Xcnte个人博客 http://www.xcnte.com/ zh-CN Xcnte个人博客,是记录Xcnte博主的工作、技术分享、生活成长的一个网站 Sun, 11 Nov 2018 20:03:00 +0800 Sun, 11 Nov 2018 20:03:00 +0800 苏格拉底与失恋者的对话 http://www.xcnte.com/index/%E7%94%9F%E6%B4%BB%E9%9A%8F%E7%AC%94/273.html http://www.xcnte.com/index/%E7%94%9F%E6%B4%BB%E9%9A%8F%E7%AC%94/273.html Sun, 11 Nov 2018 20:03:00 +0800 故人C 苏格拉底与失恋者的对话

:“孩子,为什么悲伤?”

失恋者:“我失恋了。”

:“哦,这很正常。如果失恋了没有悲伤,恋爱大概也就没有什么味道了。可是,年轻人,我怎么发现你对失恋的投入甚至比你对恋爱的投入还要倾心呢?”

失恋者:“到手的葡萄给丢了,这份遗憾,这份失落,您非个中人,怎知其中的酸楚啊。”

:“丢了就丢了,何不继续向前走去,鲜美的葡萄还有很多。”

失恋者:“我要等到海枯石烂,直到她回心转意向我走来。”

:“但这一天也许永远不会到来。”

失恋者:“那我就用自杀来表示我的诚心。”

:“如果这样,你不但失去了你的恋人,同时还失去了你自己,你会蒙受双倍的损失。”

失恋者:“您说我该怎么办?我真的很爱她。”

:“真的很爱她?那你当然希望你所爱的人幸福?”
失恋者:“那是自然。”

:“如果她认为离开你是一种幸福呢?”

失恋者:“不会的!她曾经跟我说,只有跟我在一起的时候,她才感到幸福!”

:“那是曾经,是过去,可她现在并不这么认为。”

失恋者:“这就是说,她一直在骗我?”

:“不,她一直对你很忠诚的了。当她爱你的时候,她和你在一起,现在她不爱你,她就离去了,世界上再也没有比这更大的忠诚。如果她不再爱你,却要装着对你很有感情,甚至跟你结婚、生子,那才是真正的欺骗呢。”

失恋者:“可是,她现在不爱我了,我却还苦苦地爱着她,这是多么不公平啊!”

:“的确不公平,我是说你对所爱的那个人不公平。本来,爱她是你的权利,但爱不爱你则是她的权利,而你想在自己行使权利的时候剥夺别人行使权利的自由,这是何等的不公平!”

失恋者:“依您的说法,这一切倒成了我的错?”

:“是的,从一开始你就犯错。如果你能给她带来幸福,她是不会从你的生活中离开的,要知道,没有人会逃避幸福。”

:“可她连机会都不给我,您说可恶不可恶?”

:“当然可恶。好在你现在已经摆脱了这个可恶的人,你应该感到高兴,孩子。”

失恋者:“高兴?怎么可能呢,不过怎么说,我是被人给抛弃了。”

:“时间会抚平你心灵的创伤。”

失恋者:“但愿我也有这一天,可我第一步应该从哪里做起呢?”

:“去感谢那个抛弃你的人,为她祝福。”

失恋者:“为什么?”

:“因为她给了你忠诚,给了你寻找幸福的新的机会。”

不想那么多了去寻找幸福的新的机会吧

]]>
0 http://www.xcnte.com/index/%E7%94%9F%E6%B4%BB%E9%9A%8F%E7%AC%94/273.html#comments http://www.xcnte.com/index/feed/%E7%94%9F%E6%B4%BB%E9%9A%8F%E7%AC%94/273.html
网站漏洞是危害还是对安全的推动 http://www.xcnte.com/index/heart/272.html http://www.xcnte.com/index/heart/272.html Sun, 04 Nov 2018 13:54:00 +0800 故人C 在漏洞的海洋里,我们看到的永远只是浪花。

我一直在思考一个问题,什么才是推动互联网发展和完善的动力。按照马克思主义的哲学观点,社会基本矛盾是社会进步的根本动力;社会进步是社会本身的自我否定即“扬弃”的过程。

