ENS 是当下以太坊生态中最热门的话题之一,这股潮流的出现有很多因素。正如官网提到的那样[1]:“ENS 利用可读的域名,为链上、链下资源寻址提供了一种既安全又去中心化的解决方案。”
相信有不少的人都会使用手机,上网对于我们的日常生活来说是必不可少的,通过网络我们可以了解到各大企业的信息,也可以知道各种各样的事情,上网是需要用到域名的,大家知道什么是子域名吗?
每一个公司的网站都需要拥有自己的域名,其中有些大型公司的网站还不止一个域名,除了主域名外还拥有子域名。有些人感到非常困惑,不知道子域名是什么。其实子域名也就是平时所说的二级域名和三级域名,下面来为大家简单介绍一下子域名是什么以及子域名有什么作用。
WHOIS是一个标准的互联网协议,可用于收集网络注册信息、注册域名﹑IP地址等信息。简单来说,WHOIS就是一个用于查询域名是否已被注册及注册域名详细信息的数据库(如域名所有人、域名注册商)。
提及域名查询应该很多人都不陌生了,即便没有操作过也是听说过的,其含义通常指的是查询WHOIS的注册信息。大家平时上网都是需要使用域名的,而其中有不少的用户都想要了解更多的关于域名和服务器信息,此时可能还会涉及到查询网站所有的子域名的操作。
今天我要分享的是5万多个Shopify平台子域名劫持漏洞的发现过程。首先,我要说明的是,该漏洞不仅只存在于Shopify平台系统,还存在其它几个云服务平台系统中。在过去几周时间里,我们陆续联系了存在漏洞的各家厂商,Shopify平台的快速反应、认识透彻和持续跟进的处置能力给我们留下了深刻印象。
首先,我用来测试子域名漏洞的工具是Aquatone(洛克希德U2侦察机代号也叫这个),这个工具非常好用,可算是众多白帽的必备利器了。非常幸运的是,我不经意地用它来测试目标,就有了发现,真像是中了头奖!
注意:本文分享给安全从业人员、网站开发人员以及运维人员在日常工作防范恶意攻击,请勿恶意使用下面介绍技术进行非法攻击操作。。
Palo Alto Networks发现,攻击者越来越倾向于提前注册域名备用,利用这类战略性休眠域名的攻击越来越多。例如,SolarWinds事件的攻击者在实际攻击中利用的C&C 域名,在数年前就已注册。
进行渗透测试之前,最重要的一步就是信息收集,在这个阶段,我们要尽可能地收集目标组织的信息。所谓”知己知彼,百战不殆“我们越是了解测试目标,测试的工作就越容易,在信息收集汇总中,我们要收集的有服务器的配置信息,网站的,敏感信息,其中包括域名
注意:本文分享给安全从业人员,网站开发人员和运维人员在日常工作中使用和防范恶意攻击,请勿恶意使用下面描述技术进行非法操作。
域名系统(通常被称为“DNS”)是一个网络系统,允许我们把对人类友好的名称解析为唯一的地址。
渗透测试流程中最重要的就是进行信息收集,在这个阶段,我们要尽可能多的收集目标组织的信息。所谓“知己知彼,百战不殆”,我们越是了解测试目标,渗透测试的工作就越容易。
搞渗透的人应该都清楚,给一个目标站点做测试,第一步就是信息收集,通过各种渠道和手段尽可能收集到多的关于这个站点的信息,帮助我们更多的去找到渗透点。而信息收集的方式有很多,大致有搜索引擎、域名注册网站、shodan、github信息收集工具、网站公告等等,甚至还有社工的方式。网上关于信息收集也有很多相关的文章介绍,其实方式方法都大同小异。今天我主要介绍一下我在做信息收集的时候用到的一些工具和自己写的一些脚本,帮助我在渗透过程中更加方便的做好这一步。
