loic

该死,系统竟被薅羊毛的人攻击了!

感情迁移 提交于 2021-01-13 14:19:05
背景 几年前,我们的电商平台遭遇过一次CC攻击(一种分布式网络攻击,后面有详细介绍),当时整个网站几乎陷于瘫痪的状态。期间很多PC网页和APP页面打不开或者持续报错,下单流程也彻底跑不通了。 上图是对网站流量的监控。我们可以看到10:00时UV(访问用户)和client IP数量突然激增,翻了几千倍。 从后台监控看(上图),CPU资源也被耗尽了。由于CPU被耗尽,服务器慢得要命,所以当时根本无法登入服务器查看CPU详细的使用情况,只能根据监控页面查看CPU使用情况。 另外,出口带宽也被打满了。所以那段时间很多请求根本进不来。用户看到的就是空白页面,请求错误等情况。 经过分析,我们发现这次攻击是新品限量首发活动引发的,是一次薅羊毛活动。攻击者专门针对限量的新品进行了分布式网络攻击,目的就是抢到限量新品,然后再在市场上高价出售获利。 攻击者利用接码平台(接码平台,通俗点讲就是接收手机验证码的平台)提前注册好大量的账号,然后提前准备好脚本程序,利用一些攻击工具(文末有工具列表)将这些脚本分发到大量的代理或者肉鸡,并通过这些代理和肉鸡对网站发起分布式攻击 。攻击步骤如下图: 下面我们详细了解一下CC攻击。 CC攻击 1、基本概念 在了解CC攻击之前,我们先弄清下面几个概念: 1)僵尸主机&僵尸网络 僵尸主机是指感染僵尸程序病毒,从而被黑客程序控制的计算机设备。 该计算机设备可以是终端设备

PHP安全问题总结之有哪些?[图]

会有一股神秘感。 提交于 2020-11-05 06:31:50
PHP安全问题总结之有哪些?[图] 1、XSS Cross-SiteScripting(跨站脚本攻击)简称XSS,是一种代码注入攻击。攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如Cookie、SessionID等,进而危害数据安全。 来源 来自用户的UGC信息 来自第三方的链接 URL参数 POST参数 Referer(可能来自不可信的来源) Cookie(可能来自其他子域注入) 转义、过滤、限制长度 2、SQL注入 通过SQL语句,实现无账号登录,甚至篡改数据库。 如何防御SQL注入 1、检查变量数据类型和格式2、过滤特殊符号3、绑定变量,使用预编译语句 3、CSRF CSRF一般指跨站请求伪造CSRF攻击的全称是跨站请求伪造(crosssiterequestforgery),是一种对网站的恶意利用。 CSRF则是通过伪装来自受信任用户的请求来利用受信任的网站,攻击者盗用了你的身份,以你的名义向第三方网站发送恶意请求。CRSF能做的事情包括利用你的身份发邮件、发短信、进行交易转账等,甚至盗取你的账号。 4、CC攻击 (1)CC攻击的原理: CC攻击的原理就是攻击者控制某些主机不停地发大量数据包给对方服务器造成服务器资源耗尽,一直到宕机崩溃。 CC主要是用来消耗服务器资源的,每个人都有这样的体验:

糟糕,系统又被攻击了

爱⌒轻易说出口 提交于 2020-10-30 08:00:55
几年前,我们 的电商平台遭遇过一次CC攻击(一种分布式网络攻击,后面有详细介绍),当时整个网站几乎陷于瘫痪的状态。 期间很多PC网页和APP页面打不开或者持续报错,下单流程也彻底跑不通了。 上图是对网站流量的监控。我们可以看到10:00时UV(访问用户)和client IP数量突然激增,翻了几千倍。 从后台监控看(上图),CPU资源也被耗尽了。由于CPU被耗尽,服务器慢得要命,所以当时根本无法登入服务器查看CPU详细的使用情况,只能根据监控页面查看CPU使用情况。 另外,出口带宽也被打满了。所以那段时间很多请求根本进不来。用户看到的就是空白页面,请求错误等情况。 经过分析,我们发现这次攻击是新品限量首发活动引发的,是一次薅羊毛活动。攻击者专门针对限量的新品进行了分布式网络攻击,目的就是抢到限量新品,让后再在市场上高价出售获利。 攻击者利用接码平台(接码平台,通俗点讲就是接收手机验证码的平台)提前注册好大量的账号。然后提前准备好脚本程序,利用一些攻击工具(文末有工具列表)将这些脚本分发到大量的代理或者肉鸡,并通过这些代理和肉鸡对网站发起分布式攻击 。攻击步骤如下图: 下面我们详细了解一下CC攻击。了解CC攻击之前我们先弄清下面几个概念。 僵尸主机&僵尸网络 僵尸主机是指感染僵尸程序病毒,从而被黑客程序控制的计算机设备。该计算机设备可以是终端设备,也可以是云端设备,例如个人电脑,手机

