xssfork简介 xssfork作为sicklescan的一个功能模块，其开发主要目的是用于检测xss漏洞。 传统的xss探测工具，一般都是采用 payload in response的方式，即在发送一次带有payload的http请求后，通过检测响应包中payload的完整性来判断，这种方式缺陷，很多。 第一：不能准确地检测dom类xss 第二：用类似于requests之类的库不能真正的模拟浏览器 第三：网页js无法交互 怎么解决？如果能够用浏览器代替这个模块，去自动hook是最好的。所幸，我了解到phantomjs，当然现在google浏览器也支持headless模式，类似的，你也可以采用google浏览器去做检测。 原理 对于这类fuzz过程,基本都是预先准备好一些payload,然后加载执行。对于这类io型密集的扫描模型，后端使用多线程就比较适用，但是由于phantomjs你可以理解为一个无界面的浏览器，在加载的时候，其缺陷也比较明显，比较吃内存，用它来发包自然不像requests库轻量。 基本类型机用法： post类型  python xssfork.py -u “xx” -d “xx”  存储型 python xssfork.py -u “xx” -d “xxx” -D  “输出位置” 带cookie python xssfork.py -u “xx” -c “xx” ...

一、爱应该让人变得温柔和勇敢，而不是时常让人感到委屈和妥协。 二、理想的爱情状态，是学会独立，是两个人的时候有彼此，一个人的时候有自己。——张皓宸 三、爱不是一时好感，而是明明知道没结果，还想要坚持下去的冲动，我知道遇到你不容易，错过了会很可惜。 四、两个人之间最好的感觉就是，表面相互嫌弃，心中不离不弃。只要你不嫌我烦我就可以陪你很久很久。 五、你把青涩和挚爱都给了一个人，最后却把生活给了另外一个人，人生的出场顺序真的很重要，爱的深，爱的早，都不如爱得刚刚好。 六、两个人中，总要一个积极主动，死不要脸，坚持不放弃，那么他们才会有可能。 七、在不了解的状况下喜欢上一个人，却发现那个人真实的一面比你想象的还要美好，这应该算得上幸运。——八月长安《橘生淮南暗恋》 八、不是所有的人都知道时光的含义，不是所有的人都懂得珍惜，这世间并没有分离与衰老的命运，只有肯爱与不肯爱的心。——张爱玲 九、女人很敏锐，你爱不爱她，她一眼就能分辨出来，只不过有的装傻，有的自欺欺人，有的委曲求全，有的决定和你一起演。 十、这世界上从来就没有百分之百对的人，每个人都是独立的个体。你所能见到的默契和长久，只是因为他们愿意彼此靠近。 十一、所有的合适，都是两个人的相互迁就和改变，没有天生合适的两个人，两个人朝着相同的方向努力，就是最好的爱情。 十二、决定爱的从来不是容貌，年龄，地位，而是有没有带来长久的温暖和感动。 十三、“归属感”是你强烈地想和他在一起。“安全感”是你觉得他强烈地想和你在一起。“幸福感”是彼此都强烈地想在一起，而最终走在一起。 十四、请相信，总有一个人会放下尊严来迎合你，放下底线来纵容你。不是谁都有好脾气，只是太爱你，宁愿委屈自己，也要用尽全力温暖你。——颜小回 十五、现在大多数人的爱情，都是不堪一击的，爱的时候什么都是说得出来，真的到了要面对的时候，却是什么也做不了，除了埋怨，还是埋怨。 十六、其实感情里一件很暖的事就是，吵架归吵架，生气归生气，但不耽误我爱你。所以在生活的一地鸡毛里有所爱，才能让人觉得未来可期。 十七、没有完全合适的两个人，只有互相迁就的两颗心。你改一点，我改一点，虽然大家都失去点自我，却可以成为默契的一对。相爱，从不是一个人的事。 十八、他若真爱你，你可以是任何一种女生，可以任性、可以不温柔、可以无理取闹。他若爱你不够，你才需要完美，才需要服从，才需要温柔体贴，才需要委曲求全。 十九、每个人都会犯错，你若深爱一个人，无论他如何对你，无论犯什么错，你都会原谅，甚至为他找理由。你若不爱一个人，可能对方只说错一句话，就立刻翻脸分手。 二十、如果有一个人，愿意拉低自己的底线，被你欺负，请你温柔以待；她不是为了迎合你，而是希望你们可以慢慢磨合变得更好；如果你不懂，请你早点离开，别让她一个人痴心妄想。 二十一、选爱人最重要的是三个标准：不骗你，维护你，陪着你。第一条看他的品质，第二条看他的责任感，第三条则看他的耐心。女人对男人的感觉大致如此：始于感觉，忠于担当。——苏芩 二十二、大概这就是我的爱情观：不委屈自己去讨好，不廉价自己去迎合。做错了，可以低头道歉；做对了，寸步不让。不求一路轰轰烈烈，不求天天山盟海誓，只求不离不弃，相互理解且尊重。 二十三、爱人不要去强人所难，如果爱人之间强人所难，是在透支爱情的纵容。女人太独立也会让人很烦，因为她不需要男人，女人太黏人也会让人很烦，像跟屁虫一样，怎么样最好？人格上独立，情感上依赖。——涂磊 二十四、一个人爱你的时候，你的任性你的缺点都是可爱。一个人不爱你的时候，你说话是错，不说话是错，连呼吸都是错。这是人性，习惯就好。所以永远不要为了迁就谁而改变自己，爱的时候勇敢爱，散的时候大步走，别回头。 ...