Nacos是阿里开放的一款中间件,也是一款服务注册中心,它主要提供三种功能:持久化节点注册,非持久化节点注册和配置管理。
本章主要介绍的是渗透测试前期准备工作-信息收集,将从IP资源,域名发现,服务器信息收集,网站关键信息识别,社会工程学几个方面谈谈如何最大化收集信息。
Apache作为全球使用较高的Web服务器软件,它可以在几乎所有常见的计算机平台上运行。由于其卓越的跨平台性和高级安全性,又兼具快速、可靠且易于通过简单的API扩展而闻名,被广泛应用于Web服务器领域。本文主要分享一下在Windows系统如何安装与配置Apache服务,并结合内网穿透工具实现公网远程访问本地内网的Apache服务。
针对Web应用的攻击与防御早已成为安全对抗的一个重要细分领域,除了因为Web服务是当今互联网各类业务最主要的服务提供形式之外,还有以下技术方面的原因导致其特别为攻击者所青睐:
uhttpd 是 OpenWrt/LuCI 开发者从零开始编写的 Web 服务器,目的是成为优秀稳定的、适合嵌入式设备的轻量级任务的 HTTP 服务器,并且和 OpenWrt 配置框架非常好地集成在一起。它是管理 OpenWrt 的默认的 Web 服务器,还提供了现代 Web 服务器所有的 功能 。
信息收集作为渗透测试的第一步往往至关重要,好的信息收集是打穿内网的基础。曾有大佬言:渗透测试的本质就是信息收集,那么我们从何开始信息收集呢?一般都是通过域名或IP地址进行展开,本小结主要从域名信息收集、子域名信息收集、端口信息收集、CMS指纹识别、敏感信息收集、CDN绕过这几大块进行归纳。
File Browser是一个开源的文件管理器和文件共享工具,它可以帮助用户轻松地管理他们的文件和文件夹,并通过Web界面进行访问和共享。它通常用于自托管的云存储解决方案,允许用户在自己的服务器上创建和管理文件存储服务,类似于Google Drive或Dropbox。
本篇Writup讲述作者针对某大公司网站做安全测试时,发现其子域名网站在账户更新时存在漏洞,可以通过构造POST请求,实现从普通用户到管理员的提权,漏洞最终收获了$5000的奖励。
ENS(Ethereum Name Service)是以太坊域名服务,是一个基于以太坊区块链的分布式、开放和可扩展的命名系统。
vika维格表作为新一代数据生产力平台,是一款面向 API 的智能多维表格。它将复杂的可视化数据库、电子表格、实时在线协同、低代码开发技术四合为一,就连一行代码都不懂的普通职员都能轻松上手获得 IT 能力,从而极大降低企业数字化成本。如果你正在寻找快捷可定制的业务系统、安全可靠的可视化数据库、高效协同的办公工具,那么vika维格表能满足你的丰富想象。
USB Redirector是一款方便易用的USB设备共享服务应用程序,它提供了共享和访问本地或互联网上的USB设备的功能。通过使用USB Redirector可以结合cpolar内网穿透,用户可以远程访问USB设备,就好像这些设备直接连接在他们的计算机上一样。该软件支持多种USB设备的共享,包括存储设备、图像设备、打印机、扫描仪、音频设备、条码阅读器、红外设备和蓝牙设备等。无论是U盘、加密狗还是其他类型的USB设备,都可以通过USB Redirector实现远程共享和访问。
现在很多企业用的网站都是域名网站,域名网站是由顶级域名,二级域名甚至是更多级域名组成的。我们常说的com和cn就是顶级域名,而com那个点前面的就是子域名,或者可以说是二级域名。其实域名中是包含的有主机名的。那么域名中的主机名是什么?域名与主机名的关系是怎样的呢?
