手把手教你制作科目一刷学时神器

驾校报完名回家,略激动。 按照教练的指引登录上某教学网站,规定是要完成在线教学24个学时,才能参加科目一考试。本以为每天登录并播放教学视频挂几个小时就搞定了,然而教学网站上的视频却是被划分为很多个短片,而每段视频只有几十秒到几分钟不等,每段视频之后还有问答题。完全不能像预想的那样一劳永逸的挂学时。 难道要老老实实的看满24个小时么?No。百度可以发现,网上有很多代刷学时的服务,甚至还有专门刷学时神器,都已经开始软件收费了。下面我们来看看,如何制作一个刷学时的“神器”。

数字证书及其在安全测试中的应用

做Web层面的安全测试,免不了要做中间人代理来截包分析。常用的工具有BurpSuit,Fiddker,Charles等等。关于这些工具的用法网上已经有很多介绍,这里就不赘述了。然而在测试一些安全性高的站点时,往往会遇到SSL通信的问题。这里对这些数字证书的问题进行一个小结,欢迎拍砖交流。

新浪微博CSRF加关注漏洞的思考

微博经常会莫名其妙的添加一些推广账号。 恰好看到乌云人暴新浪的CSRF,遂加关注跟踪了一下。思考了一些推广的思路: 1、通过存在CSRF漏洞的接口 https://api.weibo.com/2/friendships/create.json(POST方式) uid=[强行加关注的目标微博uid]&source=3818214747&_cache_time=0&method=post 目前该漏洞已被修补,会对origin字段进行限制

XSS : BeEF利用框架的客户端脚本浅析

BeEF是比较著名的一个XSS利用框架,它是交互界面友好、高度集成、开源、活跃度较高的一个项目。在BT5中也集成了BeEF。跟国外其他渗透测试项目一样,它也可以和其他很多工具结合使用,如MSF。但是网上相关资料不太好找,于是前段时间自己看了一下BeEF的客户端JS脚本代码。 BeEF框架客户端脚本文件hook.js的主要结构如下:

OAuth2授权安全问题的一些思考

OAuth是一种简单开放的授权协议,使得第三方应用可以在用户授权的情况下获得accessToken,随后第三方应用用它访问用户的资料,而无需获得用户的账户密码。 目前国内大部分互联网公司提供的API都通过OAuth进行第三方应用授权。如:豆瓣、腾讯、新浪等。另外利用微博账号、SNS账号等的快速登录,可以使中小型网站轻松获得新用户,用户无需注册流程直接登录,提升用户登录率。