研究人员发现一种"几乎无法检测"的新型钓鱼攻击,就连最细心的网民也难以辨别.黑客可通过利用已知漏洞在 Chrome.Firefox 与 Opera 浏览器中伪造显示合法网站域名(例如:苹果.谷歌或亚马逊等),窃取登录或金融凭证等敏感信息. 说到辨别钓鱼网站的最佳方式,我们最先想到的是检查地址栏并查看网址是否已开启 HTTPS,然而,如果浏览器地址栏显示的是"www.аррӏе.com",你是不是 100% 确信它是苹果官网呢? △ 网址 www.аррӏе.com…

APT][社工]NodeJS 应用仓库钓鱼,大规模入侵开发人员电脑,批量渗透各大公司内网 前言 城堡总是从内部攻破的.再强大的系统,也得通过人来控制.如果将入侵直接从人这个环节发起,那么再坚固的防线,也都成为摆设. 下面分享一个例子,利用应用仓库,渗透到开发人员的系统中. 应用仓库 应用仓库对于开发人员再熟悉不过了.apt-get,brew,yum,npm ... 无非就是个命令行版的 App Store,方便各种工具以及依赖库的安装. 他们大致原理都差不多.今天讲解的是 NodeJS 应用仓库…

中午准备去吃饭的时候,今天看到Tungbaby的手机被盗后怎么做?http://www.jianshu.com/p/f13f49cd9b90 碰巧我的手机也被盗了.就来分享下我的经验吧.由于我当时是在小区对面被盗,发现手机被盗后,第一时间是先回家,设置为丢失模式,随后几分钟才报的警.算了,废话不多说了,开始吧 手机被盗后的流程.希望其他丢手机的可以借鉴. [第一天] 1.立即设置为丢失模式.(越快越好) 2.给运营商打电话,先把卡停掉.(越快越好) 3.报警(报警也是紧急处理,当天完成,各派出不…

介绍 大概在今年7月份,有俄罗斯黑客破解了苹果的应用内付费(In-App Purchases),设备在不越狱的情况下就可以免费获得来自苹果官网App Store里应用的收费道具.受影响的产品众多,包括著名的Angry Birds,切水果,Mega Jump, Pandora等.这里有一份受影响的著名的游戏应用列表. 正常的越狱行为还是比较复杂的,需要下载破解软件,并且操作进入DFU模式,所以大部分人并不能够方便地越狱.但该方案不需要越狱就可以破解应用内付费,给用户实施该行为提供了方便. 为了验证…

时间轴(倒叙)2014年8月底在图灵出版社的大力支持下,全球第一本全面.系统.科学的,包含本人多年经验的呕心沥血之作<Swift开发指南>(配有同步视频课程和同步练习)全线重磅推出2014年7月5日苹果宣布Swift语言二十天后,<Swift开发指南>第一稿交予图灵出版社2014年6月9日苹果宣布Swift语言三天后,启动<Swift开发指南>撰写2014年6月2日凌晨1点(北京时间:)在苹果开发者大会WWDC 2014上,苹果宣布了全新的iOS及OS X平台开发语言S…

本文收录于:风云社区(提供各类mac软件资源下载) 本文源自:什么值得买 无论轻薄办公本.还是赶超台式性能的游戏本,关注#笔记本攻略#栏目,解决笔记本电脑从选购到使用的各种问题. 引子 大部分用户接触的第一个操作系统大多是windows,楼主记得曾经小学的微机课也是以win98为基础学习了一众office软件.随着工作的多样化,单一的windows系统已经无法满足部分需求,而隔壁苹果的Mac OS得益于稳定的系统以及较为完善的软件应用也越来越受青睐.不少用户第一次接触Mac OS茫然不知所措,甚…

分析苹果代充产业链 汇率差+退款造就三线城市千万富翁‍_中新游戏研究_Joynews中新游戏 CNG:近日有媒体曝出8月22日这一天,有一家淘宝店卖出了351张面值4000南非南特的App Store礼品卡,以单张1800元人民币计算,一天流水63.18万元. 为什么有人会花重金买下这些礼品卡?这些礼品卡有什么用? 这是在淘宝上一直存在的苹果代充值“灰色地带”.代充店的盈利模式很简单:先购买南非苹果商店的礼品卡,再转手卖给国内的用户,利用人民币与南非南特之间的汇率差赚取差价.这一模式能够运作,是…