OpenWRT是一个高度模块化、高度自动化的嵌入式Linux系统,可以让路由器变得更智能,简单的说,路由器刷了OpenWrt就相当于一个Linux系统带无线带多网卡的电脑。
本篇教程和大家分享一下DolphinScheduler的安装部署及如何实现公网远程访问,结合内网穿透工具实现公网访问DolphinScheduler内网并进行远程办公,帮助开发人员进行远程任务调度及管理,提高工作效率。
昨晚,在我快睡觉的时候,收到了一堆友善的警告邮件。大意是,我指向 GitHub 的子域名被劫持了。
本文主要介绍如何在CasaOS玩客云,使用Docker本地部署21.6K stars的热门开源云笔记服务memos,并结合cpolar内网穿透工具打造可公网访问的私有云笔记服务。
大家好,我是渔夫子。本号新推出「Go工具箱」系列,意在给大家分享使用go语言编写的、实用的、好玩的工具。同时了解其底层的实现原理,以便更深入地了解Go语言。
由于现实的种种原因,我们不可能将所有子域名放到内网中或者绑定白名单IP访问,所以如果灰黑产人员发现不到公司的敏感子域名,那么就该子域名而言,被攻击的可能性就会降低那么一点、风险也自然会减少一点。
SVN 是 subversion 的缩写,是一个开放源代码的版本控制系统,通过采用分支管理系统的高效管理,使得多个人可以共同开发同一个项目,实现共享资源,实现最终集中式的管理。Subversion作为一个通用的系统,可用来管理任何类型的文件,其中包括程序源码。
众所周知,在工作中,大家用到最多的便是Email来传输工作内容,因此,像一些VPN信息、服务器账号密码、公司人员清单等敏感数据,均会通过Email进行传输,并且更重要的是,大部分工作人员,在传输这些数据时,是为进行过加密的。记得在某云网上也有很多相关的由于邮箱泄露引发的“悲剧”。
本文介绍如何使用Linux docker方式快速安装Plik并且结合Cpolar内网穿透工具实现远程访问,实现随时随地在任意设备上传或者下载或者共享文件!
本篇文章将介绍如何使用Docker本地部署Focalboard项目管理工具,并且结合cpolar内网穿透进行公网访问,实现团队协作,提高工作效率!
论坛、公告板、新闻组、媒体文章、博客、社交网络、其他商业或非商业性网站、GitHub 等
AMH 是一款基于 Linux 系统的服务器管理面板,它提供了一系列的功能,包括网站管理、FTP 管理、数据库管理、DNS 管理、SSL 证书管理等。使用 AMH 云主机面板可以方便地管理服务器,提高工作效率。
MinIO是一个开源的对象存储服务器,可以在各种环境中运行,例如本地、Docker容器、Kubernetes集群等。它兼容Amazon S3 API,因此可以与现有的S3工具和库无缝集成。MinIO的设计目标是高性能、高可用性和可扩展性。它可以在分布式模式下运行,以满足不同规模的存储需求。
本文主要介绍如何使用Docker安装部署Swagger Editor并且结合Cpolar内网穿透工具实现远程访问,当然,这里是方便演示,所以在docker安装,有些在项目中已经集成了,也是一样的设置远程方式的方法。
WHOIS是一个标准的互联网协议,可用于搜集网络注册、注册域名、IP地址和自治系统的信息
本文主要介绍如何在Windows系统安装分布式搜索和分析引擎Elasticsearch,并结合Cpolar内网穿透工具实现无公网IP远程访问使用。
在信息收集中,需要收集的信息:目标主机的DNS信息、目标IP地址、子域名、旁站和C段、CMS类型、敏感目录、端口信息、操作系统版本、网站架构、漏洞信息、服务器与中间件信息、邮箱、人员、地址等。
曾在Google广告部门任职,负责广告的架构任务,14年回国同年9月创立数人云,主要基于Docker容器技术为企业级客户打造私有的PaaS平台,帮助企业客户解决互联网新业务挑战下的IT问题。
Superset是一款由中国知名科技公司开源的“现代化的企业级BI(商业智能)Web应用程序”,其通过创建和分享dashboard,为数据分析提供了轻量级的数据查询和可视化方案。Superset在数据处理和可视化方面具有强大的功能,能够满足企业级的数据分析需求,并为用户提供直观、灵活的数据探索和展示方式。通过Superset,用户可以轻松地从海量数据中提取有价值的信息,帮助企业做出更加明智的决策。另外,团队协作进行数据分析,可以结合国内流行的内网穿透工具实现公网的实时远程访问数据。
Portainer是一个开源的Docker轻量级可视化工具,它提供了一个直观的Web界面,让你轻松管理和监控Docker容器、镜像和网络等。之前在文章《Linux Docker 图形化工具 Portainer远程访问》中我们讲了如何使用Docker部署一个Portainer,并结合cpolar内网穿透实现了公网访问成功。本篇文章教大家如何在Portainer创建Nginx容器,并且部署一个静态站点实现公网访问。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
即时通信 IM
腾讯会议