在互联网领域,矛盾体现在那里呢?体现在技术、设备、制度、行为的缺陷方面,也就是人们常说的“漏洞”。
漏洞有危害吗?答案无疑是非常肯定的,危害通常就发生在我们的身边,而且我们还毫无察觉。例如,某连锁酒店会员泄露事件,导致的不单单是公司声誉、名誉的损毁,更多的是给我们每个普通会员造成的个人信息带来的影响根本无法估计。

从技术发展的角度来看,人从会使用工具开始,到逐渐掌握各种客观规律,再到今天网络社会的高度发达,人的本质都是再尝试凭借自身的能力和外力工具来补上各种短板,客服漏洞、追求完善。所以,高尔基才说:“人生的意义就在于人的自我完善。”
因此,无论我们是否追求自我完善,无论我们的能力、金钱和社会地位如何,漏洞都会裹挟着我们,左右着我们的生活,时刻与我们相伴。

“一念善、皆是善。一念恶,皆是恶”凭借着掌握的漏洞,有人能为恶,有人能为善。人如是,社会也如是。

漏洞,一个源自人性缺陷的问题

我对漏洞的理解是:漏洞本质上是被利用的缺陷,就像一条船的船底和船舱门孔上都有一个天生存在的小孔,这两个孔都是缺陷。其中船底的小孔会导致进水,最终会船毁人亡,那么船底的孔就是漏洞。

[scode type="yellow"]转自:[/scode]

]]>
0 http://www.xcnte.com/index/heart/272.html#comments http://www.xcnte.com/index/feed/heart/272.html
你很难过,但终究会好 http://www.xcnte.com/index/%E7%94%9F%E6%B4%BB%E9%9A%8F%E7%AC%94/271.html http://www.xcnte.com/index/%E7%94%9F%E6%B4%BB%E9%9A%8F%E7%AC%94/271.html Sun, 28 Oct 2018 22:51:00 +0800 故人C 183700161.png

生活貌似对我总是不太友好,让我过的总是不太轻松

每日如行尸走肉般活着...

似乎越是喜欢的东西就越是难以得到,心里澎湃的情感总是无法宣泄,有时候想做一些事情,迈开第一步的时候却总是迟疑

我也一直在想,若是我没有喜欢上你,我是不是还是像现在这样患得患失,每天在抑郁的泥沼中挣扎。是不是还是会像现在这样一般,每天徘徊在街头,亦或是面对着手机,戴着没有声音的耳机发呆。


现在觉得的时间过得快

不是像以前觉得是一段时间过得快

而是每天

从前段时间开始

我的每天都过得好快好快

是不是人越大时间越不够用

而且也变得越来越懒

哪里也不想去

就想没事情的时候

自己安静的待起

失去了好多活力​

一年了

一年的时间里发生好多事

你往往很动心的那个时刻,

都是在你还没准备好的时候遇到

当你准备好一切却很难找回当初动心的那个瞬间了

时间好快

人生好难​


我以为我爱了,就会留下些什么,感触那些曲折。

我以为是规则,失去最爱的一个,才能记忆深刻。


我也一直想要放弃了,可是就连你的笑容都可以轻易将我击垮。
是我太脆弱么?还是我太过于纠缠不放?

我一个人独自漫步,看着前方长长的路和路灯,不知道自己在想什么,脑子里面也是一片空白,只是一直机械的往前走着,走着,走着....


再见到你,我一定让自己假装很坚定,我一个人坐在马路边,身旁还剩下几个啤酒瓶……


我时常遇到聊天不回的人,特别是我以为很好的关系的人,不过也可能是我一厢情愿的想法。

聊天不回,我知道不是他们没看到,不是他忙到没有时间回复,只是他不愿意罢了。

所以我尽量能秒回任何人给我的消息,尽管我知道没有人会认为我是特意这么做的,他们只是会觉得我很闲,可以时刻在网络上游荡。

其实我也很忙啊,我只是不愿意你们像我那样的等待,我害怕等待一条不会有的消息,我讨厌期待的煎熬,所以我想要你们知道,你们每个人对我都很重要,你能在那么长的聊天记录中想起我,我就已经受宠若惊了呢。