作者认为,及时关注.快速反应.覆盖测试是面对iOS系统升级时最重要的三大原则,文中还详细分析了iCloud Storage和Automatic Reference Counting这两大iOS 5新特性. 2011年10月初,iOS 5正式发布,带来了大量新特性.随之而来的是大量应用需要针对iOS 5系统进行升级适配.每次系统升级,我们公司都要对正在维护的众多已上线应用进行升级适配,这可以说是一个痛苦的过程,但在这个过程中我们也积累了一些应 对iOS系统升级的原则.方法和经验. 及时关注iOS系…

我清晰的记得,刚买的macbook pro回到家,开机后第一件事情,就是上了淘宝网,花了500元钱,找了一个上门维修电脑的师傅,上门给我装了一个windows系统......表砍我...当时买mac的初衷,只是想要个固态硬盘的笔记本,用来运行一些复杂的扑克软件.而看了当时所有的SSD笔记本后,最终决定,还是买个好(xiong)看(da)的.已经有好几个朋友问我mba怎么样了,所以今天尽量客观地说一下macbook pro的优缺点. 一.优点 1.重量我的Macbook AIr(13英寸)1.35…

ylbtech-杂项-公司:Apple 苹果公司(Apple Inc. )是美国的一家高科技公司.由史蒂夫·乔布斯.斯蒂夫·沃兹尼亚克和罗·韦恩(Ron Wayne)等人于1976年4月1日创立,并命名为美国苹果电脑公司(Apple Computer Inc. ),2007年1月9日更名为苹果公司,总部位于加利福尼亚州的库比蒂诺.苹果公司1980年12月12日公开招股上市,2012年创下6235亿美元的市值记录,截至2014年6月,苹果公司已经连续三年成为全球市值最大公司.苹果公司在2016年世…

背景: 大部分用户接触的第一个操作系统大多是windows,本人记得曾经小学的微机课也是以win98为基础学习了一众office软件.随着工作的多样化,单一的windows系统已经无法满足部分需求,而隔壁苹果的Mac OS得益于稳定的系统以及较为完善的软件应用也越来越受青睐.不少用户第一次接触Mac OS茫然不知所措,甚至有人不舍得学习成本,转而在苹果电脑上安装windows系统.这当然没啥问题,只是错过了Mac OS这样一个优秀的系统有些遗憾. 本人结合自身体验以及网络资料整理讲述Mac OS…

1. 概述 老话说的好:选择比努力更重要,如果选错了道路,就很难成功. 言归正传,之前我们聊了使用 MyCat 实现Mysql的分库分表和读写分离,MyCat是服务端的代理,使用MyCat的好处显而易见,整个分库分表和读写分离过程对Java程序来说是完全透明的,Java程序像连接Mysql一样,去连接MyCat即可. 但MyCat的运维成本较高,需要有专门的运维人员去维护,所以今天我们来聊聊另一个实现Mysql分库分表.读写分离的方案 -- ShardingSphere-JDBC. Shardi…

下午无聊再网上闲逛随意看了下,自己做了一次测试,目前最新的版本是1.6.Weeman是一款运行在Python环境下的钓鱼渗透测试工具 但这款工具简单易用,安装简单,可伪造HTML页面等等...网上看了下,国内这个工具教程很少,要么教程都是重复的,而且也不是很详细. 所以自己摸索了几个小时,把大致的使用过程发布出来和大家分享一下.说的不好地方请大家见谅. 工具项目地址:https://github.com/Hypsurus/weeman/ 克隆地址:https://github.com/Hypsu…

前言 这次主要分享通过Metrics.net + influxdb + grafana 构建WebAPI的自动化监控和预警方案.通过执行耗时,定位哪些接口拖累了服务的性能:通过请求频次,设置适当的限流和熔断机制,拦截非法或不合理的请求,保障服务的可用性. InfluxDB 官网:https://www.influxdata.com/ 按照官方的说法,InfluxDB是一个开源分布式时序.事件和指标数据库.使用 Go 语言编写,无需外部依赖.其设计目标是实现分布式和水平伸缩扩展. 下载地址:htt…

