今年不少人都感觉互联网氛围越来越严峻，绝大部分平台、项目都趋向于规范化，放眼望去，似乎阳光、正规、合法、长期的项目离自己很遥远。想启动这一类型项目，除非有充足的资金准备或者有强大的资源作为支撑，否则将举步维艰。 虽然互联网项目层出不穷，但坑也很多，乱花渐欲迷人眼。但只要肯细心观察，还是可以发现适合自己操作的好项目，比如闲鱼就是其中之一。 众所周知，闲鱼是阿里旗下的二手物品交易平台，据相关数据显示，该平台的活跃用户与日俱增，主要以80后、90后为主，产品需求日益多样化，物美价廉的商品逐渐成为主流趋势，早在去年一年，闲鱼的成交金额已逾千亿，市场不容小觑。 有人的地方，就有流量，有流量的地方，肯定就有营销。 目前我的团队也在操作这个项目，下面就把操作实操方法分享给大家，之所以分享给大家，是因为这个项目是没有竞争对手，市场足够大，希望这一次的分享能给您带来帮助。 之所以分享闲鱼项目，因为门槛较低，几乎不用投入什么成本，不管您是个人，还是团队，只要您手上有一部手机就可以操作，兼职还是全职都可以。 接下来我实战一步步告诉你。 一、新手小白如何操作闲鱼? 想做好闲鱼，首先就要解决闲鱼号的问题。闲鱼号，顾名思义就是淘宝号，一个人可以注册3个。做这个项目，不光要有闲鱼号，还要有高权重的闲鱼号，就是支付宝的芝麻分数最好在650以上，如果您没达到也没关系，芝麻分数可以通过按时还款、支付宝缴纳物业水电费和租借充电宝等守信行为去涨分。...

介绍. HScan，本脚本旨在为安全应急响应人员对Linux主机排查，日志分析等提供便利，定制化在主机中执行命令 获取脚本 git clone https://github.com/HZzz2/HScan.git cd HScan 使用脚本       python log_analysis.py #默认输出至当前目录out_log_analysis.txt或者python log_analysis.py out.txt  #进行指定输出至out.txt 查看输出 cat out_log_analysis.txt  在配置文件中添加需要执行的命令 vim log.cfg 可以在定时任务中设置每天八点执行此脚本。vim /etc/crontab00 8 * * * root python3 /you_path/HScan/log_analysis.py下载地址https://github.com/HZzz2/HScan.  ...

6月30日，农历五月十三，星期五 在这里，每天60秒读懂世界 1、全国多家高校发公告称：7月1日起暂停使用微信支付，原因是微信支付针对校园行业开始收取服务费用，费率高达 0.6%。微信团队致歉：即刻修正，非盈利场景将维持零费率； 2、"中国天眼"发现纳赫兹引力波存在的关键证据，这是纳赫兹引力波搜寻的一个重要突破； 3、29日凌晨，山西大同一煤矿发生顶板冒落事故，已有3人获救，仍有1人被困；山西代县一铁矿大量瞒报矿工死亡：15年间至少瞒报17人 其中仅一年就有7人； 4、上海：今起将发行加载交通功能的社保卡，可乘地铁、公交等；深圳机场：7月起国内航班截载时间调整为航班起飞前40分钟； 5、29日下午，重庆市奉节县因持续降雨，一中巴车遭意外落石砸中，致乘客6死9伤； 6、外媒：为保护本土鸟类，新西兰计划到2050年消灭当地所有老鼠，将通过GPS应用实时更新诱饵信息； 7、北约秘书长：将于7月6日召开讨论瑞典加入北约的会议； 8、28日，印度又发生桥梁事故：恒河上的临时桥遇强风"一分为二"，大批居民被困河中； 9、哈佛大学顶级物理学家从太平洋底打捞起流星碎片，称或是"外星飞船"残骸，含有的元素在地球上极不寻常； 10、外媒：武契奇儿子被科索沃当局扣留，事发时身穿写有"投降不是选择"T恤； 11、世卫研究称：广泛用于无糖饮料的阿斯巴甜可能致癌，目前可口可乐无糖汽水、玛氏Extra口香糖和一些Snapple饮料等均有使用；国际饮料协会：阿斯巴甜致癌结论有误导，更全面审查尚在进行； 12、美国南部地区遭受热浪炙烤，超5500万人处于高温警报状态下，已造成至少17人死亡； 13、外媒：乌克兰或成首个废除现金的国家，称将有助于清除至少95％的腐败案件；韩日两国就重启货币互换达成协议，最大交换额度100亿美元； 14、美官员称“苏罗维金可能提前知道瓦格纳兵变，现已被扣押接受调查”，克宫回应：这是谣言；俄空军副总司令否认他及苏罗维金被捕：正在家中休假；美方称未干涉俄内政，俄罗斯外长：美几年前就煽动并资助反对势力游行； 15、外媒：卫星图像显示白俄军事基地现多处新建设施，疑与"瓦格纳"有关；美媒：美国欲引渡普里戈任。俄外交部：不会将任何本国公民引渡至他国；俄官员：瓦格纳拒绝与国防部签合同，将不被允许继续参与在乌军事行动； 【微语】既然是人生，就免不了人情冷暖；既然是生活，就免不了酸甜苦辣！...