我们的爱情来的刚刚好 不多也不少 还能忘掉

有一天晚上 梦一场 你白发苍苍 说带我流浪
我还是没犹豫 就随你去天堂 不管能怎样 我能陪你到天亮

我想摸你的头发 只是简单的试探啊 我想给你个拥抱 像以前一样可以吗
你退半步的动作认真的吗 小小的动作伤害还那么大
我后来都会选择绕过那条街 又多希望在另一条街能遇见

天空有些暗了暗的刚刚好 我难过的样子就不会有人看到了


又快23点了呢,你睡了么,一定要早点睡呢……

]]>
0 http://www.xcnte.com/index/%E7%94%9F%E6%B4%BB%E9%9A%8F%E7%AC%94/271.html#comments http://www.xcnte.com/index/feed/%E7%94%9F%E6%B4%BB%E9%9A%8F%E7%AC%94/271.html
深入了解HTTP请求(渗透必备) http://www.xcnte.com/index/technical/268.html http://www.xcnte.com/index/technical/268.html Sat, 20 Oct 2018 22:12:00 +0800 故人C 随着Web2.0时代的到来,互联网从C/S(客户端/服务的)架构转变到B/S架构(浏览器/服务器),如果我们访问一个网站,只需要在浏览器中输入URL即可。

那么当客户端(浏览器)与Web服务器进行交互的时候,就存在Web请求,这种请求给予统一的应用层协议(HTTP协议)来交互数据。

那么具体的流程是怎么样的,我来画一张图(可能有点丑~):

我们该如何发起一个HTTP请求呢?

我们只需要打开浏览器然后回车,并输入URL就可以发起HTTP请求了,我们就可以在页面上看到请求的结果,看到这里,肯定会有小白会问,URL是什么。

URL就是统一资源定位符,也可以称为网页地址,域名,URL的格式如下:
协议://域名[:端口]/路径/[?传参][]里表示的值是可填可不填的,像[:端口]我们是可以不填的,因为这默认就是80端口了,比如我们访问与`效果是一样的

现在我们知道,只要借助浏览器可以快速发起一次请求,那么我们不使用浏览器呢?

其实我们还可以用很多工具来发起HTTP请求,比如,在Linux中的curl命令,我特意弄了一个Linux环境来给你们演示一下:

其实在这里,curl就成功的完成了一次请求,只是展示的地方不同,前者在浏览器,而这个在终端,我们还可以来返回这个网站的响应头:

在这里,我简单的说了一下HTTP请求,更多的大家可以上百度了解一下

]]>
3 http://www.xcnte.com/index/technical/268.html#comments http://www.xcnte.com/index/feed/technical/268.html
掌握这些搜索技巧,在 GitHub 上快速找到实用软件资源 http://www.xcnte.com/index/heart/264.html http://www.xcnte.com/index/heart/264.html Sat, 13 Oct 2018 10:49:00 +0800 故人C GitHub 作为目前广大程序猿最大的游乐场,在今年6月被 微软 以 75 亿美元价值的微软股票收购,GitHub 再次成为业界讨论的焦点。GitHub 以自由开放的定位吸引了相当多的个人开发者和企业,不断发布和更新相当好用的软件和工具

对于使用者,我不禁好奇:面对如此海量的 GitHub 项目,究竟怎样才能这个平台发现一些优秀的软件和工具。秉着这样的疑问,我收集和总结了下面这几个搜索技巧。

搜热门:GitHub Trend 和 GitHub Topic

GitHub Trend 页面总结了每天/每周/每月周期的热门 RepositoriesDevelopers,你可以看到在某个周期处于热门状态的开发项目和开发者。而 GitHub Topic 展示了最新和最流行的讨论主题,在这里你不仅能够看到开发项目,还能看到更多非开发技术的讨论主题,比如 JobChrome浏览器等。

搜开发者

坊间传闻人事招聘开发类员工时,招聘对象在 GitHub 贡献会是重要的参考指标之一。GitHub 作为优秀国产开源软件的集散地之一,埋藏了不少出色的开发者,所以在寻找国产软件的时候,可以尝试先找国内开发者。利用 GitHub 强大的搜索功能,增加几个搜索参数即可轻松找到「目标人物」。