十分钟搭建自己的私有NuGet服务器-BaGet

这一生的挚爱 提交于 2020-10-26 05:30:26
目录 前言 开始 搭建BaGet 上传程序包 在vs中使用 其他 最后 前言 NuGet是用于微软.NET(包括 .NET Core)开发平台的软件包管理器。NuGet能够令你在项目中添加、移除和更新引用的工作变得更加快捷方便。 通常使用NuGet都是官方的服务,但你有没有想过搭建自己的NuGet呢?在私有的NuGet上托管一些自己的类库,公司内部的类库等。。。搭建私有NuGet的方法有很多,比如NuGet.Server、ProGet、MyGet等等。本文使用的是BaGet,搭建过程也非常简单,下面进入正题。 开始 搭建BaGet BaGet是一个构建于ASP.NET Core 基础上的 NuGet V3 服务器的开源实现。 github地址: https://github.com/loic-sharma/BaGet 下载release包,我下载的是最新预览版,你也可以选择其他版本: https://github.com/loic-sharma/BaGet/releases/download/v0.3.0-preview4/BaGet.zip 你可以按需要修改一下端口配置,默认是5000: 在解压目录下打开命令行,执行: dotnet BaGet.dll 浏览器访问: http://localhost:8020/ 这样,NuGet服务就搭建完成了,是不是很简单? 上传程序包

国外整理的一套在线渗透测试资源合集

一个人想着一个人 提交于 2020-10-04 04:01:03
在线资源 渗透测试资源 Metasploit Unleashed - 免费的metasploit教程 PTES - 渗透测试执行标准 OWASP - 开放式Web应用程序安全项目 OSSTMM - 开源安全测试方法手册 Shell 脚本资源 LSST - linux shell脚本教程 Linux 资源 Kernelnewbies - 一个出色的Linux内核资源的社区 Shellcode 开发 Shellcode Tutorials - 如何编写shellcode的教程 Shellcode examples - Shellcodes 的库 社工资源 Social Engineering Framework - 一些社工的资源 开锁资源 Schuyler Towne channel - 开锁视频和安全沙龙 工具 渗透测试系统版本 Kali - 一个Linux发行版,用来做数字取证和渗透测试。 NST - 网络安全工具包发行版 Pentoo - 着眼于安全的基于Gentoo的 LiveCD BackBox - 基于Ubuntu的发行版,用于渗透测试及安全评估 渗透测试基础工具 Metasploit - 应用最广的渗透测试软件 Burp - 抓包工具,针对Web应用执行安全检测 漏洞扫描器 Netsparker - Web应用安全扫描器 Nexpose - 漏洞管理&风险控制软件

baget 包管理工具使用说明

社会主义新天地 提交于 2020-08-09 16:03:35
1、下载BaGet https://github.com/loic-sharma/BaGet/releases 2、运行BaGet 解压进入解压后的目录 进入命令行 运行dotnet BaGet.dll 命令 成功则显示运行的端口(默认为5000) 3、IIS运行 会存在无法推送的问题 put的时候报500的错误,删除 SQL lite 数据库 重新上传即可 4、推送 dotnet nuget push -s http://<域名|IP>v3/index.json -k <秘钥> <.nupkg 文件所在的路径> 秘钥: appsettings.json文件中的 "ApiKey": "《秘钥》" 来源: oschina 链接: https://my.oschina.net/weibangbang/blog/4297756

十分钟搭建自己的私有NuGet服务器-BaGet

回眸只為那壹抹淺笑 提交于 2020-08-07 16:20:15
目录 前言 开始 搭建BaGet 上传程序包 在vs中使用 其他 最后 前言 NuGet是用于微软.NET(包括 .NET Core)开发平台的软件包管理器。NuGet能够令你在项目中添加、移除和更新引用的工作变得更加快捷方便。 通常使用NuGet都是官方的服务,但你有没有想过搭建自己的NuGet呢?在私有的NuGet上托管一些自己的类库,公司内部的类库等。。。搭建私有NuGet的方法有很多,比如NuGet.Server、ProGet、MyGet等等。本文使用的是BaGet,搭建过程也非常简单,下面进入正题。 开始 搭建BaGet BaGet是一个构建于ASP.NET Core 基础上的 NuGet V3 服务器的开源实现。 github地址: https://github.com/loic-sharma/BaGet 下载release包,我下载的是最新预览版,你也可以选择其他版本: https://github.com/loic-sharma/BaGet/releases/download/v0.3.0-preview4/BaGet.zip 你可以按需要修改一下端口配置,默认是5000: 在解压目录下打开命令行,执行: dotnet BaGet.dll 浏览器访问: http://localhost:8020/ 这样,NuGet服务就搭建完成了,是不是很简单? 上传程序包