置顶推荐

跟铁匠来一起学网络安全

跟铁匠来一起学网络安全

前言 铁匠运维网 团队决定整理一套入门的基础知识,希望喜欢网络安全的朋友们更快的熟悉并掌握网络安全,这里没有太多理论,有的只是干货!以下是学习路线,文章会持续更新(欢迎收藏哟^_^),在学习的过程中遇到任何问题,可以加我们的QQ群:375650204!网络安全,一直是我最喜欢的一门技术, 这里呢,我把我平时,整理出来的笔记,文档,分类好发表出来。方便来查阅,有问题的,可以随时联系我。一起为梦想奋斗

6个月前 (09-02) 浏览: 502 评论: 0
跟铁匠来一起学Linux

跟铁匠来一起学Linux

题记     铁匠运维网 团队决定整理一套入门的基础知识,希望喜欢Linux的朋友们更快的熟悉并掌握Linux,这里没有太多理论,有的只是干货!以下是学习路线,文章会持续更新(欢迎收藏哟^_^),在学习的过程中遇到任何问题,可以加我们的QQ群:375650204! 写给那些想成为Linux高手的人们:http://www.tiejiang.org/6725.html 一:下载你需要的ISO安装镜像

6个月前 (09-02) 浏览: 490 评论: 0

网络安全工程师 + 更多

1
JavaScript的注入引出技术诈骗

JavaScript的注入引出技术诈骗

0×01 前言 在最近的恶意软件的调查中,我们发现了一些有趣的混淆JavaScript代码。此代码伪装成现在流行的插件AddThis social sharing的一部分,在URL命名约定和图像文件中使用它。恶意软件最终将网站访问者重定向到node.additionsnp[.]top,这个网站存在着可能对访问者造成威胁的技术骗局。这种恶意软件巧妙的隐藏了自己,网络管理员很难能识别它。 0×02 混

1
暴风影音AviIndexChunk字段堆溢出漏洞分析实战

暴风影音AviIndexChunk字段堆溢出漏洞分析实战

0×00 背景 年前Fuzzing暴风影音时,得到一个avi格式poc样本,MSEC插件提示Exploitable,一直拖到现在才把整个分析过程整理出来。最后虽然无法成功利用,但总算搞清楚了漏洞产生的原因。期间自己也悟出了一些漏洞分析的基本思路,细细品味,甚是欢喜。故总结成文,希望能和大家共同探讨漏洞分析奥妙之一二。不当之处,敬请指正。 0×01 漏洞现场还原 [crayon-58aaacaf1d

17
安卓系统里最好用的VPN工具汇总

安卓系统里最好用的VPN工具汇总

本文将告诉各位同学如何通过VPN来保护Android手机的隐私安全,你也许不需要花任何的钱,但免费的VPN应用也有其不足之处。 在Android手机上使用VPN不仅可以帮助你访问那些被墙掉的内容,而且还可以让你在上网过程中保持匿名性。目前市场上有很多App可以给用户提供免费或收费的VPN服务,但是哪一款才是最适合你的呢? 为此,我们专门对目前市场上最热门的六款AndroidVPN应用进行了测试,并

15
产品经理眼中比较理想的WEB扫描器

产品经理眼中比较理想的WEB扫描器

摘要 漏洞扫描器,也叫VA(Vulnerability Assessment)漏洞评估或者VM(Vulnerability Management)漏洞管理,一直是各大安全厂商产品线中不可或缺的一部分。本文是以一个产品经理的角度讨论其中更细分的一个领域,WEB漏洞扫描器。所谓产品经理的视角其实是兼顾甲方和乙方的立场。 重要地位 WEB漏洞扫描器主要任务是发现WEB服务存在的安全漏洞,及时通知用户并给

26
有了漏洞扫描器,如何用好?一点不成熟的小总结

有了漏洞扫描器,如何用好?一点不成熟的小总结

*本文原创作者:德约杲杲,本文属FreeBuf原创奖励计划,未经许可禁止转载 昨天晚上做梦,梦见不知道在之前还是现在的哪家公司,跟同事老板谈hc,说到,当前最大的问题是,人力问题,是人力不够。只有人力解决了,这个team才能运转下去。我就问,那你们团队是做啥的呢?他说做扫描器和漏洞运营。梦里就开始回想在以前公司中,各种方法有效的效率提高和人力节省措施,我就回了一句,人力当然重要,不然事情做不起来,