(注:GitHub 官方还支持很多搜索条件,在 这里 可以查看官方出品的搜索技巧。)

比如需要寻找国产软件,首先想到的应该是在 GituHub 上找国内开发者,搜索时设置 locationChina,如果你要寻找使用 javascript 语言开发者,则再增加 languagejavascript,整个搜索条件就是:language:javascript location:china,从搜索结果来看,我们找到了近 17000 名地区信息填写为 chinajavascript 开发者,朋友们熟悉的阮一峰老师排在前列。根据官方指引,搜索 GitHub 用户时还支持使用 followersin:fullname 组合条件进行搜索。

搜项目

我们需要在 GitHub 上找到优秀的项目和工具,同样,通过关键字或者设置搜索条件帮助你事半功倍找到好资源。我的使用习惯是先用某些关键词搜索,得到的搜索结果优先展示一些现成的软件和工具。

Awesome + 关键字

Awesome 似乎已经成为不少 GitHub 项目喜爱的命名之一,比如前面提及要找到优秀的 Windows 软件,可以尝试搜索 Awesome windows,得到这样的搜索结果:

排名前列的结果出现了 Windows/Awesome 项目,这里集合了 Windows 上优质和精选的最佳应用程序及工具列表。在这里,我收集了这些 Awesome 主题的优秀项目:The awesome manifestoAwesome iOS frameworksAwesome wesome Android libraries and resources

设置搜索条件

如果你明确需要寻找某类特定的项目,比如用某种语言开发、Stars 数量需要达到标准的项目,在搜索框中直接输入搜索条件即可。其中用于发现项目,我的用法是灵活运用下面几个搜索条件:stars:language:forks:,其实就是设置项目收藏、开发语言、派生的搜索条件,比如输入 stars:>=500 language:javascript,得到的结果 就是收藏大于和等于 500 的 javascript 项目,排名前列是开源代码库和课程项目 freeCodeCamp、大热门的 VueReact 项目

如果觉得记住这些搜索条件略显繁琐的话,使用 GitHub 提供的 高级搜索功能,同样可用自定义条件进行搜索。或者参考官方给出的帮助指南 Searching on GitHub ,里面有更多关于项目、代码、评论、问题等搜索技巧。

下面是 GitHub 上影响力颇大的项目,仅列举部分:

  • free-programming-books:整理了所有和编程相关的免费书籍,同时也有中文版项目
  • github-cheat-sheet:集合了使用 GitHub 的各种技巧
  • android-open-project:涵盖 Android 开发的优秀开源项目
  • chinese-independent-developer:聚合所有中国独立开发者的项目

结语

[scode type="green"][/scode]

GitHub 网站拥有很多优秀的开源项目,用好 GitHub 的搜索功能,我们既可以使用官方提供的高级搜索和 TopicTrend 专题页面,也可以学习组合使用搜索条件的方法,主动发现更多好用的项目和工具。

]]>
0 http://www.xcnte.com/index/heart/264.html#comments http://www.xcnte.com/index/feed/heart/264.html
黑一个站最快要多久? http://www.xcnte.com/index/default/244.html http://www.xcnte.com/index/default/244.html Thu, 04 Oct 2018 15:54:00 +0800 故人C 会碰到有人问“黑一个网站需要多长时间?”、“怎样去黑站?”之类的不大不小的问题

一般而言,这个过程是比较烦琐的,可能涉及到检测注入点、破解MD5密码、扫描开放的端口和后台登录地址等操作(如果想拿WebShell的话还需要上传网马)。

不过凡事也不都是绝对的,有的网站可以在瞬间就被拿下,尤其是那些使用统一模板的网站,当模板系统出现问题时往往会引发连锁反应。

在此与大家共享一个因为默认设置懒得修改而导致数据库被下载、从而进入网站后台管理的小案例。

参加此次友情出演的是“汇成企业建站CMS系统”,其默认的版权信息是“版权所有@2003-2020汇成企业建站CMS系统”(一般都在首页的最下方),我们可以直接以这个版权信息作为关键字来进行Google或百度。找到使用该CMS系统的网站之后,就可以来构造URL来尝试下载它的数据库了——这也是汇成此次“上镜”的最大亮点:默认的数据库可以下载,是Databases目录下的huicheng.mdb,也算是一个小规模的批量“脱库门”事件了。

