文/Robin
最近 iPhone 12 上市,换机潮接踵而来。换手机可能忽视的一个问题,就是「二次验证」应用数据迁移问题。
二次验证作为一种加密因子,对于提高账号的安全性是相当有用的。即使你的账号被脱裤,只要二次验证码没有泄漏,账号还是相对安全的。但是这有个前提,二次验证码不是明文存储数据库。常用的网站,比如 GitHub、Google、Microsoft 等都是支持设置二次验证的。相比传统互联网用户,交易加密货币(俗称炒币)的用户对于二次验证会更熟悉一些,因为中心化交易所,支持二次验证,是最平常的功能了。
二次验证的老牌应用,就是 Google 推出的「Google Authenticator」。这款应用,iOS 版本
继续阅读 »
前段时间写基于俺们学校教学管理平台的App,需要破解验证码,模拟登陆,然后抓取数据,显示在Android端
验证码破解的一般思路是下载验证码,提取出需要的部分,平均拆分成N(N=验证码字符个数)份
二值化(转化为黑白色,黑色为1,白色为0),取模,然后保存摸板
俺们学校的验证码比较弱,只有0-9 10个数字,建好这十个数字的模型
在模拟登陆之前先把验证码下载下来,也是提取出需要的部分,拆分,然后与摸板进行比较,这样验证码就能破解啦!
步骤总结如下:
(1)批量下载一部分验证码图片
(2)将这部分图片提取出需要的部分
(3)将提取出来的部分平均拆分成N(N=验证码字符个数)份
(4) 去噪,将图片灰度化与二值化
(5
继续阅读 »
MongoDB是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。这里推荐一个快速入门教程 - 8天学通 MongoDB,写的很全面。这里讨论的是 MongoDB 的用户和身份验证。
在默认情况下,MongoDB 不会进行身份验证,也没有账号,只要能连接上服务就可以对数据库进行各种操作,如果你在一个面向公众的服务器上使用它,那么这的确是一个问题。
more
作为数据库软件,我们肯定不想谁都可以访问,为了确保数据的安全,MongoDB 也会像其他的数据库软件一样可以采用用户验证的方法,那么该怎么做呢?其实很简单,MongoDB 提供了 addUser 方法,该方法包含三个参数:
- u
继续阅读 »
其实。。。这篇教程不包括邮箱验证的,不过我有实现个 celery + django 的邮箱验证博客,问末附 repo 。
Web 应用中的长时操作如果没有异步实现会阻塞代码运行,用户需要等待较长时间才能收到响应。而像 Celery 这样的异步工具就能很好解决这类问题。本文将带你了解 Django 框架下的 Celery 使用。
继续阅读 »
原理:基于自定义的标签;
实现:目前只有文本框和密码域的验证
more
js
/*************************自定义的模式匹配函数
*********rule:匹配规则
*********vaule:匹配对象(表单元素的值)
*********warning:警告内容
*********note:显示警告的DIV层
************************************************/
function myReg(rule, value, warning, note) {
var reg = new RegExp(rule);
var noteDiv = documen
继续阅读 »
原作者:kiwik
直接使用ISO镜像和没有ephemeral卷的规格创建虚拟机,创建成功,但是安装OS到写分区表的步骤失败,检测不到可用的disk device。
直接使用ISO镜像和有ephemeral卷的规格创建虚拟机,创建成功,安装OS成功,但是最后安装完成,OS提示弹出cdrom后重启,OpenStack没有弹出cdrom的接口,重启后,再次进入安装OS的界面。
直接使用ISO镜像和有ephemeral卷的规格创建虚拟机,创建成功,安装OS成功,然后通过nova image-create导出镜像成功,用这个镜像再次创建虚拟机,虚拟机启动后进入安装OS的界面。
通过qemu-img convert命令将iso格
继续阅读 »
1. 写在前面
本文提到的所有案例【实际上就两个案例】,都是自己亲身经历过的,但为了安全友好起见,文中出现的一些数字都是假设的,如果有截图,都会把一些不便透露的信息隐藏的,我想只要能说明问题就行了。
2. 一次新增用户骤减的经历
继续阅读 »
前阵子重构部门业务框架,大部分代码转移到了Laravel,小部分代码遗留在旧框架中。在转移的过程中Nginx是无法通过通用配置来进行两个框架的Url重写切换的,Nginx需要对每个Module,甚至每个Action都进行配置,导致Nginx配置冗余巨大,参与的同事每上线一个功能就需要上服务器增加或修改Nginx配置,苦不堪言。
继续阅读 »
WEB
easyweb
http://114.116.26.217/
学习了一波json web token ,但是没想到是个脑洞。
账户admin,空密码登陆。
ciscn{2a36b5f78a1d6a107212d82ee133c421}
MISC
验证码
本题目为验证码破解,选手需在指定时间完成对验证码的破解,成功后获取Flag。请使用队伍token进行登陆。
参考数据:https://share.weiyun.com/6e055fc3402e86c7cbb5384f1a6b41b8
https://game.captcha.qq.com/hslj/html/hslj/
题目有点问题,手动玩了一会儿
继续阅读 »
Borg的第一个django网站
最近在 Github 失踪了挺久,去学 Django 框架去了,还实践写了个小网站。大体的思路是一个密码管理网站,通过加密每个记录的信息生成密码。本来是想着服务器端存一部分信息,用户记住一个通用的密钥,每次获取密码的时候都需要输入一遍密钥。这样就算数据库所有的信息被窃取也没法得到全部的信息,因此还是安全的。不过这样子也就没办法验证用户输入的密钥是否每次都一致,也就无法验证最后得到的密码是否正确,而且网站本身登录需要一个密码,统一密钥又是一个搞得复杂了,所以暂时就没有采用这种做法。最后是通过加密各种相关信息(具体就不说是什么了)得到密码。最大的好处在于可以为每个网站的不同账号都设置一个不同的密码,再
继续阅读 »