笔者曾混迹过各种攻防演练活动,参与过防守方、攻击方,也算是大概了解了每一个队伍的任务~参加防守时印象尤为深刻,也跟一起防守的“战友”做过有趣的事情,例如:反打攻击队;
题外话说的有点多了,来说说为什么开发这样一个平台:作为一个防守方光看日志固然是枯燥无味的,偶尔来几次反向打击啥的,增添防守的乐趣~所以我想到了做这样一个系统,就是想在“空暇”时间能获取点“黑客攻击者”的“画像”。
本平台采用被动式的方式分析黑客攻击者画像,可扩展赋能蜜罐以及安全设备,将平台接口部署在蜜罐Web界面上即可,当攻击者访问所部署的Web界面即触发平台分析功能,对访问者进行分析,数据回传平台分析其网络身份、IP、IP定位:物理地址等信息。
AHRID信息展示平台支持接口授权的方式授权站点,已授权站点才可使用平台接口进行被动式的攻击者画像分析以及数据回传。
AHRID接口授权平台的分析功能采用模块化设计,可针对不同的分析功能新建不同的分析模块进而让平台的分析功能更加丰富完善(开源版本目前只支持JSONP探针模块)AHRID提交模块AHRID开源版使用授权使用登录进AHRID平台之后需要先添加接口授权:AHRID接口授权当添加完毕后,复制接口代码至蜜罐页面或需监测的页面中即可(建议复制到最后),这样就已经部署成功了,只需要等待攻击者触发数据回传功能,等待画像信息即可。
模块提交当已经发现一个JSONP劫持漏洞时,即可提交到AHRID平台上:JSONP劫持漏洞漏洞地址:http://my.website/dorabox/csrf/jsonp.php?callback=test要获取的信息:username模块提交说明:1.名字模块名字(建议使用英文)2.SRC存在JSONP劫持漏洞的URL地址3.回调参数值回调参数的值(参数=值)4.数据字段JSON字段(例如:{"username":"123"},要获取的是username即填写username;
例如:{"data":{"uid":"123"}},要获取的是uid即填写data.uid)5.信息展示地址一般填写无或者随意填写6.模块描述根据模块功能说明AHRID模块提交示例AHRID开源版设计概述当攻击者访问到部署了AHRID接口的页面,即触发JSONP探针获取攻击者已登录状态下的登录信息,回传登录信息+IP+UA,后端会对IP进行物理地址转换,最终将数据记录到数据库。
数据库结构表:Admin-列:id,username,password表:Hackinfo-列:hid,host,ip,user_agent,jsondata,creaye_time,times表:Plugins-列:pid,name,src,callback,columns,url,commit表:Apis-列:aid,hostIP地址转换依赖:GeoLite2-City.mmdbIP定位依赖:接口apis.map.qq.com、way.jd.com+取中心点依赖环境:Python2+Flask+Mysql所需网络环境:互联网(可出网)AHRID开源版搭建1.config.py配置文件修改需要配置的信息如下:USERNAME:Mysql用户名PASSWORD:Mysql用户密码HOST:Mysql主机地址PORT:Mysql端口SECRET_KEY:SESSION秘钥(建议16位以上随机英文字母+数字+特殊符号)TX_KEYS:腾讯接口KEYS(2个以上,参考:https://lbs.qq.com/webservice_v1/guide-ip.html)JCLOUD_KEY:京东云接口KEY(Github可白嫖)2.Mysql创建“ahrid”数据库3.执行如下代码pythonmanage.pydbinitpythonmanage.pydbmigrate4.启动服务:sudopythonapp.py默认端口为:80,可自行修改app.py文件如下代码部分server=pywsgi.WSGIServer(('0.0.0.0',80),app)
题外话说的有点多了,来说说为什么开发这样一个平台:作为一个防守方光看日志固然是枯燥无味的,偶尔来几次反向打击啥的,增添防守的乐趣~所以我想到了做这样一个系统,就是想在“空暇”时间能获取点“黑客攻击者”的“画像”。
本平台采用被动式的方式分析黑客攻击者画像,可扩展赋能蜜罐以及安全设备,将平台接口部署在蜜罐Web界面上即可,当攻击者访问所部署的Web界面即触发平台分析功能,对访问者进行分析,数据回传平台分析其网络身份、IP、IP定位:物理地址等信息。
AHRID信息展示平台支持接口授权的方式授权站点,已授权站点才可使用平台接口进行被动式的攻击者画像分析以及数据回传。