先来看第一个目标网站吧,广州市某广告设计有限公司,首页下方果然有“版权所有@2003-2020汇成企业建站CMS系统”字样,直接在域名之后添加/Databases/huich eng.mdb,一回车,立刻出现了数据库下载的提示。接着使用明小子的“数据库管理”打开它,找到Admin表,账号和MD5密码出来了:admin/a972a74。直接点击首页下方的管理入口访问,出现后台登录界面,将账号admin和破解的MD5密码【zhzfh1012】输入后点击“进入系统”按钮,成功进入了网站后台。

既然是一套CMS系统出了问题,中招的就不是一个两个网站了,接着再来测试几个目标,操作方法与上面的完全相同。

第二个目标:广州某电缆有限公司,默认数据库下载、打开查看管理员账号信息(gzfengtal/5376aOdf57b90ff9【破解结果竟然是:hackerxx】)、点击“管理进入”进行登录(/admin/login.asp)、成功进入后台管理。


第三个目标:南京某维修网,默认数据库下载、打开查看管理员账号信息(admin/83d26a727afa7339【破解结果是:afu999】)、点击“管理进入”进行登录(/admin/login.asp)、成功进入后台管理。


第四个目标:北京某环保技术有限公司,默认数据库下载、打开查看管理员账号信息(admin/7a57a5a743894aOe【破解结果是:admin】)、直接在网站域名后添加“/admin/login.asp”访问其默认的登录页面(没有“管理进入”链接)、成功进入后台管理。


不用再继续了,四个网站已经足以说明问题了——都是“默认”惹的祸:

【默认的版权信息:版权所有@2003-2020汇成企业建站CMS系统】

危害:被Google成百度收入搜索数据库中,从而被人盯上:对策:修改或直接删除这样一些暴露模板的敏感信息。

【默认的数据库地址和名称:/Databases/huicheng.mdb

危害:被构造的“域名+/Databases/lmicheng.mdb”URL直接下载包含管理员账号和MD5密码信息;对策:修改数据库的路径和名称、采用防下载措施(比如名称前多加几个特殊字符)、设置复杂度极高的密码。

【默认的管理入口链接和后台地址:“管理进入/管理入口”、/admin/login.asp

危害:给别人尝试登录提供了最直接的方便;对策:删除首页下方的“管理进入”链接、修改后台登录地址。其实,这次“汇成企业建站CMS系统”的“脱库门”根源还不止提到的这三个“默认”


它还存在着注入漏洞,确切地说是Cookie注入漏洞。以第三个目标网站为侧吧,找到一个貌似注入点的链接,将它放人明小子中跑一下,结果直接就会被提示“检测失败,该URL不可以进行注入!”。果真不可以注入吗?测试一下,答案马上就见分晓。

在360浏览器地址栏中该链接的最后添加英文的半角引号,回车访问一下,结果出现“传参错误!”的提示,像“and、update、insert”之类的探测注入信息的特殊字眼儿都被记录在该CMS系统的“防注”黑名单中。不过,像这样一些唬人的幌子是吓不倒我们的:先打开“注人中转生成器”(寂寞的刺猬)生成jmCook.asp文件;然后,在本地架起超级小旋风AspWebServer,访问一下,看是否正常;最后,再用明小子检测,这下提示“恭喜,该URL可以注入!”了,一会儿的工夫我们就得到了管理员账号和MD5密码:“username内容:admin,password内容:83d26a727afa7339”,与之前下载到的数据库中的账号与MD5密码是吻合的。


现在,让我们再回到开头那个关于“黑站”的话题看,如果有了这样的“默认”连锁脱库反应,相信技术再弱的初学者也会很快进入到一些网站的后台,“黑站”是不是变得易如反掌了呢