刚刚，美国司法部起诉五名中国公民，指其涉嫌通过计算机入侵全球超过100家公司。另有两名涉嫌共谋的马来西亚公民被控。 两名马来西亚籍被告已被当地执法机关抓获，五名中国籍被告目前相信都身在中国。司法部周三（16日）的公告指，其中一名中国籍被告涉嫌“曾自夸与中国国家安全部的关系”。美国司法部在三份起诉书中指，被告被控盗取源代码、用户数据和重要的商业资讯，以及使用勒索软件（ransomware）向受害者索要钱财。全球共有超过100家公司受害，包括软件开发商、计算机硬件开发商、电信、社交媒体、电脑游戏等公司，也有非营利组织、大学、智库、外国政府以及香港政治人物等遭受这些黑客攻击。美国副司法部长罗森（Jeffrey Rosen）称，其部门正竭尽所能打击这些中国公民的非法计算机入侵及黑客攻击活动。“可惜的是，中国选择了一条不同道路，他们让数字犯罪分子在中国安全无忧，只要他们攻击中国以外的电脑、以及盗窃对中国有帮助的知识产权。”美国调查人员为上述黑客威胁取的代号包括“APT41”、“邪恶熊猫”、“邪恶蜘蛛”等。 美司法部副部长罗森被告是谁？中国籍被告包括张浩然、谭戴林，两人被控25项电信诈骗、洗钱、盗用身份等罪名。美方指两人涉嫌一项“电子游戏阴谋”，入侵全球多家游戏企业，盗取游戏中有价值的电子货币等，再转手卖出牟利。两名马来西亚籍被告王安华（Wong Ong Hua，音译）与凌扬青（Ling Yang Ching，音译）涉嫌与其共谋，攻击美国、法国、日本、新加坡和韩国等地的电子游戏公司。另外三名中国籍被告蒋立志、钱川与付强被控敲诈等九项罪名。他们皆为成都市肆零肆网络科技有限公司高管。 该公司网站自称为“白帽子技术团队”，则是修补、而非利用计算机或网络系统安全漏洞的黑客。不过，美国司法部称，成都肆零肆公司涉嫌攻击包括美国在内的十多个国家与地区、超过100个公司、组织与个人。他们入侵了印度和越南政府的计算机网络，并且锁定英国政府为目标但未能成功侵入。美方还指控，该公司曾向一家应对世界贫困问题的非营利组织发动勒索软件袭击。根据一篇2018年发表的中文文章，钱川是成都肆零肆公司总经理，蒋立志为副总经理，付强则主管大数据开发。“404（肆零肆）是个网页代码，代表找不到这个网页。我们希望能把自己‘藏’起来，安静低调、踏踏实实的去专注网络信息安全领域，”该文章引述钱川说。该文章引用公司负责人称，公司的信息与技术手段涉及机密，不方便对外公开。在成都肆零肆的公司网站上，央企中国航天科工集团、政府旗下的中国信息安全评测中心被列为合作伙伴。该公司在去年12月获得四川省国家保密局颁发的资质证书，有承接国家涉密项目的资格。 中美黑客指控 中方尚未对上述指控作出回应。中方一向否认中国政府从事任何针对外国企业与政府的经济情报收集活动。 美国当局近期多次指控来自中国的黑客攻击与经济间谍活动。 美国联邦调查局局长克里斯托弗·雷（Christopher Wray）表示，中国政府的间谍和盗窃行动对美国的未来是“最大的长期威胁”。今年7月，美国起诉两名中国公民李晓宇（Li Xiaoyu，音译）与董家智（Dong Jiazhi，音译），指他们是受中国政府指使、盗窃海外高科技公司机密的情报机关黑客。起诉书称，两人受雇于中国国家安全部，隶属广东的国安部门。他们攻击世界各国的电脑设备历时超过十年，盗窃贸易机密、武器设计、军事系统及其他信息，并企图盗窃新冠病毒疫苗机密。美国公司微软近日发表报告称，中国黑客攻击了民主党总统候选人拜登的竞选团队。中国外交部回应指，美国大选是内部事务，中国“没有兴趣，也无意干涉”。发言人赵立坚反击称，美国才是全球最大的网络攻击者。 华盟君写在最后的话，现在中美关系紧张，美国一度拿中国黑客来说事，就像美国与俄罗斯一样，都是相互安排间谍。我们也应当找出来一几个入侵我国的黑客组织，进行全球通缉，里面必有美国黑客的痕迹。中国应当有对应的手段与回应。 ...