AHRID接口授权平台的分析功能采用模块化设计,可针对不同的分析功能新建不同的分析模块进而让平台的分析功能更加丰富完善(开源版本目前只支持JSONP探针模块)AHRID提交模块AHRID开源版使用授权使用登录进AHRID平台之后需要先添加接口授权:AHRID接口授权当添加完毕后,复制接口代码至蜜罐页面或需监测的页面中即可(建议复制到最后),这样就已经部署成功了,只需要等待攻击者触发数据回传功能,等待画像信息即可。
模块提交当已经发现一个JSONP劫持漏洞时,即可提交到AHRID平台上:JSONP劫持漏洞漏洞地址:http://my.website/dorabox/csrf/jsonp.php?callback=test要获取的信息:username模块提交说明:1.名字模块名字(建议使用英文)2.SRC存在JSONP劫持漏洞的URL地址3.回调参数值回调参数的值(参数=值)4.数据字段JSON字段(例如:{"username":"123"},要获取的是username即填写username;
例如:{"data":{"uid":"123"}},要获取的是uid即填写data.uid)5.信息展示地址一般填写无或者随意填写6.模块描述根据模块功能说明AHRID模块提交示例AHRID开源版设计概述当攻击者访问到部署了AHRID接口的页面,即触发JSONP探针获取攻击者已登录状态下的登录信息,回传登录信息+IP+UA,后端会对IP进行物理地址转换,最终将数据记录到数据库。
数据库结构表:Admin-列:id,username,password表:Hackinfo-列:hid,host,ip,user_agent,jsondata,creaye_time,times表:Plugins-列:pid,name,src,callback,columns,url,commit表:Apis-列:aid,hostIP地址转换依赖:GeoLite2-City.mmdbIP定位依赖:接口apis.map.qq.com、way.jd.com+取中心点依赖环境:Python2+Flask+Mysql所需网络环境:互联网(可出网)AHRID开源版搭建1.config.py配置文件修改需要配置的信息如下:USERNAME:Mysql用户名PASSWORD:Mysql用户密码HOST:Mysql主机地址PORT:Mysql端口SECRET_KEY:SESSION秘钥(建议16位以上随机英文字母+数字+特殊符号)TX_KEYS:腾讯接口KEYS(2个以上,参考:https://lbs.qq.com/webservice_v1/guide-ip.html)JCLOUD_KEY:京东云接口KEY(Github可白嫖)2.Mysql创建“ahrid”数据库3.执行如下代码pythonmanage.pydbinitpythonmanage.pydbmigrate4.启动服务:sudopythonapp.py默认端口为:80,可自行修改app.py文件如下代码部分server=pywsgi.WSGIServer(('0.0.0.0',80),app)
2025/10/29 11:37:37
57.82MB
1
互联网的安全问题一直存在,并且在可预见的未来中没有消弭的迹象,而在软件开发周期中,加入对产品安全问题的检测工作,将极大的提升对应安全问题解决的成本,对维护一个好的产品形象至关重,在竞争愈烈的网络应用产品中的生命力也将更长。
本文要介绍的跨站请求伪(CSRF)在众多的攻击手段中,更具备隐蔽性,同时有更高的危害性。
笔者将对其的基本特性,攻击手段,危害及防范手段,以及如何使用RationalAppScan对CSRF攻击做检测及分析做一个系统的阐述。
跨站请求伪造(CSRF)的是Web应用程序一种常见的漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web2.0技术的应用的背景下,CSRF攻击完全可以在
本文要介绍的跨站请求伪(CSRF)在众多的攻击手段中,更具备隐蔽性,同时有更高的危害性。
笔者将对其的基本特性,攻击手段,危害及防范手段,以及如何使用RationalAppScan对CSRF攻击做检测及分析做一个系统的阐述。
跨站请求伪造(CSRF)的是Web应用程序一种常见的漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web2.0技术的应用的背景下,CSRF攻击完全可以在
2025/8/30 13:21:03
261KB
1
ApacheJServ协议(AJP)是一种二进制协议,可以将来自Web服务器的入站请求代理到位于Web服务器后面的应用程序服务器。
不建议在互联网上公开使用AJP服务。
如果AJP配置错误,可能会允许攻击者访问内部资源。
不建议在互联网上公开使用AJP服务。
如果AJP配置错误,可能会允许攻击者访问内部资源。
2024/12/19 3:24:39
17KB
1
vue在宣布不再更新vueresource之后给大家推荐了axios。