不过,个人依然是非常诚恳地建议大家还是以学技术为主导,不要去试探法律的底线。

]]>
2 http://www.xcnte.com/index/default/244.html#comments http://www.xcnte.com/index/feed/default/244.html
Sqlmap Gui汉化版 http://www.xcnte.com/index/tool/243.html http://www.xcnte.com/index/tool/243.html Wed, 26 Sep 2018 12:32:00 +0800 故人C Sqlmap是十分著名的、自动化的SQL注入工具,该工具大多数为命令行界面,为了方便大家使用这款工具,这里分享一下该工具图形化界面

一、使用说明

[scode type="yellow"]只限py2.x版本[/scode]

1.进入pyttk-0.3-py3k目录,执行如下语句安装ttk模块:
linux: sudo python setup.py install
windows: python setup.py install

2.将sqm.pyw和cfg_dir一起复制到sqlmap(官方网站sqlmap.org)同一目录下,执行命令
linux: sudo python sqm.pyw
windows: python sqm.pyw

(windows的也可以双击打开sqm.pyw运行)


使用方法

输入目标url后,然后勾选你所要的各种参数,点击“构造命令语句”即会生成相对应的sqlmap命令语句,再点击“开始”就会打开sqlmap命令窗口来运行。

ps:sqlmap发起的请求会带着sqlmap默认的user-agent,而“构造命令语句”中自动生成的--random-agent参数会随机生成user-agent

修改如下:

  1. 增加sqlmap命令语句输入框自动换行和滚动条,方便输入、观察
  2. 修复以往“枚举”标签下3个输入框的遮挡bug
  3. 增加“代理”标签
  4. 其他零散的

二、截图


三、下载地址

[button color="info" icon="glyphicon glyphicon-link"][/button] 提取密码:yh6f

]]>
0 http://www.xcnte.com/index/tool/243.html#comments http://www.xcnte.com/index/feed/tool/243.html
观看电影《头号玩家》引发的信息安全思考 http://www.xcnte.com/index/heart/238.html http://www.xcnte.com/index/heart/238.html Mon, 17 Sep 2018 22:31:00 +0800 故人C 3月30号,好莱坞巨制《头号玩家》上映,该片由斯皮尔伯格导演,主要讲述了在2045年的世界中人们沉迷于VR(虚拟现实)游戏“绿洲”的虚幻世界

主要内容是该游戏的创始人临终前宣布在游戏中留下了三个彩蛋,将他的全部资产都留给能寻找到隐藏彩蛋的游戏玩家。这部电影时长140分钟,目前豆瓣评分达到8.9分,全片包含138个彩蛋,囊括了各年龄段人群的童年回忆,也有人说它是“在彩蛋中插播电影”

在这部科幻片中捕捉到一些信息,值得与身在互联网圈子的你们分享,也是给所有互联网用户的建议

在这部电影中,绝大多数人们已经沉迷游戏世界,并且通过游戏逃避残破不堪的现实生活环境,影射了“娱乐至死”的社会问题。但与此同时,在这部电影中还反映了一些信息安全相关的思考,在此与大家一起分享。

[scode type="yellow"]本文有轻微剧透,但不涉及关键节点的剧情。观影后阅读效果较好,但同样可以先行阅读本文,再在电影的相应情节中细细体会。[/scode]

网络环境泄漏真实个人信息

在寻找彩蛋的过程中,男主帕西瓦尔邀请女主阿尔忒密斯在游戏中的酒吧约会。在他们跳舞的过程中,男主主动向女主透露了自己的真实姓名——韦德。然而,这段谈话内容被反派窃听到,反派交叉比对了现实世界中男主所拥有某装备的购买历史,从而轻松找到了男主的真实身份。

网络是一个虚拟的环境,在充分享受虚拟环境所带来的自由的同时,也要注重防范虚拟环境中潜在的风险。

  1. 防范通过社会关系窃取情报
    在现实生活中,我们需要多种形式的社会关系来分享思想、感情和观念,在网络上也是同样如此。我们在网络上有可能对某个人产生强烈的感情,或是信任的错觉,从而不经意间向对方透露信息。在很多社交门户网站中,都提供了在线聊天的服务,有可能你认为的Mr./Mrs. Right,实际上却是一个250斤的大胖子。因此需要我们分清网络与现实生活的界限,不要轻易相信他人,绝对不能在网络中向他人泄漏工作秘密或个人隐私。