 1 在推上看到的，算一个可搜集的tips吧，原理是利用archive自己抓取的历史页面引用源，筛选去重即可。 web.archive.org互联网档案馆（Internet Archive）是一家以普及利用所有知识为目标的非营利性数字图书馆。它提供永久存储和免费的公共访问的数字化材料信息集合，其中包括：网站、音乐、运动图像、以及近300万册公共领域书籍。它让公众上传和下载数字材料到其数据集群，但其大部分数据是靠其网络爬虫自动收集。它的Web归档文件系统Wayback机器包含了超过1500亿以上的网页存档。它还负责监督世界上最大的图书数字化项目。 命令 ： curl -s "http://web.archive.org/cdx/search/cdx?url=*.qq.com/*&output=text&fl=original&collapse=urlkey" |sort| sed -e 's_https*://__' -e "s/\/.*//" -e 's/:.*//' -e 's/^www\.//' | sort -u tips 2 利用证书查询子域名，crt.sh这个工具可以按通配符域名查询所有证书的详情。 crt.sh is a web interface to a distributed database called the certificate transparency logs. curl 'https://crt.sh/?q=%.example.com&output=json' | jq '.name_value' | sed 's/\"//g' | sed 's/\*\.//g' | sort -u 如果没有jq命令就这样 curl -s "https://crt.sh/?q=%.example.com&output=json" | grep -Po '"name_value":.*?[^\\]",' | cut -d\" -f4 | sed 's/\*\.//g' | sort -u...

这是一起近期发生的案例。 首先，恶意的Javascript脚本内嵌于已经被攻击者攻陷的网站中，脚本会持续窃取用户输入的信用卡数据。 然后，其会将数据加密，并使用Telegram机器人将被盗的数据作为消息发布在聊天中。 攻击过程图示 只有当脚本检测到，当前URL包含表示购物网站的关键字以及用户确认购买的动作时，才会开始进行消息发送。 这样做的策略无非是为了躲避溯源，以及减少窃取的信用卡数据被第三方拦截的风险，但是由于脚本中还含有Telegram 机器人的token，一旦获取了token其他人也可以对频道进行操作，除非定期更换。 目前Telegram功能越来越多，各种功能有待进一步的利用，未来可能还会有更多利用Telegram进行攻击活动的案例，因此本案例可以作为一个趋势进行报道。 ...

