一些常用Linux命令，非常有用

» 阅读全文

      最近有个项目是对某银行做渗透测试，找出潜在的安全漏洞。由于我们这里经验不足，渗透工作主要是总部研究院的同事做的。在他们提交的渗透测试报告中提到 “大部分的POST请求都可直接转换为GET请求” ，很明显是想说POST比GET安全。后来去银行做渗透测试结果交流的时候，银行的技术员问到为啥POST比GET安全。。一时不知道该从何说起，只知道GET提交的参数浏览器会缓存，如果通过GET提交帐号和密码进行登录，其他人查看浏览器的历史纪录，那么别人就可以拿到你的账号和密码了，但是现在基本上没有人用GET提交帐号和密码吧？另外web服务器的日志中也会有记录， HTTP头部的referer里会记下URL里请求数据。。基本上就这些。。说服力不是很强。回来后找了下资料，下面这篇文章讲得比较全面。应该是参考了网上一些资料后总结出来的。

» 阅读全文

今天很开心..Paros终于可以截获目标网站的数据了.

因工作需要,需要对一个网银做渗透测试,主要是一些逻辑漏洞.比如能不能在自己的网银获取别人的网银的余额,转帐记录等.

于是安全了Paros, Paros的Trap功能很实用,可以截获封包并修改后再发送,相当于一次中间人攻击.Paros需要安装JAVA环境,于是安装了最新版本JDK 7.0

测试的过程中发现,别的https网站都能正常打开,只有目标网站不行.目标网站的端口不是默认的443,而是改成了另外的端口.因为对于https不熟悉,对证书也不了解.通过浏览器的提示,一直以为是证书的问题,或者是Paros只支持标准的https端口.后来注意到在尝试打开这个非标准端口的网站的时候会提示IO Error或通讯实败,才基本上确定是软件方面的问题(已经尝试了多个操作系统和浏览器).后来同事在他机器上试了下,正常!对比了一下环境,唯一的区别就是他的JDK是6.0.....果断换成JDK6.0..问题解决了.真的很意外,最新的JDK反而不支持了.最新的不一定是最好的.

通过IP查域名:

http://ip.wen.la

http://whois.webhosting.info/

http://www.114best.com/ip/

网络安全相关

http://uptime.netcraft.com

http://www.whoismark.net/

Take me bakc

http://www.archive.org/  可惜被墙了

md5在线查询破解,md5解密加密
www.cmd5.com

msdn我告诉你 连windows95都有

http://itellyou.cn/

这段时间一直在找各种基于php的blog程序,前后试用过wordpress,emlog,typecho,最终还是决定使用sablog...7-8年前angel发布第一个版本时就开始试用了.云舒貌似还在使用最老的那个版本