在debian下如何使用迅雷登陆账号

前言:

今天在QQ空间看到有人分享了“惊天魔盗团2”的电影资源

正好这几天被mongoose搞的有点烦,想看会电影放松一下心情,但是代码还是要写的,于是我想把电影下载下来,然后等bug解决了,再看。所以问题来了。

杂谈如何绕过WAF(Web应用防火墙)

0×01 前言:

这个议题呢,主要是教大家一个思路,而不是把现成准备好的代码放给大家。

可能在大家眼中WAF(Web应用防火墙)就是“不要脸”的代名词。如果没有他,我们的“世界”可能会更加美好。但是事与愿违。没有它,你让各大网站怎么活。但是呢,我是站在你们的这一边的,所以,今天我们就来谈谈如何绕过WAF吧。之所以叫做“杂谈”,是因为我在本次演讲里,会涉及到webkit、nginx&apache等。下面正式开始:)

暗网

最后更新时间:2016/8/20 13:40:21


利用暗网进行浏览onion的流程:

大陆用户,首先需要代理VPN,或者使用“蓝灯(lantern)”。来进行从tor服务器那里获得tor节点,从而进行连接,不用嫌麻烦,多层代理总是好的,虽然在tor浏览器里可以直接使用“伪造其他网站的数据传输”来进行浏览,但是缺点是慢,且不安全。详细的用法可以看这篇文章http://www.chinagfw.org/2016/06/tor.html (需要VPN或者lantern访问)

自动化检测CSRF(第二篇)

0x00 前言:


上一篇只是大致说明整个思路和流程。本篇就详细说说如何检测CSRF。为什么不在上一篇中放出插件呢。是因为误报率确实是比较多,而且无法检测Referer。而本章,重点就说明“如何检测对方是否开启了Referer检测机制”。在我的认知范围内,这是首款检测Referer的工具(不知廉耻的笑了)。今天发现腾讯在2013年就做了类似的产品 (这就尴尬了..),不过还好。而且思路和实现方法有所区别。本章说检测Referer,第三章说检测token机制的强化,让检测token的成功率达到80~90%以上(其实就是写第二篇的时候,忘记写了。推到第三章了….)。而且这些是腾讯产品所没有的撒。

自动化检测CSRF

0x00 前言:


之前写过自动化检测XSS插件,今天来一发自动化检测CSRF的插件。CSRF有多种情况的出现方式,而本章所说的内容没有办法做的那么全面,就比如JSON Hijacking(第二章或者第三章会写),本章我们就说说form表单导致的CSRF漏洞。
检测form表单类型的CSRF漏洞和检测form表单类型的XSS漏洞最大的不同就是:XSS需要提交才能检测到,而CSRF只需要分析form表单就行了。

XSS的原理分析与解剖

0×01 前言:

《xss攻击手法》一开始在互联网上资料并不多(都是现成的代码,没有从基础的开始),直到刺的《白帽子讲WEB安全》和cn4rry的《XSS跨站脚本攻击剖析与防御》才开始好转。

我这里就不说什么xss的历史什么东西了,xss是一门又热门又不太受重视的Web攻击手法,为什么会这样呢,原因有下:

  1. 耗时间
  2. 有一定几率不成功
  3. 没有相应的软件来完成自动化攻击
  4. 前期需要基本的html、js功底,后期需要扎实的html、js、actionscript2/3.0等语言的功底
  5. 是一种被动的攻击手法
  6. 对website有http-only、crossdomian.xml没有用