axios简介axios是一个基于Promise用于浏览器和nodejs的HTTP客户端,它本身具有以下特征:从浏览器中创建XMLHttpRequest从node.js发出http请求支持PromiseAPI拦截请求和响应转换请求和响应数据取消请求自动转换JSON数据客户端支持防止CSRF/XSRF
axios简介axios是一个基于Promise用于浏览器和nodejs的HTTP客户端,它本身具有以下特征:从浏览器中创建XMLHttpRequest从node.js发出http请求支持PromiseAPI拦截请求和响应转换请求和响应数据取消请求自动转换JSON数据客户端支持防止CSRF/XSRF
2024/4/21 14:37:11
13KB
1
spark-pac4j项目是用于SparkjavaWeb应用程序和Web服务的简单而强大的安全性库,它支持身份验证和授权,还支持注销和会话固定和CSRF保护等高级功能。
它基于Java8,Spark2.9和v4。
它在Apache2许可下可用。
代表认证机制。
它执行登录过程并返回用户配置文件。
间接客户端用于Web应用程序身份验证,而直接客户端用于Web服务身份验证:▸OAuth-SAML-CAS-OpenIDConnect-HTTP-OpenID-GoogleAppEngine-LDAP-SQL-JWT-MongoDB-CouchDB-Kerberos-IP地址-Kerberos(SPNEGO)-RESTAPI者旨在检查已认证的用户个人资料或当前Web上下文中的授权:▸角色/权限-匿名/记住我/(完全)已认证-配置文件类型,属性-CORS-CSRF-安全标头-IP地址,HTTP方法定义能否必须应用SecurityFilter并将其用于其他Web处理根据客户端和授权者的配置,SecurityFilter通过检查用户能否已通过身份验证以及授权能否有
它基于Java8,Spark2.9和v4。
它在Apache2许可下可用。
代表认证机制。
它执行登录过程并返回用户配置文件。
间接客户端用于Web应用程序身份验证,而直接客户端用于Web服务身份验证:▸OAuth-SAML-CAS-OpenIDConnect-HTTP-OpenID-GoogleAppEngine-LDAP-SQL-JWT-MongoDB-CouchDB-Kerberos-IP地址-Kerberos(SPNEGO)-RESTAPI者旨在检查已认证的用户个人资料或当前Web上下文中的授权:▸角色/权限-匿名/记住我/(完全)已认证-配置文件类型,属性-CORS-CSRF-安全标头-IP地址,HTTP方法定义能否必须应用SecurityFilter并将其用于其他Web处理根据客户端和授权者的配置,SecurityFilter通过检查用户能否已通过身份验证以及授权能否有
2016/1/14 19:39:21
12KB
1
真棒蒸气是当前最流行的服务器端Swift框架之一。
如果您曾经开发过iOS应用程序,并且使用它以全新的方式使用它,则可以使用您已经知道的语言来开发快速,可扩展且可靠的后端系统,该系统可以轻松地与各种第三方服务集成。
这是一个精选的清单:易于与Vapor集成并遵循Vapor提供简单,干净但功能强大的API的哲学的现代库;
精心编写的教程,书籍,视频和教育材料;
使您的开发过程更简单,更有趣的工具;
和更多!内容如何使用只需按Command+F即可搜索关键字。
如果您仅对与或与相关的条目感兴味,则可以通过访问此句子中的链接来使用自动生成的过滤列表,该列表可用于filtered分支。
您还可以在legacy文件夹中找到旧存档内容。
图书馆–蒸气中间件,用于将引发的错误转换为JSON响应。
–适用于iOS的蒸气APNS。
–报告Bugsnag的错误。
–用于蒸气的简单CouchDB客户端。
–为任何Fluent模型自动生成RESTfulCRUD路由器。
–一种为Vapor增加针对CSRF攻击的保护的软件包。
–一种用于读取和写入CSV文件的简单框
如果您曾经开发过iOS应用程序,并且使用它以全新的方式使用它,则可以使用您已经知道的语言来开发快速,可扩展且可靠的后端系统,该系统可以轻松地与各种第三方服务集成。
这是一个精选的清单:易于与Vapor集成并遵循Vapor提供简单,干净但功能强大的API的哲学的现代库;
精心编写的教程,书籍,视频和教育材料;
使您的开发过程更简单,更有趣的工具;
和更多!内容如何使用只需按Command+F即可搜索关键字。
如果您仅对与或与相关的条目感兴味,则可以通过访问此句子中的链接来使用自动生成的过滤列表,该列表可用于filtered分支。
您还可以在legacy文件夹中找到旧存档内容。
图书馆–蒸气中间件,用于将引发的错误转换为JSON响应。
–适用于iOS的蒸气APNS。
–报告Bugsnag的错误。
–用于蒸气的简单CouchDB客户端。