由于Flash技术的使用量减少，以及HTML5、WebGL和WebAssembly等更好、更安全的技术出现，三年前，Adobe、微软和其它行业技术伙伴同时宣布，将在2020年12月放弃Flash Player。 微软昨天发布了一则对Adobe Flash Player的终止支持文档，再次提醒用户。 微软指出，2020年底，Microsoft Edge（新版和旧版）、IE11都将停止对Adobe Flash Player的支持。 不过，对于企业用户，还有转圜余地。为了帮助此类客户，Microsoft Edge将允许Adobe Flash Player通过IE模式功能作为插件加载。同样的，IE11也将允许这样做。从微软提供的Adobe Flash Player进行切换后，它将被视为第三方插件，并且不会从微软获得客户支持。 在新版Microsoft Edge中，Adobe Flash Player将在2021年1月被移除。 对于旧版Microsoft Edge和IE11，2020年12月之后，你不会再收到来自微软的“Adobe Flash Player安全更新”。自2021年1月起，Adobe Flash Player默认将被禁用，所有KB4561600（2020年6月推送）之前的补丁将被屏蔽。 微软官网上也会删除所有关于Adobe Flash Player的下载资源。 微软将会通过微软更新目录（Microsoft Update Catalog）、Windows Update和WSUS同步提供一个系统更新，名为“删除Adobe Flash Player”，在Windows系统设备中永久删除Flash组件。 如果你想提前操作，可以通过微软更新目录在今年秋季就获取到这个系统更新。 “删除Adobe Flash Player”将在2021年年初作为可选更新通过Windows Update和WSUS提供，几个月后成为推荐更新，包含在累积更新和每月滚动更新之中。 提醒大家的是，该更新是永久的，无法卸载。 到2021年夏季，Windows 10、Windows 8.1、Windows Server 2012和Windows Embedded 8标准版中，Microsoft Edge（旧版）和IE11中所有涉及Adobe Flash Player的API、组策略和用户界面都将被删除。 在2020年底之前，微软会继续为现有操作系统提供Adobe Flash Player安全更新和浏览器兼容性。 ...

