功能介绍 instarecon将从以下几个方面展开渗透测试前的信息收集工作 1. DNS (direct, PTR, MX, NS) lookups 包括域名的dns解析结果; PTR记录:是电子邮件系统中的邮件交换记录…
标签:安全
Nginx 配置 SSL 证书 + 搭建 HTTPS 网站
操作流程 第一步,生成csr文件和key文件 $ cd /etc/ssl/private $ openssl req -new -newkey rsa:2048 -sha256 -nodes -out maketea_l…
Nginx+Https配置
TLS或传输层安全( transport layer security),它的前身是SSL(安全套接字层secure sockets layer),是Web协议用来包裹在一个受保护,加密封装正常通道。采用这种技术,服务器…
Memcached服务安全加固
转自–阿里云帮助文档 Memcached服务安全加固 漏洞描述 Memcached是一套常用的key-value缓存系统,由于它本身没有权限控制模块,所以对公网开放的Memcached服务很容易被攻击者扫描发…
使用 OAuth 2 和 JWT 为微服务提供安全保障
Part 1 – 理论相关 作者 freewolf 关键词 微服务、Spring Cloud、OAuth 2.0、JWT、Spring Security、SSO、UAA 写在前面 作为从业了十多年的IT行业和…
从原理分析CORS——我们到底是怎么跨域的
同源策略相信各位同学已然不陌生了,在这里不做过多阐述,简单介绍一下就好: URL 说明 是否允许 http://www.a.com/a.js / http://www.a.com/b.js 同一域名下 允许 h…
web安全二,CSRF攻击
什么是CSRF 全称是(Cross Site Request Forgery)跨站请求伪造。也就是恶意网站伪装成用户向目标网站服务器发送请求,骗取服务器执行请求中的命令,直接在服务器改变数据值的一种攻击手段。 CSRF是…
md5/sha1+salt and Bcrypt
PHP自带的MD5和SHA1加密函数是否安全,看了很多年前的一篇博文。原文为英文,个人英语能力真的有限,翻译了一下,其中必定存在很多错误,希望各位可以指正。原文链接 中国最大的开发者社区网站CSDN被破解了,数据库泄露。…
ssh 免账号密码登录
ssh是什么 SSH为一项创建在应用层和传输层基础上的安全协议,为计算机上的Shell(壳层)提供安全的传输和使用环境。 对于笔者这种不擅长服务器操作的人来说,就是一个可以远程登录服务器的工具 如何使用 ssh root…
使用SRI保护你的网站免受第三方CDN恶意攻击
出于速度和降低服务器负载考虑,有时候我们会选择使用 CDN 加载第三方静态资源。对于一些热门的第三方库,在用户打开你的网页之前就很有可能在浏览别的网站时被浏览器缓存下来,这样就可以极大的提升网页加载速度。 然而使用 CD…
HTTP API 设计指南(结尾)
为了保证持续和及时的更新,强烈推荐在我的Github上关注该项目,欢迎各位star/fork或者帮助翻译 前言 这篇指南介绍描述了 HTTP+JSON API 的一种设计模式,最初摘录整理自 Heroku 平台的 API…
升级你的hexo为https
本文以Debian 8为服务器栗子 最近升级了个人博客为https协议,写一个详细的教程帮助更多人升级https。 https的详细原理在此文中省略,简略来说,既是客户端在访问服务器时需要一个数字证书(里面包括公钥),它…