–为任何Fluent模型自动生成RESTfulCRUD路由器。
–一种为Vapor增加针对CSRF攻击的保护的软件包。
–一种用于读取和写入CSV文件的简单框
2020/6/20 4:04:37
44KB
1
史上最全的整合第三方登录的工具,目前已支持Github、Gitee、微博、钉钉、百度、Coding、腾讯云开发者平台、OSChina、支付宝、QQ、微信、淘宝、Google、Facebook、抖音、领英、小米、微软和今日头条等第三方平台的授权登录。
Login,soeasy!JustAuth,如你所见,它仅仅是一个第三方授权登录的工具类库,它可以让我们脱离繁琐的第三方登录SDK,让登录变得Soeasy!项目开源地址:gitee?|?github特点废话不多说,就俩字:全:已集成十多家第三方平台(国内外常用的基本都已包含),后续依然还有扩展计划!简:API就是奔着最简单去设计的(见后面快速开始),尽量让您用起来没有障碍感!快速开始引入依赖????me.zhyd.oauth????JustAuth????1.8.0调用api//?创建授权requestAuthRequest?authRequest?=?new?AuthGiteeRequest(AuthConfig.builder()????????.clientId("clientId")????????.clientSecret("clientSecret")????????.redirectUri("redirectUri")????????.state("state")????????.build());//?生成授权页面authRequest.authorize();//?授权登录后会返回code(auth_code(仅限支付宝))、state,1.8.0版本后,可以用AuthCallback类作为回调接口的参数authRequest.login(callback);注:1.8.0版本后,增加了state参数校验,用于防止CSRF。
强烈建议,保证单次流程内state的唯一性,且每个state只可用一次。
配套Demo:JustAuth-demo具体的例子可以参考:实现Gitee授权登录实现Github授权登录API列表平台API类?SDKAuthGiteeRequest参考文档AuthGithubRequest参考文档AuthWeiboRequest参考文档AuthDingTalkRequest参考文档AuthBaiduRequest参考文档AuthCodingRequest参考文档AuthTencentCloudRequest参考文档AuthOschinaRequest参考文档AuthAlipayRequest参考文档AuthQqRequest参考文档AuthWeChatRequest参考文档AuthTaobaoRequest参考文档AuthGoogleRequest参考文档AuthFacebookRequest参考文档AuthDouyinRequest参考文档AuthLinkedinRequest参考文档AuthMicrosoftRequest参考文档AuthMiRequest参考文档AuthToutiaoRequest参考文档AuthCsdnRequest无请知悉:经咨询CSDN官方客服得知,CSDN的授权开放平台已经下线。
如果以前申请过的应用,可以继续使用,但是不再支持申请新的应用。
so,本项目中的CSDN登录只能针对少部分用户使用了后续开发计划参考:[开发计划]待扩展的第三方平台另外,期待您和我一起完善这个项目!贡献代码fork本项目到自己的repo把fork过去的项目也就是你仓库中的项目clone到你的本地修改代码commit后push到自己的库发起PR(pullrequest)请求等待作者合并致谢在项目立项初期,也对当前开源圈的一些相同类型的项目作过调研,同时本项目也参考过这些项目,再次感激开源圈内的朋友。
YurunOAuthLogin:PHP第三方登录授权SDK阿里妈妈MUX倾力打造的矢量图标库-iconfont:本文档中的图标大部分取自该平台
Login,soeasy!JustAuth,如你所见,它仅仅是一个第三方授权登录的工具类库,它可以让我们脱离繁琐的第三方登录SDK,让登录变得Soeasy!项目开源地址:gitee?|?github特点废话不多说,就俩字:全:已集成十多家第三方平台(国内外常用的基本都已包含),后续依然还有扩展计划!简:API就是奔着最简单去设计的(见后面快速开始),尽量让您用起来没有障碍感!快速开始引入依赖????me.zhyd.oauth????JustAuth????1.8.0调用api//?创建授权requestAuthRequest?authRequest?=?new?AuthGiteeRequest(AuthConfig.builder()????????.clientId("clientId")????????.clientSecret("clientSecret")????????.redirectUri("redirectUri")????????.state("state")????????.build());//?生成授权页面authRequest.authorize();//?授权登录后会返回code(auth_code(仅限支付宝))、state,1.8.0版本后,可以用AuthCallback类作为回调接口的参数authRequest.login(callback);注:1.8.0版本后,增加了state参数校验,用于防止CSRF。