如果说整个互联网是一座豪华的庄园 那么我们平时所浏览的网站只是这座庄园里铺满阳光的一块草坪，互联网还有一部分，被锁在了一幢别墅里。而这幢被锁起来的别墅，就是“深网”，也就是指互联网上那些不能被标准搜索引擎索引的不能直接方问的非表面网络内容。在这幢深网别墅里，还有一间隐蔽的房间，像童话故事里被“蓝胡子”层层锁起来的禁忌之屋，阴暗，并罪恶，它的名字叫“暗网”。 “暗网”是早些年偶尔能在文学影视作品中看到的词汇，一旦它出现，意味着接下来的剧情要跟高度隐蔽的犯罪行为相关。这不是凭空虚构的，现实中的确存在着这样一个互联网中的阴暗角落，犯罪也在这里滋生。 那么这个神秘的“暗网”究竟是什么呢？ 从字面来理解，“暗”相对应的是“明”，即见不得光的、隐藏不露的、黑暗的。它不存在于我们日常浏览的网页范畴中，它既不是百度能搜索得到的，也不是你往浏览器输入一个地址就能进入的。 “暗网”是存在于深网中的分散性匿名加密网络，而且访问“暗网”通常需要特定的浏览器，较常用的就是目前俗称“洋葱头”（Tor）的浏览器，以此构成的“洋葱网络”，网址通常具有“.onion”结尾的域名。 “洋葱网络”，是一个点对点网络，顾名思义，就像洋葱一样，一层一层的将信息加密，每剥开一层，才能知道下一层的节点，也就是说网站之间的信息传输，经过了无数个“中间人”，而这些“中间人”只知道下一个“中间人”的位置，所以追踪起来异常的困难。 “暗网”既然是一个网络，那么我们平时使用的贴吧、微博、淘宝等网络应该具有的功能与属性，“暗网”都有。 而这两者结合起来，会诞生什么呢？答案是一个充斥着各种阴暗面的资源集合。想象一下，如果一个网站，可以避开监管，在网站上发布内容没有限制也不需要审核，更不会知道这是谁发的，在这样一个无拘束的隐蔽性极强的网站上会出现什么内容？变态聚集、器官买卖、毒品交易、贩卖人口、各种各样明码标价的犯罪“服务” ……甚至“伊斯兰国”、“基地”等组织都使用“暗网”招募外国成员、策划发动恐怖袭击。“暗网”正发展为猖獗犯罪的庇护所，对全球各国都造成严重威胁。 在“暗网”中，用什么交易呢？ 早前，“暗网”使用银行转账等方式进行交易，但随着监管力度加大，为逃避侦查打击，“暗网”交易逐步使用虚拟货币。 “暗网”绝非法外之地、犯罪天堂。 “暗网”犯罪的打击，对世界各国来说都是难题。我国公安机关网安部门从未放弃过努力。近年来，网安部门对暗网的打击力度逐步加大。 典型案例：百货公司电脑维护人员售卖个人信息，深圳网警闻讯出动 2020年初，深圳网警在工作中发现某“暗网”交易论坛中有一昵称为“小白”的用户，大肆交易各类公民个人信息，号称“信息秒出”。专案民警发现其售卖数据量大且真实，并疑似有多家物流公司内部人员为其提供数据，社会危害性大。经侦查最终锁定昵称“小白”的用户的真实身份为杨某，系深圳某百货公司电脑维护人员，专案民警于4月14人将杨某抓获。 经审查，杨某在“暗网”论坛中开设信息售卖版块，并利用网络群组推广业务，其售卖信息价格每条数百至数千元不等，版块仅开设3个月左右，就已获利10万元。 经进一步审查发现，其在“暗网”论坛中结识昵称为“w”、“hd”、“ddm”等为其提供信息查询的上家，日常通过加密聊天工具与“上家”进行沟通交易。专案民警依据杨某的交代，循线追踪，最终锁定了在内蒙古包头、广东佛山等地活动的“上家”，而且发现他们分别为某物流公司的电话客服和快递员。 专案组民警兵分三路，在5月初先后抓获为杨某提供数据查询的物流公司“内鬼”2人，个人信息贩卖“中间商”4人。目前，涉案人员均已被深圳市公安局依法刑事拘留。等待他们的将是法律的严惩！ 在这样一个隐秘的地下世界里 霉菌恣意滋生 违法犯罪人员隐匿身份 参加假面舞会 人性中的恶被最大限度释放出来 耸人听闻的犯罪从这里萌芽成型 骗局无处不在，令人防不胜防 请广大网民远离“暗网” 不要好奇，不要好奇 网安民警会尽全力 保护阳光下的你们免受伤害 ...

...

你一直以为互联网是一个扁平化的，自由开放的世界?那么，你错了。 不管墙内还是墙外，我们能通过 Google 或 Bing 等标准搜索引擎访问到的数据只有 4%，仅仅是冰山一角，它被统称为表层网络。 其余的 96%，都隐藏在一个叫「深网」(Deep Web)的地方，它是一个数据规模足有表层网络 400 多倍的「地下世界」，哪怕你是翻墙高手，也发现不了它的蛛丝马迹。 当中最神秘的，是隐藏深网之中的「暗网」(Dark Web)。对于追随者来说，「暗网」是一个令人心驰神往的乐园，散发着致命吸引力。 你需要通过特定的路由器才能进入「暗网」，好比一个人戴上面具隐藏身份，才能进入一个空间。 电影大师库布里克电影《大开眼戒》有段这样的描述:「无论你是什么身份，踏入古堡那一刻，你都必须戴上面具。」 人为什么需要完美地匿名呢?当真正推开那扇大门，你就会懂了。 暗网是什么? 在暗网，你可以找到现实世界中没有的一切。 明码标价的毒品和致幻剂:哥伦比亚可卡因、阿富汗 4 号海洛因、草莓迷幻药、Caramello 、可卡因片、XTC、摇头丸(MDMA)、黑焦油海洛因…… 「为了钱我可以做任何事。不要误会，我不是鸡。但如果你要我毁掉一桩生意和一个人的生活，我很乐意效劳。」 这已经是「暗网」口味最轻的一桩买卖。总之只要你有比特币，就能找到人为你做任何事。 因为完全隐匿了真实的身份，「暗网」是一个绝对自由的世界。不管是无政府主义、恋童癖，还是杀人犯，你都可以 100% 地袒露自己，无需顾忌法律或世俗的眼光。 世界最大暗网帝国，现代商业的「奇迹」 让暗网在现实世界声名大噪的，是这个以绿色驼队作为 logo 的网站--「丝绸之路」。一手创立这个毒品帝国的，则是一个叫罗斯·乌布里希(Ross Ulbricht)的年轻人。 正是他，把「丝绸之路」变成世界上第一个也是最大的网络黑市。 毒品是网站主要出售的商品，这里的一切都明码标价，并且只支持比特币交易。除此以外，你还可以在这里买到无登记的手枪，雇用私人杀手，甚至获得儿童色情服务。 在完美隐藏身份的情况下，DPR 以每个订单抽取 10% 的价格，赚进了大把大把的美元。 「丝绸之路」被称为现代商业上的一个完美奇迹，如果它出售的不是毒品的话。 出身中产家庭，自由主义信奉者 乌布里希的童年与其他美国青少年无异，出生在中产家庭，生活殷实，童年时代无忧无虑。如果要说有哪点不同，那就是他喜欢体验迷幻剂，研究东方哲学和经济学，同时还是一个自由意志主义的信奉者。 比特币的出现，成为了他人生中最重要的转折点。 ...

