影响数亿台设备的0day(19个),是JSOF研究实验室在Treck TCP/IP协议栈中发现的【1】,该协议栈广泛应用于嵌入式和物联网设备。而由于这些漏洞很底层,并 ...

合天智汇 @ 2020/07/15

20
WEB安全总结之读懂CSRF

CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗 ...

Saxaul @ 2020/07/15