- 博客(4)
- 收藏
- 关注
RSS订阅转载 使用Charles进行HTTPS抓包及常见问题
Charles下载地址:https://www.charlesproxy.com/download/第一步:配置HTTP代理,设置代理:主界面--Proxy--Proxy Settings选择在8888端口上监听,然后确定。勾选了SOCKS proxy,还能截获到浏览器的http访问请求。第二步:配置SSL代理: 首先在charles的 Proxy选项选择SSL Prox...
2019-09-29 11:30:00
367
转载 一切从资产梳理开始
友情提示:本文共1200+字,预计阅读3分钟。关键词:隐形资产、资产梳理、摸清家底、资产安全治理如果要入侵一台服务器,从开放的端口服务下手;那么,如果要入侵一家企业,从互联网暴露面资产进行探测,主要围绕域名、IP进行信息收集。你了解过你所在的企业有多少资产暴露在外网吗?通过防火墙发布外网,这里的内外网映射关系+域名解析记录,构成了一条完整的网络链路,而这些链路决定了有...
2019-09-28 21:01:00
760
转载 如何防止短信API接口遍历
短信API接口在web中得到越来越多的应用,如用户注册,登录,密码重置等业务模块都会使用手机验证码进行身份验证。一般情况下,我们会采用这样的安全策略,将短信发送频率限制在正常的业务流控范围内,比如,一个手机号一天最多下发10条短信,同时限制时效,验证次数。但这样的策略,攻击者通过遍历手机号,还是阻止不了短信资源被消耗的情况。如何防止短信api接口遍历呢?在平时浏览网站的时候,我会...
2019-09-28 20:58:00
573
转载 新的部署架构之下,如何拿shell?
和朋友聊起一个话题,服务器部署架构升级对安全的影响。从最简单的一台服务器,到应用、数据库、文件服务器分离;从本地机房服务器到云服务器产品矩阵;从虚拟化到容器化部署,一直在往更安全的方向改变。本文试图构建这样场景,源码放在ECS,数据库放RDS,非结构化数据存储放HDFS。常规的getshell手段,如SQL注入写入文件,任意文件上传,文件包含等似乎已不再好使。这种情况,如何突破系统的...
2019-09-28 20:55:00
200
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人