33
Kali下常用安全工具中文参数说明(160个)

Kali下常用安全工具中文参数说明(160个)

nc 瑞士军刀 [v1.10-41] 使用格式: nc [-参数] 主机名 端口[s] [端口] … 侦听入站: nc -l -p 端口[-参数] [主机名] [端口] 参数选项: [crayon-58aaacaf27904949800421/] 端口号可以是一个或者是一段: lo-hi [inclusive]; 在端口名称处必须使用反斜杠 (e.g. ‘ftp\-data’). nmap 扫描工

14
AngularJS沙箱绕过:反射型XSS导致麦当劳用户密码泄露

AngularJS沙箱绕过:反射型XSS导致麦当劳用户密码泄露

通过滥用一个不安全加密存储漏洞(点击查看)和反射型服务端跨站脚本漏洞(点击查看)就可以从麦当劳盗取并解密用户密码。除此之外,其他个人信息,如用户姓名、地址和联系方式都可能被盗。 Proof of Concept(PoC) AngularJS沙箱绕过进行反射型XSS McDonalds.com包括一个搜索页面在页面的源码上体现了一个搜索参数(q)的值。所以当我们在页面上搜索***********-t

99
看我如何利用漏洞窃取麦当劳网站注册用户密码

看我如何利用漏洞窃取麦当劳网站注册用户密码

本文讲述了利用不安全的加密存储(Insecure_Cryptographic_Storage)漏洞和服务端反射型XSS漏洞,实现对麦当劳网站(McDonalds.com)注册用户的密码窃取,进一步测试,还可能获取到网站注册用户的更多信息。 POC-利用反射型XSS漏洞绕过AngularJS框架沙箱 麦当劳网站McDonalds.com设置有一个搜索页面,该页面存在XSS反射型漏洞,可以返回搜索参数

服务器运维 + 更多

3
nagios 安装配置 详解

nagios 安装配置 详解

我之前用过cacti,munin这二种服务器监测工具,下面我将详细讲解一下nagios的安装配置过程,nagios安装比较简单,但是配置是比较复杂,这篇文章只是安装配置的第一篇。都放到一篇博客里面写,文章会过长。 一,cacti,munin,nagios的比较 cacti安装比较麻烦,配置也比较复杂,不过插件还是比较多的。web界面做的比较美观。有一点我不喜欢用它,就是它用到mysql数据库,数据

32
CentOS6.5下docker的安装和使用

CentOS6.5下docker的安装和使用

Docker是一个开源的应用容器引擎,可以轻松的为任何应用创建一个轻量级的、可移植的、自给自足的容器。利用Linux的LXC、AUFS、Go语言、cgroup实现了资源的独立,可以很轻松的实现文件、资源、网络等隔离,其最终的目标是实现类似PaaS平台的应用隔离。 Docker值得关注的特性: 文件系统隔离:每个进程容器运行在一个完全独立的根文件系统里。 资源隔离:系统资源,像CPU和内存等可以分配

23
360 如何用 QConf 搞定 2W+ 服务器的配置管理

360 如何用 QConf 搞定 2W+ 服务器的配置管理

此文根据【QCON高可用架构群】分享内容,由群内【编辑组】志愿整理,转发请注明出处。 王康,奇虎360基础架构组资深工程师 目前负责分布式配置管理服务QConf的研发和维护,并推动其在奇虎360的应用。专注于服务端底层通用工具、框架和系统的研发,为公司的Web服务端及服务端提供易用、可靠的基础服务支持。 QConf是奇虎360广泛使用的配置管理服务,现已开源,欢迎大家关注使用。 https://g

5
我的日志分析之道:简单的Web日志分析脚本

我的日志分析之道:简单的Web日志分析脚本

前言 长话短说,事情的起因是这样的,由于工作原因需要分析网站日志,服务器是windows,iis日志,在网上找了找,github找了找,居然没找到,看来只有自己动手丰衣足食。 那么分析方法我大致可分为三种: 1. 基于时间:将请求url按时间段分类,那么我们根据每个时间段的url数量及攻击数量就可以大致判断出哪个时间段有apt类型攻击,哪个时间段是扫描器行为; 2. 基于攻击ip:正常的攻击肯定会

306
用Shell脚本分析Nginx日志

用Shell脚本分析Nginx日志

本节将介绍用Shell脚本来分析Nginx负载均衡器的日志,这样可以快速得出排名靠前的网站和IP等,推荐大家使用线上环境下的Shell脚本。本节中的Shell脚本又分为两种情况,第一种情况是Nginx作为最前端的负载均衡器,其集群架构为Nginx+Keepalived时,脚本内容如下所示: [crayon-58aaacaf249c6909736156/] [crayon-58aaacaf249d4

