captcha 对于用户来讲,有时候很烦,而且很多时候他并不能约束机器脚本。有一段时间我的一个启用了reCAPTCHA的 Eshop 网站收到大量拉圾邮件,后来我加了一个mouseover 才能触发的条件,再也没有收到拉圾邮件,毕竟没有人对一个不知名的小网站做单独的破解脚本。这个文章的封面就是两三行代码通过浏览器扩展自动点击验证的。
PointerEvent 中的 isTrusted
电影《骇客交锋》中的几个命令和黑客技术
看完了电影《骇客交锋》,发现里面的一些技术还是真实的,除了命令,还有U盘木马、社会工程学、钓鱼、键盘记录器等,还是挺丰富的,所以写一篇文章记录下。
只要你电脑不锁屏我就可以拿到你所有浏览器记住的密码
Chrome/Firefox 都浏览器都有记住密码的功能,方便用户自动填充,快速登录,虽然浏览器在设置里需要开机密码才能看记住的原密码,但是还是有方法绕过的,所以不要随便把电脑给别人用,离开电脑时最好锁屏。
HTTPS 一两句话通俗的表达
HTTPS 是对称加密和非对称加密的结合,理解清楚它就对加密就有了比较全面的认识了。洗澡时想了下如何用一两句话把它的思想通俗的表达出来。
XSS Challenges/xss-quiz游戏答案
这次记录下XSS Challenges 游戏答案。注入的方式有通过参数传递将script代码段在html中回显,还有注入到事件处理属性里,如onmouseover=”js code”
电影《Who Am I – No System Is Safe》里的技术
德国电影《Who Am I – No System Is Safe》是我最喜欢看的一部电影,可以说是一部技术教程,对我的思维影响特别的大,已经两次利用其中的思维保住了人生中的机会。
DNS over HTTPS Firefox设置DoH
当前我所在的公司网络可使用香港 IP 访问 Google 等网站, 但依然不能访问 youtube 等网站,可以使用浏览器的 DNS over HTTPS(DoH) 绕过这个限制
因为本质上公司还是在 DNS 上作手脚来干扰解析,但出于工作上的需要还必须用公司的 DNS 服务,而且 DoH 优先级高于hosts file,所以我只让一个浏览器启用 DoH,工作上需要用host 解析及公司 DNS 解析就用另一个浏览器。
跨域 CSS 攻击
跨域CSS攻击就是将目标网站的HTML信息以CSS的形式跨域引入到攻击者的页面上,诱导受害者访问并截获私密信息