超级饲养员
嘘!这位黑客正在低调地挖洞,什么资料都没有留下!
注册于 2 years ago

回答
0
文章
13
粉丝
6

大陆境内所有通用顶级域遭DNS劫持(被Big Brother恶意Hack)2014年1月21日,大陆境内所有通用顶级域(.com/.net/.org等)遭DNS劫持,所有域名均被指向一个位于美国的IP地址(65.49.*.178)。根据网络上资料显示,该IP地址属于美国Shidea公司所有,而Shidea公司的大客户之一就是著名的加密代理软件XX门的母公司。

可以的 Fiddler抓取HTTPS流量的原理 TLS是一种端到端的传输层加密协议bai,是HTTPS协议的一个组成部分。访问HTTPS站点时,HTTP请求、响应都通过TLS协议在浏览器和服务 器之间加密传输,并且通过数字证书技术保证数据的保密性和完整性;任何“中间人”、包括代理服务器都只能转发数据,而无法窃听或者篡改数据。 要抓取HTTPS流量的明文内容,Fiddler必须解密HTTPS流量。但是,浏览器将会检查数字证书,并发现会话遭到窃听。为了骗过浏览 器,Fiddler通过使用另一个数字证书重新加密HTTPS流量。Fiddler被配置为解密HTTPS流量后,会自动生成一个名为 DONOTTRUSTFiddlerRoot的CA证书,并使用该CA颁发每个域名的TLS证书。若 DONOTTRUSTFiddlerRoot证书被列入浏览器或其他软件的信任CA名单内,则浏览器或其他软件就会认为HTTPS会话是可信任的、 而不会再弹出“证书错误”警告。 开启HTTPS流量解密功能后,Fiddler将会提示用户将DONOTTRUSTFiddlerRoot证书列入IE浏览器的信任CA名 单。用于调试客户端时,这已经足够了;Firefox用户也可以很方便的手动导入DONOTTRUSTFiddlerRoot证书。但是,若要在服 务器上抓取ASP.Net发出的HTTPS请求,这是不够的——你必须将DONOTTRUST_FiddlerRoot证书导入“机器帐号”的信任 CA名单。

提高网站搜索排名通过百度公告的颁布,明确指出搜索引擎在排名上,会优先对待采用HTTPS协议的网站。提高网站访问速度通过HTTP vs HTTPS对比测试,表明使用了SSL证书的新一代HTTP2协议,其访问网站的速度远远快于使用HTTP协议的网站。提高公司品牌形象和可信度部署了SSL证书的网站会在浏览器地址栏中显示HTTPS绿色安全小锁。可告诉用户其访问的是安全可信的站点,可放心的进行操作和交易,有效提升公司的品牌形象和可信度。

假设黑客用了10个跳板,找个水平更高的黑客每个使劲调查需要10分钟,那就是100分钟以上。恭喜你,花费大力气查到了100分钟前的跳板ip。如果水平高的,手里一万个肉鸡很正常。。。

如果走正常途径调查,用10个不同国家地区的跳板,也许调查一个需要一个月?


比特币出来前貌似都是直接查经济渠道吧,比特币出来后查比特币平台交易。


dns被劫持最大的问题是钓鱼。

被劫持以后,你使用某宝等网站,连接的目标服务器不一定是真的某宝了。你输入密码后就会被黑客记录下来。这个就相当于钓鱼环境已经建好了,看你上不上钩了。

还有就是劫持dns是为了给你加恶心人的广告。没有太大的安全风险。

好消息是,现在主流APP和网站,都https了,比如黑客如果没有知乎的域名权限,是拿不到Https证书的。连接就会失败,就是说https的普及,大大的降低了钓鱼的危险性。

这样中招的范围就仅限于普通钓鱼的网站。如果不上某些非法网站的话,基本上风险还是不大的。不用过于过于担心。

最简单就是看域名嘛,目前来说国内很多浏览器都已经具备标识恶意连接啦。


肯定有意义!

首先,我认为密码是客户的隐私,你明文传输,这是赤裸裸的暴露啊,先不管安不安全,加个密好歹不会这么容易泄露客户的隐私啊,万一他有很多个账号的密码是同一个呢。

其次,在安全方面,如果要求高的可以用非对称加密,在前端用公钥加密,后端用私钥解密,这样既可以防止别人破译密码,又能让后端正确解密该密码然后再md5加密保存到数据库,

但是要注意:不要直接 encrypt(密码),而是 encrypt(密码+特殊标识)

特殊标识可以是时间戳、客户端ip等等自己想,目的就是验证密文有效性,可以防止别人截取密文然后直接传密文到后台来绕过加密算法。


省事,没那么多花里胡哨的功能。安安静静在角落里干活。最重要的,他顶住了永恒之蓝,懂得自然懂。我是需要切切实实的防护,不是一个心理安慰。


  请一定不要为了提升CTF水平而去学习CTF。

  web安全的学习需要长期的兴趣和持之以恒的动力。

  另外也请弱化自己的性别区分,因为一味的强调自己的妹子身份的话

  很可能导致你工作后更多的作为团队的pr产出,想想标题(xx团队招人啦,内有厉害的女黑客)

  而不是实际的技术产出。

  祝好。

  我可能这辈子都不会忘记了 2017年8月5号被骗10723.34元 亏得我还是个大学生 现在想起来真是无地自容

  我这么多钱里面有3000多是我从大一开始存的 存到大二好不容易这么多 本来想着给自己买一只好一点的手表或者买一双一直喜欢的鞋子 还有的钱全是借的 借朋友的 这件事情我不敢和爸妈说 我只能在一些靠谱的借贷网站上先贷7000还朋友们的钱 然后自己再分期两年慢慢从生活费里抠出来还刚开始两天我真的是懵逼的 不晓得该怎么办 我的家庭不算富裕 但是和爸妈讲这个事情肯定是会帮我解决的 虽然我会被骂一顿 但是这是我自己闯下的祸 怎样我还是觉得要自己承担

  我现在还记得我在赶集网上注册了账号之后 骗子就给我发消息 因为觉得是正规的网站 当时就没有多想 加了好友 就聊到刷单什么 我其实是知道这里面的套路的 但是不知道当时这么就脑子一热 先做第一个任务说交400 说返佣金 然后又说要做完三个任务 然后又说有一个结算任务 做完之后我就等然后他就说什么系统卡单啊 要激活啊 我其实已经觉得是骗子了 但是那时候投进去两千啊 不甘心 抱着侥幸万一人家不是骗子的想法 然后激活又要做任务 一笔比一笔数额大 反正就这样被骗了 回头想想我真是脑子不好使 这么明显的骗局也上当

  想报警 但是觉得没什么用 而且弄得人尽皆知我心里压力就更大 还不如自己就这样慢慢一点点补上这个窟窿

  真是想提醒所有的学生还有初入社会的孩子 这个世界很多时候是真的险恶 你一厢情愿的相信不叫天真而叫愚蠢 赶集网58网建议还是不要去相信 我现在想来这个东西水太深 很多诈骗公司集团说不定和他们还有着合作 不要想着不努力就可以赚到钱 这世界上哪有那么容易的事情 我就当买个教训 虽然这教训委实代价太大