  2. 防范冒名顶替
    在这段情节中,对话是在游戏中发生的。我们假设女主是可以信任的,但此时还具有一个非常巨大的风险,就是冒名顶替。男主帕西瓦尔在舞池中并不能确认女主的账号是否属于本人登录,在这样的情况下,需要避免透露隐私内容,如确有需要,应该进行额外的身份验证。
    举例来说,如果男主实在按耐不住要透露自己真实姓名的心情,至少应该先问一句“你还记得我们第一次是在哪里见面的吗”这样的问题。同样,在社交软件中,如果你的朋友问你能不能帮他充值话费、能不能先借他500、能不能帮忙买个机票,你也应该先问一些问题,或者让该朋友发一条语音,确认真实身份后再伸出援手。

  3. 防范网络环境风险
    在无重力舞池中,男主与女主的对话被反派通过窃听装置窃听到,他们交流的环境是不安全的。因此,在涉及到隐私信息的沟通时,应该首先确保网络环境的安全。例如,判断提交表单的网页是否使用了HTTPS协议加密、判断所使用的计算机是否存在病毒木马风险。有了上述三点的保障,我们的隐私才可以说是相对安全。

  • 注重账户和密码信息的保护
    在电影中,世界第二大游戏公司IOI的CEO将自己的游戏账户密码写到便签,并粘贴在他的座椅上,这一行为显然会导致严重的安全问题。

  • 弱密码带来的风险
    在企业中,一个密码的失守可能导致众多文件的泄密。现实世界中,就有许多大型公司因弱密码而造成严重的泄密事件。此前还爆出过一个好玩的消息,第65任美国国务卿科林·鲍威尔的Gmail帐号使用了弱密码,2016年总统竞选期间,黑客破解了他的邮箱,并披露了他发出的一封邮件:“希拉里克林顿这个死骗子,连撒谎都不会”。

回到电影中,IOI公司CEO诺兰使用的密码是B055man69,这一密码的设置有可以借鉴的地方,也有需要改进的地方,我们来具体分析一下。

首先,该密码长度为9位,同时包含了大写字母、小写字母和数字,这一点是值得借鉴的。此外,通过将“boss”这一常用单词修改成“B055”(1位大写字母+3位数字),有效防范了常用字典爆破攻击。同时,设置大写字母、小写字母和数字混合的密码,可以有效增加暴力破解的耗费时间,保障密码的安全。

然而,仍然有一个不足之处,就在于他使用了与自己公开信息相关联的内容作为密码。众所周知,他是该公司的“BOSS”,因此使用这样的单词组成密码,容易被其他人猜测到,因此建议最好能更换成不为人知的一些信息。例如爱吃巧克力的同事可以将密码设置为Ch0c0!ate,爱看《小猪佩奇》的同事可以将密码设置成P3pp@P!g。

  • 密码信息的妥善保存
    目前,随着越来越多的大型企业更加注重信息安全,有越来越多的员工都知道弱密码的危害,开始设置复杂的密码。与此同时,一些企业在密码策略上就做了限定,不允许员工设置简单密码,并且可能会要求定期更换密码。面对这样的情况,许多员工担心无法记住自己的密码,就纷纷将密码写在纸上、日历上或是记录在网络的云盘、云笔记中,这样的行为显然是不可取的。

建议用户使用复杂密码,并且熟记自己的密码,避免在任何地方明文出现。如果认为自己的记忆力实在堪忧,可以选用一些安全可靠的密码管理软件,例如:KeePass、LastPass、1Password等。这些软件都是免费的,并且有许多软件可以跨平台,能同时在电脑和手机上使用、查看。

