使用Let's Encrypt 证书进行SSL加密

最近Google Chrome浏览器有大动作,所有没有https的都标识为不安全,作为有轻微心理洁癖的人,这个不能忍,遂,折腾之! 要为网站部署SSL首先需要证书,而证书由CA机构签发,而基本所有的CA机构签发证书是需要收费的...

阅读全文>>

使用LOF(Local Outlier Factor)异常检测算法检测异常访问者

 在日常日志分析中,我们通常使用自己的“安全经验”编写出关于攻击的一些规则去寻找日志中攻击行为,从而得到一段时间内的异常访问者IP,即所有“命中过规则”的访问者,而面对千变万化的Web应用、不断更新迭代的技...

阅读全文>>

安全圈关系可视化分析(安全圈也许就这么大续集)

即将迎来国庆+中秋小长假,部分同事已经请假提前回家,工作氛围感觉渐淡下来,于是开始整理最近以来的工作的总结,以及开始准备节后一个技术沙龙的议题,还有节后的工作计划,闲暇之余聊到了二哥(gainover)之前的“安...

阅读全文>>

使用Gephi可视化分析博客友链引用关系

最近工作中一直在研究数据分析,试图在传统安全上做一些新的尝试,分析过程中用到了Gephi,此工具号称为“数据可视化领域的 Photoshop”,研究之余,突然想到以前写的一个用于爬取友情链接的小工具,然后发现爬取的数据信...

阅读全文>>

RFID门禁卡折腾过程记录

以前在社区看见各种关于RFID的帖子,但是一直没花时间尝试。 近期物业重新安装了小区大门,以前绕一绕,或者钻一下还是能进去的- -, 然而物业说,门禁卡最多只能办五张,有人说假装掉了重新去办五张.(刚办第一天卡就...

阅读全文>>

在线子域名、C段、同IP服务器查询[2016.5.9更新]

自从用习惯shodan、zoomeye等成熟的产品,意识到了数据的价值和重要性,于是开始尝试自己折腾,搭建数据检索系统,此域名查询系统为学习项目,仅为Demo版本,开放测试版本,不断完善中。 上图: ...

阅读全文>>

对数据库进行中间人攻击

不是什么新东西,在drops看文章看见,觉得很有意思,就动手试了一下,just fun! 开始看见如此高大上的文章,以为很难,试过发现其实就和在内网玩arp插xss代码一样简单。 执行select @@version;用wireshark抓包之,如图: ...

阅读全文>>

Tor 隐身大法.

当我们接入网络的时候,无时不刻真实地址都在被追踪或记录着.如果进行带有恶意的访问、检测,可能就会被逆向定位出发起请求的人。 某些场景,我们只需要一个vpn即可,但是你会在vpn的官网或软件上看到类似这样的提示...

阅读全文>>

Badusb初玩步骤记录&疑问探讨

一直在各大常逛的网站看到关于Badusb的文章,顿时觉得很神奇,很高端,于是一直想拥有这么一个邪恶的东西,可是因为2303不是很好找,并且git上的编译写入过程一看就头大,所以一直搁浅了,可是并没放弃,扯远了,扯回来。...

阅读全文>>