这篇文章最开始只是想写一个关于绕过referer的方法,写着写着发现和ssrf以及url跳转的一些手法类似,于是把这两种也加上了 对referer做校验一般是对csrf进行防范的手段之一,但是很多时候不经意间还会增加其他攻击的难度,如xss,jsonp劫持等等. 这里对referer的绕过做一个小的总结:目标网站是:www.domain.com 攻击者的域名是:evil.com 1.使用子域名的方式绕过,如下: http://domain.evil.com/ 2.注册一个类似的域名,如下:htt…

HttpsURLConnection.setDefaultHostnameVerifier( new HostnameVerifier(){ public boolean verify(String hostname,SSLSession ssls) { return true; } }); 以上是域名若校验,如果当前https已经添加了本地证书实现了证书校验,那么域名可以作为一个弱校验也是没有问题的. 但是如果证书不想在app中保留,给https设置了信任所有证书,那么就需要设置域名的强校验来…

apache本地域名ip重定向,使本机通过指定域名访问到指定ip路径. 1.apache配置apache/conf/httpd.conf  : 开启配置 Include conf/extra/httpd-vhosts.conf 2.apache配置apache/conf/extra/httpd-vhosts.conf : <VirtualHost *:80> ServerAdmin webmaster@appjh51.ingenidev DocumentRoot "D:/WWW/Ap…

/***************************************************************************** * 点分十进制IP校验.转换,掩码校验 * 声明: * 本文主要记录如何对IP.掩码进行转换.校验等相关内容,注意大小端的问题. * * 2016-5-5 深圳 南山平山村 曾剑锋 ****************************************************************************/ 一.…

前言 摘录自操作系统,这一段的内容很有启发,稍微加上自己的理解,写一篇博客记录一下. 缓存 缓存成功解决了速度不匹配设备之间的数据传输,并且在一般情况下,是整个系统的瓶颈:缓存的出现,有效减少了低速IO设备的访问频率,从而大幅度提升了速度.比如在处理高并发的场景,常规的mysql根本不够,上万的请求数据库就已经崩了:但往往高并发场景是读多写少,所以可以利用缓存,完全可以在数据库和缓存里都写一份,读的时候大量走缓存就行了.数据库redis 轻轻松松单机几万的并发,就是用了从缓存中存储数据.读写数据…

域名ip自动跳转 跳转指定页面的js 为了应对百度审核,需要客户的网站在个别地区跳转到另一个页面,就搞到了这段代码,屡试不爽,超实用.下面把地址换成你要访问的网站url地址或者文件url地址即可.超实用,根据限定地域,页面在识别该地区ip后,就会自动跳转,效率很高.如果好,别忘记分享这段指定ip段,跳转页面的js代码,不在指定ip段内的,正常访问原来页面,没有丝毫影响. <script src="http://int.dpool.sina.com.cn/iplookup/iplookup.…

功能:主动验证给定的域名.IP对是否真正的关联 思路: 1.一开始通过修改hosts文件,把待验证的域名.IP对添加到文件里,然后用wget尝试访问,再恢复hosts文件重新验证下一对 2.后来了解到curl命令可以带参数的形式指定访问域名的解析IP,于是改用curl验证.但是要在防火墙上关闭DNS服务,要不然会主动请求外网的DNS服务. 主动验证的脚本如下 #curl www.google.com -L -i --resolve www.google.com:80:123.34.35.41 -…

看到同事在一个一个IP地址的百度来确认导出表格中的ip地址所对应的现实世界的地址是否正确,决定给自己新开一个坑.做一个查询ip“地址”的python小工具,读取Excel表格,在表格中的后续列输出尽可能多的ip地址查询平台的结果以供验证比对. 第一个版本写的比较丑,仅仅能用,后续慢慢完善吧. # -*- coding: utf-8 -*- # @Author: EnderZhou # @E-mail: zptxwd@gmail.com # @Date: 2018-11-09 15:17:21 #…

CSRF绕过后端Referer校验分正常情况和不正常的情况,我们这里主要讨论开发在写校验referer程序时,不正常的情况下怎么进行绕过. 正常情况 正常的情况指服务器端校验Referer的代码没毛病,那么意味着前端是无法绕过的. 我之前考虑过的方案: JS修改Referer,失败: 请求恶意网页后,后端重新送包,问题是你怎么跨域拿Cookie,失败: 不正常的情况 不正常的情况指服务器端校验Referer的代码有漏洞,前端才能做到绕过,下面介绍几个可能会绕过Referer的案例: 添加无Ref…

在日常开发中,后端主要提供数据以及处理业务逻辑,前端主要提供页面布局以及数据展示.后端程序员对于页面布局接触比较少,但是小程序有完善的文档说明.页面布局也相对简单,实现起来相对简单一些.而且小程序相对于安卓或者IOS审核机制也相对简单一些.本文介绍如何实现一个简单获取IP归属地的小程序. 效果展示 页面主要有两个功能: 显示当前IP地址和归属地. 根据查询条件显示归属地. 页面布局从上往下分成三部分: 第一部分为文字说明,介绍页面功能. 第二部分显示当前IP地址. 第三部分显示查询的地址结果.…