概述
Burte Force(暴力破解)概述
“暴力破解”是一攻击具手段,在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。
理论上来说,大多数系统都是可以被暴力破解的,只要攻击者有足够强大的计算能力和时间,所以断定一个系统是否存在暴力破解漏洞,其条件也不是绝对的。 我们说一个web应用系统存在暴力破解漏洞,一般是指该web应用系统没有采用或者采用了比较弱的认证安全策略,导致其被暴力破解的“可能性”变的比较高。 这里的认证安全策略, 包括:
1.是否要求用户设置复杂的密码;2.是否每次认证都使用安全的验证码(想想你买火车票时输的验证码~)或者手机otp;3.是否对尝试登录的行为进行判断和限制(如:连续5次错误登录,进行账号锁定或IP地址锁定等);4.是否采用了双因素认证;…等等。千万不要小看暴力破解漏洞,往往这种简单粗暴的攻击方式带来的效果是超出预期的!
你可以通过“BurteForce”对应的测试栏目,来进一步的了解该漏洞。
从来没 ...
Github部署Hexo教程文档需要准备什么:
nodejs
Git
Github账号
本地连接Github本地创建一个文件夹blog_Hexo,然后右键选择 Open Git Bash Here:
弹出该Bash页面:
在里面输入:
git config --global user.name "你的 GitHub 用户名"git config --global user.email "你的 GitHub 邮箱"
创建SSH密钥:
ssh-keygen -t rsa -C "你的 GitHub 邮箱"
去C:/User/用户名/.ssh中找到id_rsa.pub,记事本打开并复制里面的内容(找不到该文件就把显示隐藏文件打开)
然后去Github的Setting——New SSH key——New SSH key
Title 随便取,然后把 id_rsa.pub 里面的内容到复制到 Key 中,点击 Add SSH key:
保存完毕以后,我们可以在本地验证一下连接。
验证连接依旧在 Git Bash Here 界面 ...
优化 Hexo 网站的永久链接格式前言Hexo 默认的永久链接格式目录层级太复杂,深度太大,不仅不利于 SEO,而且也不美观,本文介绍一下 Hexo 下文章的永久链接优化流程
Hexo 的文章永久链接优化方式主要有两种:
免插件式
修改 Hexo 的配置文件的 permalinks 部分,然后在文章 Markdown 文件的 front-matter 字段进行定义
插件式
安装 hexo-abbrlink 或 hexo-abbrlink2 插件并配置
打开 Hexo 的配置文件,找到下列字段按照注释修改
# URL## Set your site url here. For example, if you use GitHub Page, set url as 'https://username.github.io/project'url: http://example.com # 带协议的网站地址,如 https://www,dejavu.moepermalink: :year/:month/:day/:title/ # 预设永久链接格式permali ...
应急响应
未读第1篇:window入侵排查0x00 前言当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,急需第一时间进行处理,使企业的网络信息系统在最短时间内恢复正常工作,进一步查找入侵来源,还原入侵事故过程,同时给出解决方案与防范措施,为企业挽回或减少经济损失。
常见的应急响应事件分类:
web入侵:网页挂马、主页篡改、Webshell
系统入侵:病毒木马、勒索软件、远控后门
网络攻击:DDOS攻击、DNS劫持、ARP欺骗
针对常见的攻击事件,结合工作中应急响应事件分析和解决的方法,总结了一些Window服务器入侵排查的思路。
0x01 入侵排查思路1.1 检查系统账号安全1、查看服务器是否有弱口令,远程管理端口是否对公网开放。
检查方法:据实际情况咨询相关服务器管理员。
2、查看服务器是否存在可疑账号、新增账号。
检查方法:打开 cmd 窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。
3、查看服务器是否存在隐藏账号、克隆账号。
检查方法:
a、打开注册表 , ...
简述XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java,VBScript,ActiveX,Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。
常用的XSS攻击手段和目的1.盗用cookie,获取敏感信息。2.利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。3.利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的操作如发微博、加好友、发私信等操作。4.利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。5.在访问量极大的一些页面上的XSS可以攻击一些小型网站,实现DDOS攻击的效果。
分类反射型反射型跨站脚本(Reflected Cross-Site Scrip ...
漏洞挖掘
未读关于验证码的那些漏洞一、短信轰炸这类漏洞存在的原因是没有对短信验证码的发送时间、用户及其IP作一些限制。
案例1、正常的短信轰炸
burp一直发包即可
案例2、并发绕过做了限制咋办?可以试试并发(万物皆可并发)
使用turbo intruder插件进行并发。
并发次数越大是不是轰炸就越多
案例3、删除cookie绕过
可以尝试把cookie删掉,有些开发就可能根据cookie判断验证码是否获取过
案例4、特殊格式绕过手机号码前后加空格,86,086,0086,+86,0,00,/r,/n, 以及特殊符号等
修改cookie,变量,返回
138888888889 12位经过短信网关取前11位,导致短信轰炸
进行能解析的编码。
二、暴力破解(任意用户登录注册) 服务端未对验证时间、次数作出限制,存在爆破的可能性。简单的系统存在可以直接爆破的可能性,但做过一些防护的系统还得进行一些绕过才能进行爆破。
burpsuite对纯数字验证码爆破时间估计:
对于4位纯数字验证码:从0000~9999的10000种可能用多线程在5分钟内跑完并不是很难。
...
教程1:亲测可用-jetson nano b01上配置cuda加速的opencv_jetson nano cuda加速-CSDN博客
教程2:L-3 Install OpenCV 4.5 on NVIDIA Jetson Nano | Set Up a Camera for NVIDIA Jetson Nano - YouTube
教程3:Jetson OpenCV 安装,支持cuda加速,已解决多个常见问题_jetson opencv cuda-CSDN博客
教程4:jetson-nano环境配置 - yin-qiyu - 博客园 (cnblogs.com)
此篇记录中国机器人大赛智能车备赛时配置jetson nano环境,按照yolov5以及开启cuda加速时候的步骤操作及遇到的问题
Jetson Nano的环境配置(opencv+TensoRT)sudo apt-get updatesudo apt-get upgrade
VNC(虚拟网络控制台)
编辑文件
sudo vim /usr/share/glib-2.0/schemas/org.gnome.Vino.gschem ...
