12月25日,圣诞节,12306成了互联网的关键词,不过不是因为春运和订票,而是数据泄露。
事件简单经过:
某人在某论坛发帖,贴出一个14MB大小的txt文件,内容为用户名密码、姓名、手机号、邮箱等信息,发帖人说是从12306泄露出来的用户数据。共计13.1万条。
接着,有人验证,该txt中的数据的确可登录用户的12306账户。也即,数据为真。
网上不断泄露出更大的数据,但有网友下载验证后,证伪。
12306官方辟谣,说官网并未被共计,数据并非从官网泄露。有大牛猜测,应为撞库得到的数据,所以密码是明文存储的。
今天一早,警方证实已将泄露数据的“黑客”抓获归案。
暴力破解是网络攻击常见手法之一,够简单够直接。想要爆破成功一个密码,拥有一份好的字典是必不可少的。当然,彩虹表除外。
之前我写过一篇爆破web系统密码的文章, 其中就需要用到字典。
网上有很多人贡献自己的字典,但我总觉得不够顺手,要么太大,几十万条的数据跑起来怕是要几个小时,代价太高。要么不全,影响爆破成功率。
我收集了几份不同的字典,删除重复项,删除长度小于4和大于18的项目,整理出自己的几份字典,分享出来,希望能帮到你。
Burp Suite是一款非常优秀的针对Web应用的攻击平台,网上的教程也比较多,甚至在淘宝还有收费教程。由于Burp Suite功能强大,可实现多种web攻击,我总感觉网上现有的教程过于复杂,对于新手不那么容易理解。所以我决定自己写一点东西,结合原理,简单介绍Burp Suite的基础功能。
这篇来谈使用Burp Suite爆破密码,截图来自真实环境的一次实验,为避免麻烦,敏感信息已模糊处理。后面我会把相关漏洞通过正规渠道通知责任方。
声明:只用于技术交流,严禁用于非法行为和破坏行为。
我曾在微博上近一月内多次抱怨鲜果阅读器的RSS服务不稳定,最初是访问缓慢,后来是不抓取内容,到近几日压根就该页无法显示了。眼瞅着用了四五年的东西上不去,任凭我如何抓狂与抱怨都无济于事。鲜果的官方微博下有很多评论,并不是评论他发出来的微博,而是去询问鲜果阅读器什么时候可以恢复正常。
今天,官方终于打破沉默,发出了如下声明:鲜果将于一月后关闭RSS服务。
好歹算是给了用户一个交代。
RSS的便利无需多言,用过的人都能体会。
在阅读越来越碎片化的现今,仍有人坚守自己的BLOG,通过博客分享技术和生活。没有了RSS,你可能会与这些高质量的信息擦肩而过。
刷各种时间线时,被动接受“按兴趣”推送过来的文章和新闻时,你需要耗费大量时间甄别哪些信息对你有用,哪些是浪费精力。而沉淀多年的RSS,是这个世界上最懂你的习惯与兴趣的阅读服务。
也正因为此,我还在坚持更新着自己的博客,坚守着RSS。我不认为新颖的阅读方式会比RSS更高效,更贴合我的需求。RSS不会是获取资讯的全部,但一定是最重要的方式之一。
那么问题来了,鲜果之后,还能指望何人?
国内的抓虾早已停止更新,有道阅读和QQ邮箱阅读也是半停滞状态,国外的Feedly太慢。挑来选去,目前我在用的是NewsZeit。传送门
NewsZeit优势:
1.访问速度快,服务稳定。至少我用了这一个多月,没有404,没有停止服务的时候,每次访问基本都是秒开。
2.支持目录管理。订阅的站点比较多的时候,一般都习惯分类建立目录归类管理。NewsZeit支持设置文件夹分类管理,支持一键将文件夹所有内容标记为已读。
3.贴心的细节。比如,有明显的按钮可以跳转到原网页阅读内容。再比如,看完一个站点的内容之后,将其标记为已读,NewsZeit会自动跳转到列表中的下一个站点内容。再再比如,当站点的RSS出问题不能抓取内容时,NewsZeit会在列表中用黄色感叹号标注提醒。
最后,衷心感谢鲜果团队曾提供给我那么好用的RSS阅读器。
最近在研究Kali,配合一本《Kali渗透测试技术实战》 。在扫描部分,书中重点介绍nmap的使用。
冰桶挑战的热闹劲儿刚刚过去,我等穷人只是围观个热闹罢了。FB上紧跟着就出来个了冰书挑战,这回总算能说几句了。
冰书挑战的规则不复杂,列出10本对自己影响最大的书,并@10位自己的好友。被邀请人需要列书单公开出来。
我先来,列一下2008年以来读过所有的书中,影响最大or最喜欢的10本书。
距离上一篇博文居然两个月了,这里也要长草了,羞愧下。
最近这两个月事情实在太多,最忙的时候一整夜加起来睡眠时间不够三小时,几乎是彻夜未眠。这一切,都是因为她的出现。
她只要闭着眼哼哼两声,我就得忙前忙后。换尿布、洗尿布、洗奶瓶、冲奶粉、哄瞌睡,累的像狗,美的冒泡。
现在孩子满月了,我也有点时间写写东西。
各类育儿书很多,但总归会有遗漏的地方。或者作者认为不需要写到书里、却很重要的常识,是众多新手家长所不知道的。
我重点总结了下面4点,希望对即将有宝宝的朋友们有帮助。
先说作者,宗萨蒋扬钦哲仁波切,不丹国藏传佛教红教的一位上师。不仅在佛教修行极好,还曾导演拍摄了两部电影。仁波切对世俗生活并不陌生,经常在世界各地讲座说法。所以在他的著作中,语言生动贴近生活,可以感觉到他极力在用世俗化的语言和思路来解释佛教教理,甚至经常举一些世俗生活的新闻事件当例子,让人容易接受。
我把精华内容做了摘录,括弧中的蓝色字是我的个人理解。
首都博物馆最近在做一个名为《莲花世界》的唐卡艺术展览,展出古代唐卡76副,现代唐卡15副,是非常棒的专项艺术展。
别以为我去北京看了展览,这些都是网上看到的。《这里是北京》节目为这个展览专门做了两期节目,都是那里学来的。
听说现在的有钱人都喜欢收藏唐卡,听说这种颜色艳丽的藏传佛教卷轴画有的非常非常贵,听说唐卡现在越来越流行了。
不管怎样,多学点东西总没错。
记录笔记如下
今天下午看到乌云知识库一位高人翻译一篇国外漏洞分析文章,重点分析OpenSSL的heartbeat漏洞。原文链接:猛戳这里
简单说,攻击者对一台使用https登录的web服务器发送攻击数据包,在不需要任何身份认证或权限的情况下,就可以从服务器内存读取到最多64KB的数据。这些数据是随机出现的,可能是其他用户正常登录的cookie,也可能是用户名密码的明文,据说还有可能泄露私钥,但在我的测试过程中还没发现。
由于漏洞和SSL的心跳包有关,因此有网友为这个漏洞叫做“心跳出血漏洞”。漏洞编号:CVE-2014-0160