解决登录WDCP面板出现”无法连接mysql,请检查mysql是否已启动”问题

解决登录WDCP面板出现”无法连接mysql,请检查mysql是否已启动”问题

2017-02-14 9 ℃  0
 0 

今天一个客户用的是Ubuntu的系统,装的是WDCP的软件,说mysql数据库启动不来。铁匠就进客户的云主机开始排查。 解决方法一: [crayon-58aaacaf25a4d616451089/] 首先先来查看一下mysql的进程号吧。 [crayon-58aaacaf25a58640664552/] 如果看到上面的内容,那说明,Mysql的进程卡死了,这时用就要把这些卡死的进程都关闭。 [cr

项目开发工程师 + 更多

用Shell脚本分析Nginx日志

用Shell脚本分析Nginx日志

本节将介绍用Shell脚本来分析Nginx负载均衡器的日志,这样可以快速得出排名靠前的网站和IP等,推荐大家使用线上环境下的Shell脚本。本节中的Shell脚本又分为两种情况,第一种情况是Nginx作为最前端的负载均衡器,其集群架构为Nginx+Keepalived时,脚本内容如下所示: [crayon-58aaacaf249c6909736156/] [crayon-58aaacaf249d4

 2017-02-15
 306
 0 
120个程序源码–微信小程序

120个程序源码–微信小程序

微信小程序火得一塌糊涂,小编趁着大家还没开始动手码代码,先给大家搜集了120 小程序的源码,供大家学习参考。 这些源码非常全面,有页面框架、2048游戏,仿Iphone计算器,应有尽有,话不多说,贴图为证: 下载地址:120个程序源码

 2017-01-13
 279
 0 
非常强大的shell脚本写的俄罗斯方块

非常强大的shell脚本写的俄罗斯方块

网上看到的一个用Linux的shell脚本写的俄罗斯方块。是我至今见过写的最牛逼的shell了。共享一下。 原作者信息在脚本的注释中有。 [crayon-58aaacb288a4f232285930/]  

 2017-01-11
 57
 0 

数据库管理员 + 更多

2017-02-20 2 ℃   0
 0 

下面内容是参加的一门网络课程的一个章节脉络。自己再脉络基础上进行了扩展。 看图说话 1.平台综述 描述一个平台(linux,windows),这里说的平台,其实就是主机。衡量一个主机的好坏,主要从5方面入手即可。主机的用途不同,要求指标也会略有不同。 2.解决性能问题的一般步骤 解决线上问题的步骤,和医生诊断的情形进行类比。解决线上问题的过程,往往最耗时,最困难的地方,就是定位问题过程,往往伴随着

MySQL异常:Incorrect key file for table ‘/tmp/#sql_37b_1.MYI’; try to repair it

今天突然收到报警短信,提示网站有一个模块出现异常,当时我就方了 检查了下日志,发现异常如下: [crayon-58aaacaf25338525291494/] 看这个异常信息真是一头雾水,但是可以确定的是,在执行一条SQL的时候,数据库(MySQL)抛出异常,先不管那么多,直接将SQL在终端跑一下,异常如下 问题原因:在执行SQL的时候,产生临时数据占满了/tmp磁盘空间 解决方法 1、,使用SQ

mongodb设置最大连接数、最大连接数修改

mongodb最大连接数是20000。 所以业界流传一段话,千万级以下的用mysql、千万级以上的用mongodb,亿级以上的用hadoop。 查看mongodb最大连接数: [crayon-58aaacb33ae48136392369/] 修改mongodb最大连接数 [crayon-58aaacb33ae5c247514914/]

MongoDB 3.2.9 请求 hang 分析及 wiredtiger 调优

MongoDB 3.2.9 版本在 wiredtiger 上做了很多改进,但不幸的时,这个版本引入了一个新的 bug,持续大量 insert/update 场景,有一定的可能导致 wiredtiger 进入 deadlock,MongoDB 官方迅速的在3.2.10里修复了该问题,该版本在 wiredtiger 内存使用上也做了控制,尽量避免了因为内存碎片导致 wiredtiger 内存使用远超出

CentOS 6.5_X64下安装配置MongoDB数据库

Linux操作系统:Centos6.5_x64 IP地址:192.168.163.7 最终实现的目标:安装MongoDB数据库 一、首先关闭服务器的SELinux防火墙。 [crayon-58aaacb33c2d4665663474/] 二、编辑服务器的iptables防火墙,要放行27017的端口 [crayon-58aaacb33c2e0274934577/] [crayon-58aaacb3