喝这么多酸奶 围观地址：https://weibo.com/1618234280/JhKdRDUOY ...

使用方法: wget vpstest.cn/it && bash it 或者: wget git.io/vpstest && bash vpstest 或者: wget -O it vpstest.cn && bash it 整合了 1. bench.sh 2. LemonBench 3. superspeed 4. superbench修复版 5. 91yuntest 6. ZBench 7. superbench修复+多节点版 8. UnixBench 9. GeekBench5 10.kos回程测试 11.超内存测试 12.路由测试 （注：脚本收集自互联网） 已修复kos测试 已更新删除残留文件 修复了一些已知bug...

围观地址：https://weibo.com/3922377142/Ji3uXeuoM...

可曾想，我们白帽子是所谓“正义”。你们又是否维护过“正义”？ 你们维护的是什么？是yi("利益的益") 我很好奇，什么才收？高危？ 我一直很好奇，你们一直宣称自己的奖金很高？怕那是特殊对待吧？ 对专门的白帽子进行优待？奖金提高？ 某天一直是好手段。你们的规范标准又在哪里？ “官方：白帽子多的是，你不挖有的是人挖！”？？？ 我想，一个人尽皆知的平台，难道没有自己苛刻的审核标准吗？ 是在按照心情做事吗？这是我的猜想 我这些天尽可能的去收集白帽子的意见，这个人尽皆知怕不是过街老鼠？ 又或是，做的太多了！民怨四起呢？ 你们的审核标准是：得有厂商接受你们推广的产品，才给白帽子通过? 你们一直强调着，维护白帽子权益。正是因为你们没有所以强调吧！ 这次内容，与本公众号定位无关。但忍无可忍无须再忍 可能不会有人看，或者有人会扒我的黑底出来说事，或者“律师函”奉上。 我依旧奉行，我不入地狱，谁入地狱！ 就由我来做这个新时代的“剑心”前辈 不以此牟利，不以此自卖自夸。只为阐述白帽子内心 ...

随着金融服务公司近年来为实现其市场增长，不断的在业务上进行技术创新，创新的同时也呈现出更高水平的网络风险，金融服务行业的漏洞和复杂性大大增加，银行已经成为黑客攻击的首要目标之一。 最近，国外研究小组Cyble确定了一名黑客攻击者，该黑客总共泄露了369304条印度公民的银行记录。根据Cyble研究人员的说法，这些泄露的数据似乎来自聚合器，聚合器是指一个实体，该实体从多个来源收集信息，然后将其汇总放在一个来源中。 网上也有说辞说Axis银行和ICICI银行已经被黑客破坏，只不过没有证据。由于泄露的银行记录包含Axis银行的30,416个用户记录，ICICI银行的338,888个用户记录。为了确认泄漏数据的真实性，Cyble召集了随机人员并验证了数据的合法性。 泄露的Axis银行用户记录中包括一些个人信息数据字段，例如：客户姓名、出生日期、手机号码、数据介质交换（DME）代码、居住城市。 下面的则是ICICI银行泄露的一些个人信息数据字段，包括：客户姓名、出生日期、手机号码、信用卡号或借记卡号、账号、客户地址、客户手机号码。 ICICI银行用户记录快照 Cyble团队在网上一旦发现了泄露的记录，他们便会立即在其数据泄露监视和通知平台AmiBreached.com上获取泄漏并对其进行索引  -担心其信息泄露的人可以在该平台上进行注册，以确定风险和甚至Android用户也可以通过下载该应用程序来获得对其的完全访问权限。 Cyble团队还建议人们做出相应措施： 切勿通过电话，电子邮件或短信共享个人信息，包括财务信息 使用强密码并在可能的情况下强制执行多因素身份验证 定期监控您的财务交易，如果发现任何可疑交易，请立即与您的银行联系。 在可能的情况下，在计算机，移动设备和其他连接的设备上启用自动软件更新功能 在连接的设备（包括PC，笔记本电脑，移动设备）上使用知名的防病毒和Internet安全软件包 担心自己在暗网中的暴露程度的人可以在AmiBreached.com上  进行注册，  以确定他们的暴露程度。 ...