除了关注这部电影中炫酷的特效、紧凑的情节、接连不断的彩蛋,希望大家也能同时关注到这些影射出来的信息安全问题,在观影中也能提升安全意识。

]]>
3 http://www.xcnte.com/index/heart/238.html#comments http://www.xcnte.com/index/feed/heart/238.html
如何远程浏览智能手机 http://www.xcnte.com/index/technical/232.html http://www.xcnte.com/index/technical/232.html Sat, 08 Sep 2018 15:52:00 +0800 故人C 在这个时代,智能手机冲进了每个人的生活。计算机正在被这些移动设备取代,你可以随时随地使用这些设备。你有没有想过要侵入某人的智能手机来监视消息,电话以及您喜欢远程做的任何事情?想监控孩子的智能手机活动吗?如果是的话,我将向您展示如何远程破解智能手机。

[scode type="yellow"]注意:本教程仅供教育使用[/scode]

如何远程浏览智能手机?

要求:

以下是入门要求。

  • Java 安装的 PC

  • DroidJack(远程管理工具)

  • 动态 IP(noip.com 主机)

  • DUC(noip.com 客户端)

  • 受害者

远程攻击智能手机的步骤

  • 从 Oracle 官方网站下载并安装 JAVA。
  • 下载 DroidJack。
  • 现在我们需要动态主机。只需访问 noip.com 并注册即可。注册后,单击“ 添加主机”并输入主机的任何名称,然后单击“ 保存主机”。
  • 创建主机后,从此处下载 DUC 。
  • 现在我们需要从路由器的设置向前移植。为此,我们需要知道我们的网关 IP。只需转到 命令提示符 并键入 ipconfig。 它将为您的网关提供 IP。
  • 打开浏览器并粘贴您的网关 IP 并按 Enter 键。它会提示输入用户名和密码。您可以在路由器下找到用户名和密码。默认情况下,它是用户名和密码的管理员。
  • 当您提供用户名和密码时,您将看到路由器设置页面。导航到“ 端口转发” 选项。单击 添加端口 并输入端口 1337 并保存。再次为 1334 端口做。
  • 现在打开 DroidJack 并单击名为Generate APK 的选项卡 。
  • 在“文件名”中,键入要为其提供的文件的任何名称。在 App Name 中,再次输入任何名称,但它应该是非间隔的。表示不应输入空格。在动态 DNS 中,将您在 noip.com 上创建的主机名。在 port 中,键入 1337并单击 Generate。您还可以将应用程序与其他应用程序绑定,或者也可以为 Stealth 模式创建应用程序。
  • 在创建时,通过任何媒介将其发送给受害者。一旦他们打开它。它们将出现在 DroidJack 的目标列表中。通过单击鼠标右键,您可以查看可以在受害者的智能手机上执行的操作。
]]>
0 http://www.xcnte.com/index/technical/232.html#comments http://www.xcnte.com/index/feed/technical/232.html
网络和系统侦察工具:Sandmap http://www.xcnte.com/index/tool/230.html http://www.xcnte.com/index/tool/230.html Fri, 31 Aug 2018 11:40:00 +0800 故人C Sandmap 是一个使用大量Nmap引擎支持网络和系统侦察的工具 。它提供了用户友好的界面,自动化和加速扫描,并允许您轻松使用许多先进的扫描技术。

主要特征

  • 简单的CLI ,能够运行纯Nmap引擎

  • 模块中包含的预定义扫描

  • 使用脚本参数支持Nmap脚本引擎(NSE)

  • TOR支持(使用代理链)

  • 一次多次扫描

  • 可用的模块: 31种 具有459个扫描配置文件

要求

Sandmap 在运行之前使用外部实用程序进行安装:

  • nmap

  • xterm

  • proxychains

此工具使用:

  • GNU/Linux (在Debian和CentOS上测试)

  • Bash (测试4.4.19)

  • Nmap (在7.70上测试)

还需要root访问权限

如何使用

克隆此存储库

[button color="success" icon="glyphicon glyphicon-link"][/button]

进入存储库

cd sandmap

Install

./setup.sh install

运行应用程序

sandmap

  • 符号链接到 bin/sandmap 被放置在 /usr/local/bin

  • 手册页放入/usr/local/man/man8
]]>
5 http://www.xcnte.com/index/tool/230.html#comments http://www.xcnte.com/index/feed/tool/230.html