强烈建议,保证单次流程内state的唯一性,且每个state只可用一次。
配套Demo:JustAuth-demo具体的例子可以参考:实现Gitee授权登录实现Github授权登录API列表平台API类?SDKAuthGiteeRequest参考文档AuthGithubRequest参考文档AuthWeiboRequest参考文档AuthDingTalkRequest参考文档AuthBaiduRequest参考文档AuthCodingRequest参考文档AuthTencentCloudRequest参考文档AuthOschinaRequest参考文档AuthAlipayRequest参考文档AuthQqRequest参考文档AuthWeChatRequest参考文档AuthTaobaoRequest参考文档AuthGoogleRequest参考文档AuthFacebookRequest参考文档AuthDouyinRequest参考文档AuthLinkedinRequest参考文档AuthMicrosoftRequest参考文档AuthMiRequest参考文档AuthToutiaoRequest参考文档AuthCsdnRequest无请知悉:经咨询CSDN官方客服得知,CSDN的授权开放平台已经下线。
如果以前申请过的应用,可以继续使用,但是不再支持申请新的应用。
so,本项目中的CSDN登录只能针对少部分用户使用了后续开发计划参考:[开发计划]待扩展的第三方平台另外,期待您和我一起完善这个项目!贡献代码fork本项目到自己的repo把fork过去的项目也就是你仓库中的项目clone到你的本地修改代码commit后push到自己的库发起PR(pullrequest)请求等待作者合并致谢在项目立项初期,也对当前开源圈的一些相同类型的项目作过调研,同时本项目也参考过这些项目,再次感激开源圈内的朋友。
YurunOAuthLogin:PHP第三方登录授权SDK阿里妈妈MUX倾力打造的矢量图标库-iconfont:本文档中的图标大部分取自该平台
2017/1/25 2:37:52
159KB
1
CSRF是什么? CSRF(Cross-siterequestforgery),中文名称:跨站请求伪造,也被称为:oneclickattack/sessionriding,缩写为:CSRF/XSRF。
CSRF(CrossSiteRequestForgery,跨站域请求伪造)是一种网络的攻击方式,它在2007年曾被列为互联网20大安全隐患之一。
其他安全隐患,比如SQL脚本注入,跨站域脚本攻击等在近年来已经逐步为众人熟知,很多网站也都针对他们进行了防御。
然而,对于大多数人来说,CSRF却依然是一个陌生的概念。
即便是大名鼎鼎的Gmail,在2007年底也
CSRF(CrossSiteRequestForgery,跨站域请求伪造)是一种网络的攻击方式,它在2007年曾被列为互联网20大安全隐患之一。
其他安全隐患,比如SQL脚本注入,跨站域脚本攻击等在近年来已经逐步为众人熟知,很多网站也都针对他们进行了防御。
然而,对于大多数人来说,CSRF却依然是一个陌生的概念。
即便是大名鼎鼎的Gmail,在2007年底也
2015/9/1 3:03:16
190KB
1
在日常工作中,钉钉打卡成了我生活中不可或缺的一部分。然而,有时候这个看似简单的任务却给我带来了不少烦恼。
每天早晚,我总是得牢记打开钉钉应用,点击"工作台",再找到"考勤打卡"进行签到。有时候因为工作忙碌,会忘记打卡,导致考勤异常,影响当月的工作评价。而且,由于我使用的是苹果手机,有时候系统更新后,钉钉的某些功能会出现异常,使得打卡变得更加麻烦。
另外,我的家人使用的是安卓手机,他们也经常抱怨钉钉打卡的繁琐。尤其是对于那些不太熟悉手机操作的长辈来说,每次打卡都是一次挑战。他们总是担心自己会操作失误,导致打卡失败。
为了解决这些烦恼,我开始思考是否可以通过编写一个全自动化脚本来实现钉钉打卡。经过一段时间的摸索和学习,我终于成功编写出了一个适用于苹果和安卓系统的钉钉打卡脚本。
2024-04-09 15:03
15KB