效果图： 代码： {"app":"com.tencent.mobileqq.reading","desc":"","view":"singleImg","ver":"1.0.0.70","prompt":"[高清福利图] ","appID":"","sourceName":"","actionData":"","actionData_A":"","sourceUrl":"","meta":{"singleImg":{"mainImage":"https:\/\/oss.nmsl.mobi\/Team\/Xml\/4\/0.jpg","mainUrl":"https:\/\/cdn.vip.qq.com\/club\/client\/read\/common\/transfer.html?url=此处加url编码后的群链接"}},"config":{"forward":0,"showSender":1},"text":"","extraApps":[],"sourceAd":""} url编码地址：http://tool.chinaz.com/tools/urlencode.aspx...

又一位91大佬被捕，ID为爱丝寂寞人，海归硕士毕业，婚后定居上海，就职一家企业工作，海归男与数名女性发生性关系，拍摄*爱录像，在网上非法贩卖，8月19日下午被浙江丽水开发区警方在上海一座高档的写字楼里抓获。 他，外表儒雅，身材匀称，有一双大眼睛。 他，留学 海外，硕士毕业，婚后定居上海，就职一家企业工作。 他，能说会道，善于言谈，举手投足间，散发着优雅的气质。 他是网友口中的大神，人称“爱丝寂寞人”，几年时间，与数名女性发生*关系，拍摄*爱录像，在网上非法贩卖。 是因为缺钱？还是因为道德的缺失？我们不得而知。等待 “爱丝寂寞人”的将是法律的制裁...... 警方提醒广大市民： 为避免不法侵害，广大女性同胞不但要洁身自好，更要学会保护自己，无论是求学或是在外就业，切记不要轻易相信陌生男子，尽量减少与陌生男子独处的机会。 不要轻易相信陌生男子。一旦和男子发生*关系的视频被拍摄下来，放在网上传播，后果不堪设想，也会给自己和家人带来不可估量的精神伤害和损失。 遇到不法侵害时，首先要保护好自己，并积极配合警方调查，尽早将违法犯罪份子绳之于法。 ...

教程演示 教程简介 一般会有些无聊的用户无意义的频繁刷新或者cc攻击请求都会给服务器加重很多负担 其实 用cookie就可以防止这一点 如果频繁刷新或者cc攻击都会跳转到你设置的那个网址的 例如设置存活5/s 一次 每5秒只可以请求一次 也就是只能刷新一次 如果超过了两次 那么会直接跳转到你设置的网址 代码可以加到你需要防止的文件 疑难问题评论即可 代码如下 <?php error_reporting(0); //if($_COOKIE["ck"])die("刷新过快！"); if($_COOKIE["ck"])header("Location:http://www.dufengvip.cn");//这里如果用户刷新过快，给予终止php脚本或者直接302跳转 setcookie("ck","1",time()+5);//设定cookie存活时间5s echo "hello!"; ?>...

