把VPS服务器系统重新恢复了,一切环境都重新搭建,图方便,用了最新的LNMP1.2一键安装包.安装完成后各种问题: 1.绑定多个虚拟主机只有1个能访问正确的目录,其他访问到了默认目录 2.pureftpd网页访问时提示"502 Bad Gateway" 3.php-fpm进程占用100%cpu 4.网站首页打开为空白 针对以上问题,进...

最近贴了比较多的文章,设定的定时发布,可老是有发布失败的情况发生,登上去看的时候手动重新发布一次,这个问题一直没在意.

今日再登博客,却无法打开了,提示:

一些数据表不可用。也许需要修复数据库。

前几天上网打开163首页时，发现页面底部莫名其妙的出现一个边框。这在以前可是未曾有过的，而且以后也绝不可能会有这么丑陋的设计。 趋于好奇心，立刻在边框上点了右键审查元素。尼玛，不看不知道，网易首页的HTML何时变得这么劣质了？ 没有doctype声明，连title元素都没有。script还是language=JScript风格，这得追溯到多少个世纪前了~　...

前言 HSTS 的出现，对 HTTPS 劫持带来莫大的挑战。 不过，HSTS 也不是万能的，它只能解决 SSLStrip 这类劫持方式。但仔细想想，SSLStrip 这种算劫持吗？ 劫持 vs 钓鱼 从本质上讲，SSLStrip 这类工具的技术含量是很低的。它既没破解什么算法，也没找到协议漏洞，只是修改和代理了明文的封包而已。 如果说劫持，要保持源站点不变才...

前言 上一篇文章 讲解了如何借助前端技术，打造一个比 SSLStrip 更高大上的工具。 今天我们再次使用这套战术，通过前后端的里应外合，实现一个杀手锏级的攻击方案 —— Cookie 数据大喷发。 传统嗅探 在过去，Cookie 的窃取大多通过嗅探流量来实现。 这种方法具有很强的隐蔽性，让人几乎难以察觉。然而，正因为如此，也面临一个巨大的缺陷：速度太过缓慢...

前言 之前介绍了 HTTPS 前端劫持 的方案，虽然很有趣，然而现实却并不理想。其唯一、也是最大的缺陷，就是无法阻止脚本跳转。若是没有这个缺陷，那就非常完美了 —— 当然也就没有必要写这篇文章了。 说到底，还是因为无法重写 location 这个对象 —— 它是脚本跳转的唯一渠道。尽管也流传一些 Hack 能勉强实现，但终究是不靠谱的。 事实上，在最近封稿的...

前言 在之前介绍的流量劫持文章里，曾提到一种『HTTPS 向下降级』的方案 —— 将页面中的 HTTPS 超链接全都替换成 HTTP 版本，让用户始终以明文的形式进行通信。 看到这，也许大家都会想到一个经典的中间人攻击工具 —— SSLStrip，通过它确实能实现这个效果。 不过今天讲解的，则是完全不同的思路，一种更有效、更先进的解决方案 —— HTTPS ...

传统的登录框 在之前的文章流量劫持危害详细讲解了 HTTP 的高危性，以至于重要的操作都使用 HTTPS 协议，来保障流量在途中的安全。 这是最经典的登录模式。尽管主页面并没有开启 HTTPS，但登录时会跳转到一个安全页面来进行，所以整个过程仍是比较安全的 —— 至少在登录页面是安全的。 对于这种安全页面的登录模式，黑客硬要下手仍是有办法的。在之前的文章里...

在上一篇流量劫持系列4_WiFi流量劫持_浏览任意页面即可中毒！构思了一个时光机原型，让我们的脚本通过HTTP缓存机制，在未来的某个时刻被执行，因此我们可以实现超大范围的入侵了。

基于此原理，我们用NodeJS来实现一个简单的样例。得益于node强大的IO管理，以及各种封装好的网络模块，我们可以很容易实现这个想法：

大家都知道公共场所的Wifi安全性很差，但并不清楚究竟有多差。大多以为只要不上QQ、不登陆网站账号就没事了，看看新闻小说什么的应该毫无关系。 的确如此，看看新闻网页没有涉及任何敏感的账号信息。即便是数据明文传输，Hacker也只能嗅探到你看了哪些新闻，这些毫无价值的信息。 不过如此守株待兔的嗅探，似乎也太被动了。既然我们能主动控制流量，何必用这种弱爆了的方法...