柔弱的APP如何自我保护,浅谈APP防御手段,使用360加固助手加固/签名/多渠道打包/应用市场发布 由于JAVA和Android的平台型,所以APP很容易被反编译,这对于我们开发者来说,是一个不想要的结果,对于用户来说,就是一个噩耗,而安全性,一直是我们关注的焦点,今天,我们来聊聊这个安全性,和一起玩玩Apk加固! 一.我们为什么要提高APP的安全性 手机已经是不会离开身边了,APP更是重中之重的环节,我们衣食住行,基本上大部分都是靠APP来完成的,这样的话,APP的安全就是一个很大的挑战了,…

一.jmap找出占用内存较大的实例 先给个示例代码: import java.util.ArrayList; import java.util.List; import java.util.concurrent.CountDownLatch; /** * Created by 菩提树下的杨过 on 05/09/2017. */ public class OOMTest { public static void main(String[] args) throws InterruptedExcep…

说明:绝大部分都是对着下面的参考文章来做的.这里只把基本流程和我自己遇到的问题写一下.如有其他问题可以访问文章末的参考文章进行查找! esp8266模块 我们需要购买一块esp8266模块,如下图所示的这种.有底板,有Micro口.我这块是在某宝上购买的,15不到还包邮,贼划算(本着买来玩玩看的心态). 下载固件到esp8266 在这里需要下载两个东西,分别是Flash下载工具和固件. 工具都在文末的云链接中,请自行下载且安装相应的实验环境. Flash下载工具:flash_download_t…

说明:绝大部分都是对着下面的参考文章来做的.这里只把基本流程和我自己遇到的问题写一下.如有其他问题可以访问文章末的参考文章进行查找! esp8266模块 我们需要购买一块esp8266模块,如下图所示的这种.有底板,有Micro口.我这块是在某宝上购买的,15不到还包邮,贼划算(本着买来玩玩看的心态). 下载固件到esp8266 在这里需要下载两个东西,分别是Flash下载工具和固件. 工具都在文末的云链接中,请自行下载且安装相应的实验环境. Flash下载工具:flash_download_t…

利用这个可以突破st2下   强制jsp跳转login.jsp 利用jspx解决jsp后缀被限制拿shell - Hack Blog | 黑客博客http://www.hackblog.cn/post/45.html 两种“新型”的javaweb后门(jspx和Java Logger) | HuGtion's Bloghttps://www.hugtion.com/?p=768 关于JavaWeb后门问题一直以来都比较少,而比较新奇的后门更少.在这里我分享两个我最近搞的比较有意思的JavaWeb…

1.SQL注入------常见的安全性问题. 解决方案:前端页面需要校验用户的输入数据(限制用户输入的类型.范围.格式.长度),不能只靠后端去校验用户数据.一来可以提高后端处理的效率,二来可以提高后端数据的安全. 后端不要动态sql语句,使用存储过程查询语句.限制用户访问数据库权限.后端接受前端的数据时要过滤一些特殊字符(如:“--”等字符) 后端如果出现异常的话,要使用自定义错误页,防止用户通过服务器默认的错误页面找到服务器漏洞. java版 安全查询(参数化查询) //获取参数,拆分参数 S…

Metrics.net + influxdb + grafana 构建WebAPI的自动化监控和预警 前言 这次主要分享通过Metrics.net + influxdb + grafana 构建WebAPI的自动化监控和预警方案.通过执行耗时,定位哪些接口拖累了服务的性能:通过请求频次,设置适当的限流和熔断机制,拦截非法或不合理的请求,保障服务的可用性. InfluxDB 官网:https://www.influxdata.com/ 按照官方的说法,InfluxDB是一个开源分布式时序.事件和指…

Zabbix 集成 睿象云智能告警平台 CA ( Cloud Alert ) 一 .简介与前期了解 Cloud Alert 通过应用,接入监控系统/平台的告警,集中管理您的告警,统一分派通知,统一分析. 这个平台最先了解和使用是在 2017 年下半年,之前的名称叫 oneitsM.预警产品名称为 : OneAlert, 现在该产品已经迁移到 睿象云,并更名为 CloudAlert .本文主要是介绍和记录下该预警产品的使用. 我们首先要注册一个账号:官网链接,然后登陆我们的账号.选择我们的 Clo…

