经过昨天的测试,发现使用离线缓存的网站会被攻击.但是,不使用离线缓存的网站就真的不会受到这样的攻击么? 据我理解,按照标准当浏览器请求manifest文件时,若没有请求到,或者文件发生改变,应当不使用缓存,进行缓存更新的,然而实验的结果并不总是这样. (很郁闷相同的操作为啥有时候结果不一样,不过大部分还是造成了离线缓存攻击的效果.) 首先,拿百度主页做实验,用修改HOST文件的方式将百度主页离线缓存为其他内容(这里就可以加入恶意代码),再改回正常,表示回到正常的网络环境,主要要关闭浏览器,不然刷…

Python网络编程03 /缓存区.基于TCP的socket循环通信.执行远程命令.socketserver通信 目录 Python网络编程03 /缓存区.基于TCP的socket循环通信.执行远程命令.socketserver通信 1. 操作系统的缓冲区 2. 基于TCP协议的socket循环通信 服务端(server) 客户端(client) 3. 基于TCP协议的socket链接+循环 通信 服务端(server) 客户端(client) 4. 基于TCP协议的socket应用实例:执行远…

前言: 前面的学习基本上已经可以完成开发需求了,但是在项目中有时会遇到对请求做个缓存,当没网络的时候优先加载本地缓存,基于这个需求我们来学习一直okHttp的Cache-Control. okHttp相关文章地址: Android okHttp网络请求之Get/Post请求 Android okHttp网络请求之文件上传下载 Android okHttp网络请求之Json解析 Android okHttp网络请求之缓存控制Cache-Control Android okHttp网络请求之Retr…

  iOS开发网络篇—数据缓存 一.关于同一个URL的多次请求 有时候,对同一个URL请求多次,返回的数据可能都是一样的,比如服务器上的某张图片,无论下载多少次,返回的数据都是一样的. 上面的情况会造成以下问题 (1)用户流量的浪费 (2)程序响应速度不够快 解决上面的问题,一般考虑对数据进行缓存. 二.缓存 为了提高程序的响应速度,可以考虑使用缓存(内存缓存\硬盘缓存) 第一次请求数据时,内存缓存中没有数据,硬盘缓存中没有数据. 缓存数据的过程 当服务器返回数据时,需要做以下步骤 (1)使用服…

原文:http://www.oschina.net/translate/linux-netcat-command netcat是网络工具中的瑞士军刀,它能通过TCP和UDP在网络中读写数据.通过与其他工具结合和重定向,你可以在脚本中以多种方式使用它.使用netcat命令所能完成的事情令人惊讶. netcat所做的就是在两台电脑之间建立链接并返回两个数据流,在这之后所能做的事就看你的想像力了.你能建立一个服务器,传输文件,与朋友聊天,传输流媒体或者用它作为其它协议的独立客户端. 下面是一些使用ne…

20145319 <网络渗透>URL攻击 实验步骤 首先启动apache2,打开我们的钓鱼网页,键入命令/etc/init.d/apache2 start 在浏览器中尝试着访问自己的ip地址,确认apache2是否正常工作 确认无误之后,启动我们伪造网页的工具set,键入命令setoolkit 在功能选择中首先选择一(社会工程学攻击) 之后选择二(网站攻击) 选择三(钓鱼网站) 选择二(网站克隆) 设置好需要回连的ip以及克隆的网站(这里以网易邮箱为例,但实际上存在一定问题) 将自身的Ip通过…

本实验采用局域网模拟,通过修改本地HOSTS文件来模拟域名以及DNS欺骗.合法网站使用Linux CentOS7的apache服务器搭建,IP为192.168.1.113,HOSTS文件中加入192.168.1.113 www.cache-test.com来模拟域名.正常访问页面如下图所示,在离线时也能够正常刷新出来. 攻击者由安装有XAMPP服务器的桥接虚拟机表示,IP为192.168.1.154.攻击者可以访问本目录的demo_html.appcache获得缓存文件,在同名文件加入自己的恶意…

virtual box搭建虚拟机nat和host only网络配置实用 一.背景 二.需求 二.设置虚拟机的网络 1.创建一个全局的nat网络 2.添加主机网络管理器 3.设置虚拟机网络 1.网卡1设置nat网络 2.网卡2设置主机网络 4.启动虚拟机设置虚拟机ip 5.测试是否可以连接外网 6.宿主机访问虚拟机 一.背景 最近自己在学习一些技术,在学习的过程中发现有写技术需要搭建集群环境,但是自己本地没有那么多的机器,购买云主机又比较贵,因此就想着搭建几台虚拟机来学习.本文主要记录一下,在 v…

##2017.10.30收集 面试技巧 5.1 面试形式 1)        一般而言,小公司做笔试题:大公司面谈项目经验:做地图的一定考算法 2)        面试官喜欢什么样的人 ü  技术好.自信.谦虚.善于沟通.表达. ü  喜欢追究原理 5.2 面试内容 1.2.1简历上的项目 ü  介绍下你的项目吧? 1)        第一步:介绍你项目是干嘛的 2)        第二步:介绍下你负责的是哪块 3)        第三步:介绍下里面都有什么功能,你是怎么实现的,怎么分层的? 1…

来自:信安之路(微信号:xazlsec),作者:myh0st 参考项目:https://github.com/infosecn1nja/Red-Teaming-Toolkit 上图是一个 Red Team 攻击的生命周期,整个生命周期包括:信息收集.攻击尝试获得权限.持久性控制.权限提升.网络信息收集.横向移动.数据分析(在这个基础上再做持久化控制).在所有攻击结束之后清理并退出战场. 没有百分之百的安全.人类对于安全来说是最大的隐患,这都是安全圈广为流传的金句,很多时候安全问题往往是由于人类的…