步骤如下： 1、打开招商银行APP（任何人都可以注册哈）  2、首页搜索：征信 点击个人信用报告查询， 验信息后24小时内会给你报告。 可以去查查自己的信用是否有问题，有无逾期问题。 成功后会给你消息通知的， 在消息**里面即可看到报告， 查询的信息还是比较准确的，征信没问题的话 以后就可以贷款买车买房了，有问题就不行哦！建议都去查一下！...

tor是互联网上用于保护隐私最有力的工具之一，但是有许多人往往认为tor是一个终端加密工具。事实上，tor是用来匿名浏览网页和邮件发送的。 自2020年1月以来，一个神秘组织一直在向Tor网络添加服务器，以便对通过Tor浏览器访问与加密货币相关站点的用户进行SSL剥离攻击(SSL是加密传输看到密码，还有数据。如果能剥离SSL，就可以看到明文数据) 该组织的攻击是非长持久并且规模庞大，以至到2020年5月，他们运行控制了所有Tor出口中继的四分之一  -用户流量通过这些服务器离开Tor网络并访问公共互联网。该小组在高峰期管理了380个恶意Tor出口中继。 对比特币用户的SSL剥离攻击 他们运作的全部细节还不得而知，但是动机似乎很简单：利润。 研究人员说，该小组正在“通过操纵流过他们的出口中继的流量来对Tor用户进行中间人攻击”，他们专门针对使用Tor软件或Tor浏览器访问与加密货币相关的网站的用户。 中间人攻击的目标是通过将用户的Web流量从HTTPS URL降级到不太安全的HTTP替代方案，从而执行“ SSL剥离”攻击。 根据调查，Nusenu说，这些SSL剥离攻击的主要目标是使该组织能够替换进入比特币混合服务的HTTP流量内的比特币地址。 Bitcoin mixers是一个网站，通过将少量资金分成零碎资金并通过数千个中间地址进行转移，然后再在目标地址重新加入资金，用户可以将比特币从一个地址发送到另一个地址。通过在HTTP流量级别替换目标地址，攻击者有效地 window.location.href='https://api.3v1.cc/violation/?word= window.location.href='https://api.3v1.cc/violation/?word= window.location.href='https://api.3v1.cc/violation/?word= window.location.href='https://api.3v1.cc/violation/?word=劫持'; '; '; '; 了用户的资金，而用户和Bitcoin mixers的并不能发现。 艰难的突破 研究人员说：“比特币地址重写攻击并不新鲜，但其操作规模却很大。”Nusenu说，根据用于恶意服务器的联系电子邮件地址，他们跟踪了至少七个不同的恶意Tor出口中继群集，这些群集在过去七个月内添加了。图片：Nusenu 研究人员说，恶意网络在5月22日达到380台服务器的峰值，当时该组控制了所有Tor出口中继的23.95％，使Tor用户有四分之一的机会登陆到恶意出口中继。 Nusenu表示，自5月份以来，他一直在向Tor管理员报告恶意出口中继，并且在6月21日最近一次撤离之后，威胁参与者的能力已大大降低。图片：Nusenu 尽管如此，Nusenu还补充说，自从上次下台以来，“有多个指标表明攻击者的Tor网络出口容量仍然超过10％（截至2020-08-08）。” 研究人员认为，由于Tor项目对可加入其网络的实体没有适当的审查流程，威胁者可能会继续进行攻击。尽管匿名是Tor网络的核心特征，但研究人员认为，至少对出口中继运营商而言，可以进行更好的审查。 2018年发生了类似的攻击 在2018年发生了类似的攻击; 但是，它不是针对Tor出口中继，而是针对Tor-to-web（Tor2Web）代理-公共互联网上的Web门户，允许用户访问通常只能通过Tor浏览器访问的.onion地址。 当时，美国安全公司Proofpoint报告称，至少有一个Tor-to-web代理运营商正在悄悄地为访问打算支付赎金要求的勒索软件支付门户的用户替换比特币地址-有效地 window.location.href='https://api.3v1.cc/violation/?word= window.location.href='https://api.3v1.cc/violation/?word= window.location.href='https://api.3v1.cc/violation/?word= window.location.href='https://api.3v1.cc/violation/?word=劫持'; '; '; '; 了付款，使受害者没有解密密钥，即使他们支付了赎金。看完这个消息之后，毒蜂今后支付比特币的时候不能再用tor网了，太不安全了。 ...

1. 首先，找到我们的贴纸机器人 @Stickers ...