PhpStudy2018后门漏洞预警及漏洞复现&检测和执行POC脚本 phpstudy介绍 Phpstudy是国内的一款免费的PHP调试环境的程序集成包,其通过集成Apache.PHP.MySQL.phpMyAdmin.ZendOPtimizer不同版本软件于一身,一次性安装无需配置即可直接使用,具有PHP环境调试和PHP开发功能.由于其免费且方便的特性,在国内有着近百万的PHP语言学习者和开发者用户 后门事件 2018年12月4日,西湖区公安分局网警大队接报案,某公司发现公司内有20余台计算机…

出处:java:线上问题排查常用手段 一.jmap找出占用内存较大的实例 先给个示例代码: import java.util.ArrayList; import java.util.List; import java.util.concurrent.CountDownLatch; /** * Created by 菩提树下的杨过 on 05/09/2017. */ public class OOMTest { public static void main(String[] args) thro…

面试题: Nginx 是如何实现并发的?为什么 Nginx 不使用多线程?Nginx常见的优化手段有哪些?502错误可能原因有哪些? 面试官心理分析 主要是看应聘人员的对NGINX的基本原理是否熟悉,因为大多数运维人员多多少少都懂点NGINX,但是真正其明白原理的可能少之又少.明白其原理,才能做优化,否则只能照样搬样,出了问题也无从下手. 懂皮毛的人,一般会做个 Web Server,搭建一个 Web 站点;初级运维可能搞个 HTTPS .配置一个反向代理; 中级运维定义个 upstream.写…

2019年9月6日,阿里云应急响应中心监测到Metasploit-framework官方在GitHub空间公开了针对Windows远程桌面服务远程命令执行漏洞(CVE-2019-0708)的利用代码.利用该代码,无需用户交互操作,即可在目标系统上执行任意命令,或者造成服务器拒绝服务.不法分子可以通过该漏洞传播恶意蠕虫,感染大量内网主机. 2019年5月15日,阿里云应急响应中心即针对该高危漏洞发布过紧急预警,但还是有不少用户并未修复漏洞.鉴于目前该漏洞的POC已出现,阿里云安全专家强烈建议用户尽…

本文基于 Pinpoint 2.1.0 版本 本文大部分内容来自:侠梦的开发笔记 ,但是原文的版本和我的不一致,放在2.1.0是跑不起来的,但是大概逻辑和思路基本一致. 目录 一.接入预警大概思路 二.具体实现 2.1.加入预警模块 2.2.开启微信预警调用 2.3.增加一个 bean 引入配置 2.4.配置文件增加微信预警URL 配置 三.实现预警 3.1.创建用户和创建用户组 3.2.创建预警规则 四.邮件预警 五.预警相关问题和注意事项 5.1.告警发送异常,缺少参数 一.接入预警大概思路…

目标: 监控Oracle某张记录表,有新增数据则获取表数据,并推送到微信企业. 流程: Kafka实时监控Oracle指定表,获取该表操作信息(日志),使用Spark Structured Streaming消费Kafka,获取数据后清洗后存入指定目录,Python实时监控该目录,提取文本里面数据并推送到微信.(Oracle一台服务器,Kafka及Spark在另外一台服务器) 架构: Oracle+Kafka+Spark Structured Streaming+Python centos7 o…

物联网地震预警项目介绍: 地震,俗称地动.它像平常的刮风下雨一样,是一种常见的自然现象,是地壳运动的一种表现,即地球内部缓慢积累的能量突然释放而引起的地球表层的振动.据统计,5级以上地震就能够造成破坏,习惯上称为破坏性地震,平均每年发生约1000次:7级以上强震平均每年18次:8级以上大震每年发生1-2次.在面对地震灾情的时候,如果能提前获知地震即将到来,人们就可以及时离开楼房疏散到开阔平坦的地段,即使时间短暂来不及逃离也可以有时间做好应对策略寻找室内相对坚固的地方尽量避免地震给自己带来伤害.但…

[导语]当下,物业管理行业正在接受新科技浪潮的冲击和洗礼,业界企业纷纷探索物业服务的新发展模式.云服务.微社区.微信公众平台.app等,这些本来陌生的词汇在物业管理行业变得耳熟能详.在借助科技手段拓展多种经营,提升竞争力.增加创富能力.开展信息化建设和管理的同时,部分物业服务企业的发展模式和理念又提升了一大步,现代科技推动物业管理行业发展正在成为现实. 第一部分:移动互联网改变传统物业管理 <ignore_js_op>  从6000斤香梨看社区O2O——记长城物业盛世家园社区香梨团购活动 普而…