近几年的数据显示钓鱼邮件的数量少了,但是质量有所提高,特别是攻防演练中红队大佬做的钓鱼,让人防不胜防,有兴趣的可以看一下红队攻击:轻松玩转邮件钓鱼,下面是我遇到QQ邮箱钓鱼的处理过程,不当之处还请各位批评指正
社会工程学经常被Hacker运用在Web渗透方面,也被称为没有“技术”却比“技术”更强大的渗透方式。 历史上,社会工程学是隶属于社会学,不过其影响他人心理的效果引起了计算机安全专家的注意。
对互联网但凡有点了解的朋友一定都听说过ip和域名这两个词,很多时候我们都会需要用到他们。前者是让我们找到地址的门牌,后者则是让我们快速访问网页的名称。ip和域名是相联系的,一个ip可以有很多域名,但一个域名只有一个ip,所以通过ip或是域名就能够查询到对方。那么,下面就一起来看看怎么根据域名查ip等内容吧。
您还可以通过使用多个关键字来缩小搜索范围。例如:如果想要搜索 "下载青花瓷MP3格式" 的信息,则输入三个关键字“青花瓷 mp3 下载”;如果只输入其中一个关键字,搜索引擎就会返回诸如青花瓷 足球队或xxx.mp3的无关信息。一般而言,您提供的关键字越多,搜索引擎返回的结果越精确。
之前分享过宝藏网站 https://www.heji.ltd/ 这个网站堪称宝藏,收藏起来吧 ,今天分享的是宝藏网站系列之万能命令https://wanneng.run/cn/ ,它将各种高质量的在线工具按应用站点聚合起来,让你以方便快捷好记的方式寻找和使用网页型在线工具 。
巧用搜索引擎首推谷歌查看了解SRC旗下涉及到的业务,收集其对应的业务下的域名,再进一步进行挖掘,如:
一、概述 有同事提醒我说,小程序出了云开发功能。我看了一下觉得蛮有意思的,琢磨着可以给老爸做一个买马(广东民间流行的一种六合彩赌博)的小程序。然后用了2个周末的时间,完成了! 总体来说小程序的官方说明很详细,但是感觉对一些容易踩坑的地方强调得不够。导致需要通篇阅读完官方说明才好动手,否则遇到问题再搜索时,不好找到对应的地方。 二、先看成果展示 简单描述就是:支持下注、查看下注记录、开奖、查看玩家排行4个功能的小程序。 三、踩过的坑 制作过程不多说,跟着新手指引操作一遍基本就会了 - 小程序和云开发分
2. WhatWeb:WhatWeb – Next generation web scanner.
HVV期间负责的有溯源这块的工作,整理一下用到的技巧。通常情况下,溯源需要获取到目标攻击者的一部分社会信息,比如手机号,邮箱,QQ号,微信号等,通过这些信息在互联网可以进一步追溯攻击者的更多暴露信息。方便进一步溯源。
总所周知 我是废物 我自己搭建了一个洛米唯熊的平台 另外在2021年12月22号搭建了一个蜜罐。平时也懒得去看蜜罐,因为如果进行反制的攻击的话也会涉及网络的攻击行为。我是一位大大的良民,从不做未授权的网站攻击。
这篇文章不是像评论区的某些大佬所想的那样是来炫技的,更多的是来给大家科普一些实用的渗透工具和方法,我相信不是所有的人都用过文中提到的这些方法。
互联网和人们的生活已经越来越密切,上网浏览网页也已经是很多人的习惯,只不过恐怕很少人知道其实输入到浏览器的地址,是需要通过解析转化为IP才能够访问的。那么怎么查看域名的ip?域名和IP的关系是什么呢?
域名对于公司网站或企业网站的重要性不言而喻,用户浏览网页基本上都是通过域名实现的。域名需要按期缴纳服务费,如果到期之后需要及时续费,在续费之前,用户应当及时了解域名注册商,那么用户如何查域名注册商呢?
在下面回答区,我看到网友分享的真实案例,大家可以看一下,顺便了解一下网络溯源是怎么一回事,也给大家一些启示。
whois(读作“Who is”,非缩写)是用来查询域名的IP以及所有者等信息的传输协议。简单说,whois就是一个用来查询域名是否已经被注册,以及注册域名的详细信息的数据库(如域名所有人、域名注册商)。通过whois来实现对域名信息的查询。
点击小锁–安全连接–更多信息–查看证书有些可能没有可以得到一些主域名以及子域名。
钓鱼 wifi 相信大家都听说过,但你是否真的懂得钓鱼 wifi 的原理呢?是否真的能动手去搭建一个移动钓鱼 WiFi?是否能想到几点关于钓鱼 WiFi 的防御手段呢?
