2014年12月20日
摘要:
在某discuz论坛上发现发帖的用户都是登录名做昵称,故注册了一个帐号进行登录,仔细分析之后,发现有一个url会根据id返回相应的基本用户信息,而信息里面包含了用户名!并且id是顺序递增的,这意味着我们是可以使用脚本大批量获取该站点的用户名的。此外,经过手动验证,该论坛的登录只做了纵向暴力破解防御,... 阅读全文
摘要:
Python SocketServer使用介绍1、简介: SocketServer是python的一个网络服务器框架,可以减少开发人员编写网络服务器程序的工作量。SocketServer总共有4个server基类。TCPServer:负责处理TCP协议。UDPServer:负责处理UDP协议。Uni... 阅读全文
摘要:
隐私问题被曝光得越来越多,随着物联网的发展,只会变得越来越严重,不过从当前看来 ,国人对隐私的重视度还远没有国外,期待加强对隐私的保护策略。 转自:http://www.freebuf.com/news/54486.html 网络安全公司Palo Alto披露,酷派安卓设备上存在搜集用户隐私数据的恶意后门程序。酷派是国内知名手机制造商(你常常会在办宽带、话费套餐送手机时遇到它),产品远销... 阅读全文
摘要:
转自:http://www.w3cschool.cc/python/python-multithreading.html 多线程类似于同时执行多个不同程序,多线程运行有如下优点: 使用线程可以把占据长时间的程序中的任务放到后台去处理。 用户界面可以更加吸引人,这样比如用... 阅读全文
摘要:
简介:做安全的筒子经常会碰到这样的问题,当向要分析通信协议的时候往往都会有加密通信保护,对于SSL通信我们可以使用SSL劫持,但对于应用层面的加密就显得无能为力了,最好的办法就是调试应用,在应用内部去把明文通信数据包挖出来做分析。 1、 向开发工程师了解获取明文协议数据的入口函数,此处为ssl_session::handle_read。 2、 在本机安装和启动LBS后台服务程序。方法:先后... 阅读全文
摘要:
1、简介: YS业务系统是属于物联网体系的一个具体应用,和互联网不一样的是,广泛存在于物联网中的设备是存在于感知层的,其存在如下风险: (1)、设备固件可能被dump并大量“山寨”,除了设备本身之外,设备还可以免费使用云平台的服务,最终会造成公司的巨大损失。 (2)、攻击者可以仿冒设备并大量注册到平台,可能会对平台造成巨大压力而拒绝服务。 因此,验证登录平台的设备的身份显... 阅读全文
摘要:
简介: 使用数字证书用来做二次登录认证是一种已经广泛使用的,能够有效保护用户账户的手段,即用户如果开启了数字证书保护,登录到应用系统时,不仅需要输入用户的账户和口令,还需要有这张证书配合才能登录,因此,即便用户的账户被盗去,在没有数字证书的情况下一样无法登录系统。 1、用户申请新证书流程: 场景1:用户登录YS,开启数字证书登录功能和新建证书申请。 2、用户使用数字证书登录流... 阅读全文