WEB
easyweb
http://114.116.26.217/
学习了一波json web token ,但是没想到是个脑洞。
账户admin,空密码登陆。
ciscn{2a36b5f78a1d6a107212d82ee133c421}
MISC
验证码
本题目为验证码破解,选手需在指定时间完成对验证码的破解,成功后获取Flag。请使用队伍token进行登陆。
参考数据:https://share.weiyun.com/6e055fc3402e86c7cbb5384f1a6b41b8
https://game.captcha.qq.com/hslj/html/hslj/
题目有点问题,手动玩了一会儿
继续阅读 »
文/Robin
知名硬件钱包 Ledger 今天发布 公告,宣称电子商务和营销数据泄露,但是支付信息、加密资产是安全的。
事件经过是怎么样的呢?一位安全研究员在 Ledger 的 bounty program 提醒 Ledger 潜在的网站数据泄漏。在 2020 年 7 月 25 日,Ledger 的数据库存在未授权访问,导致数据泄漏。泄漏的数据包括电子商务和营销数据,具体的数据是客户的邮件地址、订单详情(客户的姓名、邮寄地址、邮件地址、电话号码)。至于数据库的未授权访问是怎么样实现的呢?Ledger 的公告宣称是利用了 API Key,目前这个 API Key 已经失效。
此次安全事故具体涉及到多少数据呢?大概 100
继续阅读 »
REST 是一种现代架构风格,它定义了一种设计 Web 服务的新方法。和之前的 HTTP 以及 SOA 不同,它不是一个协议(即:一套严格的规则),而是一些关于 Web 服务应该如何相互通信的一些建议和最佳实践。按照 REST 最佳实践开发的服务被称为 “RESTful Web 服务”。
继续阅读 »
大部分中文应用弹出的默认键盘是简体中文输入法键盘,在输入用户名和密码的时候,如果使用简体中文输入法键盘,输入英文字符和数字字符的用户名和密码时,会自动启动系统输入法自动更正提示,然后用户的输入记录会被缓存下来。
系统键盘缓存最方便拿到的就是利用系统输入法自动更正的字符串输入记录。缓存文件的地址是:/private/var/mobile/Library/Keyboard/dynamic-text.dat
继续阅读 »
note of https://www.ichunqiu.com/course/56927
Hacking三步曲
理解系统(Understanding)
系统性的基础课程学习,深入理解计算机系统运作机制。
破坏系统(Breaking)
学习与创造漏洞挖掘与利用技巧
重构系统(Reconstruction)
设计与构建系统防护
基础课程学习
核心基础课程——计算机的工作原理
体系结构
CPU的设计与实现
机器指令与汇编语言
指令的解码、执行
内存管理
CMU 18-447 Introduction to Computer Architecture
https://www.ece.cmu.edu/~ece447/s15/dok
继续阅读 »
什么是SSL
安全套接层(Secure Sockets Layer,SSL)是一种安全协议,在网景公司(Netscape)推出首版Web浏览器的同时提出,目的是为网络通信提供安全及数据完整性保障,SSL在传输层中对网络通信进行加密。
SSL采用公开密钥技术,保证两个应用间通信的保密性和可靠性,使客户端与服务器应用之间的通信不被攻击者窃听和伪造。它在服务器和客户机两端可同时被支持,目前已成为互联网上保密通讯的工业标准。现行的Web浏览器亦普遍将HTTP和SSL相结合,从而实现安全通信。此协议其继任者是TLS。
SSL协议的优势在于它是与应用层协议独立无关的。高层的应用层协议(例如:HTTP、FTP、Telnet等等)能透明的建立
继续阅读 »
最近对xmake的操作权限进行了升级,提供更加安全的命令操作,例如:
改进xmake install和xmake uninstall命令,提供更加安全地安装和卸载支持
参考homebrew,禁止在root下运行xmake命令
改进xmake自身的编译安装脚本,不在root下进行build
安全问题1
之前的xmake install和xmake uninstall行为,是自动build后进行安装,而大部分情况下安装目录是在/usr/local目录下。
因此,需要root权限才能写入,那么之前的方式只能暴力地直接加上sudo xmake install来执行。
可想而知,虽然安装确实成功了,但是由于默认的自动构建行为,导致生成
继续阅读 »
文/Robin
早在 2020 年 10 月 13 日晚,DeFi 项目 Wine Swap 飞出黑天鹅。晚上 10 点上线的新项目, 在线上仅仅半小时后,正在挖矿的投资者们发现 Wine Swap 已经跑路。截至 11 月 2 日,用户损失逾 34.5 万美元。
当然了,这种有组织有预谋的跑路在 DeFi 项目里比例是偏少的,大部分 DeFi 项目资金安全受到威胁,都是代码 Bug,或者是受到攻击。当众多投资者欲哭无泪时,币安安全团队却给大家带来了好消息。
2020 年 11 月 4 日,币安安全团队成功帮助用户追回跑路 DeFi 项目 WineSwap 用户损失资金的 99.9%,共计超过 34.4 万美元。此次 Wi
继续阅读 »
文/Robin
本站推广
币安是全球领先的数字货币交易平台,提供比特币、以太坊、BNB 以及 USDT 交易。
币安注册: https://accounts.binancezh.pro/cn/register/?ref=11190872
邀请码: 11190872
上一篇文章讲解了 Gmail,提到注册 Gmail 的必要性以及一些使用技巧。本篇文章为大家讲讲另一个邮箱服务 ProtonMail。
早在 2017 年,余弦在「懒人在思考」中推荐了 ProtonMail。余弦列举了 13 条 ProtonMail 的优势,诸如开源、点对点加密、注册不需要个人隐私、服务器在瑞士、安全、支持 Tor 等等。[1]
可能读者对
继续阅读 »
文/Robin
本站推广
币安是全球领先的数字货币交易平台,提供比特币、以太坊、BNB 以及 USDT 交易。
币安注册: https://accounts.binancezh.pro/cn/register/?ref=11190872
邀请码: 11190872
上一篇文章讲解了 国内手机号,提到国内手机号的一些使用技巧。本篇文章为大家讲讲 Gmail。
目前国内网民使用最多的邮箱:QQ 邮箱、163 邮箱,然而这两家在安全上做的功夫显然不足。因为众所周知的原因,Google 服务几乎不可访问,也包括本文提到的 Gmail。可能读者好奇,现在微信、QQ 等社交软件这么方便,为什么还要使用邮箱呢?笔者认为,邮箱的沟通效率并
继续阅读 »