WeChat.exe换成你本地的路径,先关闭登录的微信,然后双击wechat.bat就可以登录2个微信了,3个微信就再复制一行,参考我之前的文章如何在电脑上登陆多个微信
Chrome Devtools 是我们整天用的工具,多学一些小技巧还是挺有意义的。
人工智能有两大基础:语音和视觉,智能音箱战胜电视机顶盒和路由器成为智能家居的入口,靠的是语音操控方便老人和小孩。目前手机、手表、VR、AR、自动驾驶和智能家居等产品都离不开语音操控,可是讯飞、阿里、腾讯和百度等语音接口服务提供商有各自的语音指令操控,没有一个通用的方式来访问外部应用,应用提供商都受制于语音接口的流量控制,我认为语音输入中文域名直接访问网站服务是解决语音访问网站服务最通用和直接的互联网基础应用。以下视频是安卓手机版360浏览器实现语音输入中文域名“小度.中国”直接访问小度官网的示例。
通过设备类型判断要加载的网页类型 , 一般会在域名前添加 m 打开移动端 , 如京东域名为 jd.com , 使用 m.jd.com 可以访问其移动端页面 ;
(1) 百度信息收集:“id” (双引号为英文) (2) 谷歌信息收集 (3) src信息收集(各大src排行榜) (4) 微博搜索(如果发现有微博记录,可使用tg查询weibo泄露数据) (5) 微信ID收集:微信进行ID搜索(直接发钉钉群一起查) (6) 如果获得手机号(可直接搜索支付宝、社交账户等) 注:获取手机号如信息不多,直接上报钉钉群(利用共享渠道对其进行二次工作) (7) 豆瓣/贴吧/知乎/脉脉 你能知道的所有社交平台,进行信息收集 (8) 其他补充 在github,gitee,开源中国中查找 在社交平台上查找,(微信/微博/linkedin/twitter) 技术博客(csdn,博客园),src平台(补天) 在安全群/安全圈子里询问。
一个月前买了这个域名,一时疏忽没有查域名健康情况,买完之后才发现被微信QQ拦截了。
边界打点后的自动化内网工具,完全与服务端脱离。服务端只用于生成poc,网段信息等配置。
域名作为互联网上的“门牌号”,如果只能“写”而不能“读”的话,在现今电子设备智能化便携化的趋势下将极其不便。人工智能有两大基础:语音和视觉,智能音箱之所以取代电视机顶盒和路由器成为智能家居的入口,就是因为把握住智能语音这个基础点,倘若域名也能通过语音输入,将极大地推动细小的便携性智能设备(例如手机、手表、VR和AR等)对于互联网应用的语音接入。“语音域名”既要兼容传统域名的同时,又要创新式地开启互联网应用语音交互这一特性,这样,“语音域名”既能通过语音输入来访问互联网应用,也能让人类通过眼睛来轻易辨认以便记忆和认证。
我曾经也当过学生,现在回想起来,会发现,学生时代的男生记忆力贼好,他们总能记住一串复杂神秘的字母数字串域名,有些大神甚至能直接敲IP上网。
为了解决这个问题,许多网站管理员对PC端域名和移动域域名使用相同的域名。这不是问题,但会被忽略。在移动端,搜索引擎仅适用于PC端资源。换句话说,网站应该有明确的搜索引擎指南,当首选PC时,以及首选移动时。如果您不了解适配设置,最好的方法是将您的PC网站和移动网站与PC的互联网站点分开。因此,对于受限制的搜索,最好为您的移动网站使用独立的域名。
给大家带来了我们经常使用的免费内容重复度检测工具,其中既有网站内容的重复度检查工具,也有文本查重工具。希望可以帮助到遇到类似问题的朋友。
在上一期D课堂中,我们了解到,在浏览器输入域名却无法访问网站,很有可能是域名解析出了问题。D妹跟大家讲解了域名解析不生效的原因和排查方法,不知道大家学会了吗?
