支付宝内部人士是这样设密码的!太牛逼了!

今天遇到一个在支付宝做安全的大牛,据说以前是做白帽子的(就是专门对付黑客的),我赶忙跑去问他,什么样的密码最安全,大牛给我看了几组牛逼密码,看完我彻底给跪了。

1、码农文艺到闹心且骗稿费的密码:

密码:ppnn13%dkstFsteb.1st

密码来源:“娉娉袅袅十三余,豆蔻梢头二月初”

密码设计思路:

ppnn=娉娉袅袅

13=十三

%=余(学过C/C++/Java的都该懂得)

dkst=豆蔻梢头

Feb.1st=二月初

我勒个去,这也太非主流了好么

类似思路,还有几组密码,怎么个翻译法?自己想去吧!

“飞流直下三千尺,疑似银河下九天”直译成FLZX3000cY4yhx9day

“停车坐爱枫林晚,霜叶红于二月花”是一[……]

查看更多……

SQLMAP ​常见参数

常见参数:

-u #注入点

-f #指纹判别数据库类型

-b #获取数据库版本信息

-p #指定可测试的参数(?page=1&id=2 -p “page,id”)

-D “” #指定数据库名

-T “” #指定表名

-C “” #指定字段

Options(选项):

–version #显示程序的版本号并退出

-h, –help #显示此帮助消息并退出

-v VERBOSE #详细级别:0-6(默认为1):

0:只显示Python的回溯,错误和关键消息。

1:显示信息和警告消息。

2:显示调试消息。

3:有效载荷注入。

4:显示HTTP请求。

5:显示HTT[……]

查看更多……

sql注入检测好工具sqlmap


  在WooYun上面看到了有人用Sqlmap检测http链接是否存在sql注入,于是趁机学习了一把sqlmap,现把自己在学习中碰到的一些问题分享给大家。

Sqlmap简介

  sqlmap 是一个自动SQL 射入工具。它是可胜任执行一个广泛的数据库管理系统后端指印, 检索遥远的DBMS 数据库, usernames, 桌, 专栏, 列举整个DBMS, 读了系统文件和利用导致SQL 射入弱点的网应用编程的安全漏洞。 

  sqlmap下载地址:

  想要运行sqlmap,必须安装python环境 

Python环境安装及配置

  Python 2.7.3 官方安装版()

默认情况下,在[……]

查看更多……

SQLMAP进阶使用

0x00 背景

首先在drops上搜索下sqlmap相关的文章:

介绍的比较全了,但是对于sqlmap的脚本扩展部分没有提及,例如自定义payload,自定义绕过脚本等等。

0x02 自定义payload脚本

2.1 需求

我们先写一个比较全的select语句:

1
select * from users where user_id in(1,2,3,[4]) and first_name like '%[t]%' and[……]

查看更多……

Jexus 网站服务器和 ASP.NET 跨平台开发

摘自

一周前受衣明志大哥邀请在烟台市他主办的首届胶东开发者大会上与大家分享了关于 Jexus 和 ASP.NET 跨平台开发的一些个人看法。本文内容基本和当日的演讲一致,局部可能补充了一些额外信息,供有兴趣的朋友们参考。

微软的跨平台战略

微软在过去的一年多中时间中发生了令整个 IT 行业感到惊叹的变化。这一切始于 Ballmer 的退位和 Nadella 的决心,更始于早已在微软各个基层部门蠢蠢欲动的二次创业。

以开发工具团队来说,他们很早就开源了 ASP.NET MVC 开发框架,并从那以后连续开源了后续全部新的开发框架,例如 Web API 和 SignalR,例如 OWIN 组件 Katana[……]

查看更多……

调试ASP.NET 2.0 HttpException请求超时(Request timed out)


注:以下步骤适用于ASP.NET 2.0 32bit应用程序

问题描述

超时问题发生时应用程序事件日志会出现以下警告。

通常这种问题发生的原因是由于请求的执行时间超过了服务器端配置的超时时间。在配置文件中可以通过httpRuntime/executionTimeout属性设置此最大超时时间(.Net 2.0中默认为110 秒)。

Event Type: Warning
Event Source: ASP.NET 2.0.50727.0Event Category: Web Event 
Event [......]

查看更多......

​拦截API 注入进程

原文

本文详细的介绍了在Visual Studio(以下简称VS)下实现API钩子的编程方法,阅读本文需要基础:有操作系统的基本知识(进程管理,内存管理),会在VS下编写和调试Win32应用程序和动态链接库(以下简称DLL)。

API钩子是一种高级编程技巧,常常用来完成一些特别的功能,比如词典软件的屏幕取词,游戏修改软件的数据修改等。当然,此技术更多的是被黑客或是病毒用来攻击其它程序,截获需要的数据或改变目标程序的行为。本文不探讨此技术的应用,只讲实现。同时希望掌握此技术的人都能够合法的应用它,不要去做危险或违法的事情,害人害己。

一、原理
每一个程序在操作系统中运行,都[......]

查看更多......

[转载]用户层下拦截系统api的原理与实现

         拦截api的技术有很多种,大体分为用户层和内核层的拦截.这里只说说用户层的拦截.而用户层也分为许多种:修改PE文件导入表,直接修改要拦截的api的内存(从开始到最后,使程序跳转到指定的地址执行).不过大部分原理都是修改程序流程,使之跳转到你要执行的地方,然后再返回到原地址.原来api的功能必须还能实现.否则拦截就失去作用了.修改文件导入表的方法的缺点是如果用户程序动态加载(使用LoadLibrary和GetProcAddress函数),拦截将变得复杂一些.所以这里介绍一下第二种方法,直接[……]

查看更多……