IT视频免费下载 + 更多

60
Snuck:一款自动化XSS漏洞扫描工具(含下载)

Snuck:一款自动化XSS漏洞扫描工具(含下载)

工具简介【下载地址】 snuck是一款自动化的漏洞扫描工具,它可以帮助你扫描Web应用中存在的XSS漏洞。snuck基于Selenium开发,并且支持Firefox、Chrome和IE浏览器。 snuck与传统的Web安全扫描工具有显著的区别,它会尝试利用特殊的注入向量来破坏网站的XSS过滤器,并通过这种方法提高漏洞的检出成功率。基本上说,snuck所采用的检测方法与iSTAR漏洞扫描工具的检测方

25
3xp10it自动化渗透测试框架1.0

3xp10it自动化渗透测试框架1.0

About 3xp10it 3xp10it是一个自动化渗透测试框架,目前没有做到完全自动化[自动上传漏洞利用框架和自动fuzz框架暂时没有加入。 b)支持功能列表 高危漏洞扫描模块 爬虫模块 目标网站脚本类型检测 目录扫描模块 sqli扫描模块 robots/sitemap自动收集 cms识别与cms漏洞扫描模块 自动识别管理员页面并爆破[支持自动识别简单验证码] webshell自动查找与爆破,

73
使用轻量级工具Sysmon监视你的系统

使用轻量级工具Sysmon监视你的系统

0×01 sysmon介绍 sysmon是由Windows Sysinternals出品的一款Sysinternals系列中的工具。它以系统服务和设备驱动程序的方法安装在系统上,并保持常驻性。sysmon用来监视和记录系统活动,并记录到windows事件日志,可以提供有关进程创建,网络链接和文件创建时间更改的详细信息。 通过收集使用Windows事件集合或SIEM代理生成的事件,然后分析它们,您可

102
渗透测试软件Cobalt Strike Windows版破解

渗透测试软件Cobalt Strike Windows版破解

Armitage是一款Java写的Metasploit图形界面的渗透测试软件,可以用它结合Metasploit已知的exploit来针对存在的漏洞自动化攻击。bt5、kali linx 下集成免费版本Armitage,Cobalt Strike是它的商业版本,乃们懂得,图形界面非常友好,一键傻瓜化使用MSF高级功能,自动渗透测试。 但是不对我大天朝出口,免费使21天。 其实Cobalt Strik

133
《实战nginx:取代apache的高性能web服务器》PDF高清下载

《实战nginx:取代apache的高性能web服务器》PDF高清下载

剖析Nginx负载均衡和反向代理的配置与优化,介绍Nginx核心模块的使用方法和模块开发技巧,分享新浪播客、金山逍遥网使用Nginx的实战经验。 内容推荐: Nginx是俄罗斯人Igor Sysoev编写的一款高性能的HTTP和反向代理服务器。Nginx选择了epoll和kqueue作为网络I/O模型,在高连接并发的情况下,内存、CPU等系统资源消耗非常低,运行稳定。        本书系统地介绍

深入探究文件Fuzz工具之Peach实战

深入探究文件Fuzz工具之Peach实战

2016-11-28 24 ℃  0
 0 

0×0 前言 本文旨在详细介绍文件Fuzz工具Peach的使用,涵盖了基于Python的2.3旧版本和基于C#的3.1新版本,讲求实践与语法并重,适合零基础和有一定其他Fuzz工具使用经验的人z作为学习参考。文中若有不当之处,还望不吝指正。 说明:本文中穿插对比了3版本较于2版本有较大改动的地方,并以“V3:”特意标注。 0×1 Peach介绍与安装 Peach是用python/C#写的开源Sma

互联网动态 + 更多

超声波追踪技术可以暴露Tor用户的真实信息(去匿名化,含视频)

超声波追踪技术可以暴露Tor用户的真实信息(去匿名化,含视频)


8小时前   浏览: 1

很多广告商会在自己的网页广告中使用一种名叫uXDT的技术,这项技术可以帮助他们追踪用户的访问习惯,这样就可以更有针对性地向用户投放广告了。此时,攻击者就可以在一个Web页面中嵌入能够发出超声波的广告或JavaScript代码,当Tor用户使用Tor浏览器访问这个页面时,他就可以利用附近的手机或电脑来劫持目标设备向广告商发送识别信标来获取到包含用户敏感信息的数据了。 这种攻击模型是一个由六名研究人员

切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

扫一扫二维码分享