目标域名可能存在较多的敏感目录和文件,这些敏感信息很可能存在目录穿越漏洞、文件上传漏洞,攻击者能通过这些漏洞直接下载网站源码。搜集这些信息对之后的渗透环节有帮助。通常,扫描检测方法有手动搜寻和自动工具查找两种方式,读者可以根据使用效果灵活决定使用哪种方式或两种方式都使用。
但是这样也有问题,那就是Hosts文件是有限的,就和你不可能拥有这个世界上所有人的电话号码一样。既然我们自己不可能拥有全世界所有人的电话号码,但是我们可以将收集电话号码这个任务交给一个专门来干这个活的人,然后大家想要问电话的时候去他那查一下就可以了。
title: 用Github Actions运行Python脚本更新仓库博客到WordPress,手机写Markdown同步更新到Github和WordPress攻略 tags:
我们在网络中发邮件发信息,这个过程实际上和邮政系统是非常相似的。年轻一代朋友可能没有写纸信的经验,在寄信前,必须先写好信封,信封上有几个重要的信息,首先是收件人的邮编,其次是收件人的详细地址,然后是收件人的名字,最后是寄件人的地址。
作为前端开发,我们每天都会用 Chrome DevTools 调试 Chrome 的网页,但其实它还可以远程调试安卓手机的网页。
SSRF(Server-Side Request Forgery:服务器端请求伪造) 是由攻击者构造形成的由服务端发起请求的一个安全漏洞。
(1)信息收集:资产收集,敏感信息收集,旁站C段收集,指纹收集,扫描的话推荐gody(指纹信息)。
最近需要在大屏网页中嵌套跳转一些网站地址,使用 iframe 页面嵌套时会提示X-Frame-Options问题,具体报错如下:
Bookmarks 渗透测试 XSS平台-友情 xss平台 墨者学院_专注于网络安全人才培养 接码平台 临时邮箱|免费邮箱 临时邮箱、十分钟邮箱(10分钟)、临时邮、临时Email、快速注册Email、24Mail--查错网 任意发件人发送邮件、伪造发件人发送电子邮件、伪造电子邮件地址发送邮件--查错网 10分钟邮箱 - BccTo.ME Emkei's Fake Mailer 临时邮箱 微匹 - 让每天都有新客户 Receive SMS Online | Temporary SMS and Disposa
Fiddler是位于客户端和服务器端的HTTP代理,也是目前最常用的http抓包工具之一 。 它能够记录客户端和服务器之间的所有 HTTP请求,可以针对特定的HTTP请求,分析请求数据、设置断点、调试web应用、修改请求的数据,甚至可以修改服务器返回的数据,功能十分powerful。
请点击蓝字 关注我们 01 谷歌宣布了对Chrome浏览器用户的一些新的保护措施,来降低用户登录钓鱼网站比率。主要通过将当前网页的URL与最近访问过的URL进行对比,如果看起来相似,网页就会显示一条警告。 还推出了一个新的扩展(Suspicious Site Reporter),用来让重度用户上报可能是钓鱼网站的可疑网页,当它发现你正在看的网页不够可靠时,扩展位置的小旗便会转为橙色,你就可以上报可疑域名,截图等信息。 02 facebook发数字货币,Block.one联合创始人BM花3000万美元为自家
apktool apktool是一个用于第三方封闭的二进制Android应用程序逆向工程工具 它可以将资源解码为几乎原始的形式,并在进行一些修改后重建它们; 它可以逐步调试小代码, 由于类似项目的文件
经全百科测试,只有访问cn或者com或者net域名时才能正常的跳转。这个代码适用于很多方面,例如使被QQ管家拦截的域名在手机QQ内通过跳转能够得到正常的访问。
随着谷歌等浏览器不在支持flash,网站视频课程加密也必须考虑新的方案,而不能在使用原来的是flash加密,那么替代方案是什么呢?能不能达到和flash一样的加密效果?毕竟对于视频加密来说安全性和便利性是比较重要的,在给用户良好的体验基础上,安全性是关键了。
说明: 1. 开发板Web服务器的设计可以看我们之前发布的史诗级网络教程:链接。 2. 需要复杂些的Web设计模板,可以使用我们V6开发板发布的综合Demo:链接。 3. 教程中使用的是花生壳免费版,免费版仅支持电信用户,每个月1GB的流量,实际测试几天,稳定性还行。收费版没有这些限制。 4. 现在已经用了快两年的花生壳收费版,比较稳定,基本没有死机现象。 5. 不管是免费版本的花生壳还是收费版的,有时候会提示需要实名认证,可以不用管。现在还没有强制必须执行。如果长期使用的话,建议做一下认证,认证过程也比较简单。 6. 注册了花生壳后会免费给一个域名,通过这个域名配合花生壳就可以实现内网透传了,无需公网IP,现在由于IPv4地址资源枯竭,运营商给客户的基本都是内网IP。 7. 利用花生壳,可以通过手机或者电脑很方便的访问开发板建立的Web服务器,从而可以做一些有意思的外网远程监控。 =================================== 专题教程下载:
构建工具都自带了web服务器,但是对于配置https以及自定义域名不是很友好。所以一般通过反向代理来实现自定义域名以及https:
最近公司项目需要接入企业微信,所以体验了一把企业微信的对接流程,把对接过程中遇到的问题总结一下。
通过一段代码让网址在手机QQ内被点击时自动打开默认浏览器跳转,但是这段代码并不完美,经过几个后缀不同的域名的测试,只有访问.cn或者.com域名时才能正常的跳转。这个代码适用于很多方面,例如使被QQ管家拦截的域名在手机QQ内通过跳转能够得到正常的访问。
计算机已经走进千家万户,不管是老人还是小孩都会使用计算机,但是,计算机运行背后的规律却并不是每个人都能搞明白的,比如网站的运行是必须要有域名的,那么域名怎么用?应该选择怎样的域名去购买呢?
百度搜索引擎与谷歌搜索引擎相比,百度搜索搜到的结果确实要比谷歌少了不少,通过谷歌语法做信息搜集,我们自然少不了留存一些谷歌镜像站,但是有些时候搜索中文网站相关信息时,百度搜索也许会有意想不到的信息,下面先推荐一些正在维护的谷歌镜像站。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
即时通信 IM
腾讯会议