Kirin博客曾经给大家介绍了苹果手机IOS系统访问暗网的方法那就是下载使用开源的IOS版本Tor浏览器Onion Browser。但是现在，境内苹果手机使用该方法已经无法访问暗网。 “Onion Browser”是Tor项目认可推荐的基于IOS系统的浏览器 Tor项目没有推出官方IOS浏览器，但是主页推荐了一款第三方浏览器 “Onion Browser”新的升级 6月中旬，Tor项目官方认可的IOS版本Tor浏览器“Onion Browser”进行一次重大升级，升级到v3.0.0版本，根据更新日志，新版本依赖Orbot进行Tor网络访问。Orbot处理所有的网络路由，而Orbot停止时，“Onion Browser”确保所有的请求都将被取消。 也就意味着，只有当Orbot正常连接Tor网络后，“Onion Browser”才开始正常工作。而不再是“Onion Browser”应用自行接入Tor网络，并访问onion站点。现在打开“Onion Browser”，会显示“Onion Browser wants to access Orbot.”，但是“Grant”后发现，Orbot根本无法成功连接。 iOS系统上的Tor：“Orbot” Orbot是Guardian项目开发的基于Tor网络的代理，自称“适用于智能手机的TOR VPN”，号称可以“保持您的应用程序流量私密且畅通” Orbot是一款免费应用程序，于2008年在Android系统上发布，2022年在iOS系统上推出。 Orbot不是一个独立的Tor浏览器。它的作用与VPN类似，通过Tor网络路由所有流量。 Orbot允许任何应用程序连接到洋葱站点，并允许你的手机自己托管一个洋葱服务器。 “Onion Browser”境内无法访问的原因 技术上而言，Orbot其实就是一个VPN，所以由于众所周知的原因，Orbot在境内无法访问。但是“Onion Browser”却依赖Orbot开启前置连接后，才能使用。因此在境内“Onion Browser”再也无法使用，除非路由层面已经跨境，或者，自行架设网桥（bridge）。...

前言：这是白杨SEO原创第457篇。为什么想到写这个?因为两个月前微信刚上线内测我就发了一个问一问视频，现在基本算全开放了，所以想让做SEO，流量，甚至想玩普通人都知道这个新渠道，希望对大家做品宣和搞流量有帮助。 文章大纲： 1、微信问一问是什么?入口在哪? 2、做微信问一问有什么好处? 3、微信问一问怎么开通入驻? 4、微信问一问结合搜一搜SEO怎么玩? 5、怎么从微信问一问引流与注意事项 微信问一问是什么?入口在哪? 微信问一问是微信公开课2023年3月28日晚上直播上开始说出来的，3月29日正式对外开启内测的一个问答类产品，被媒体称作说是“微信版知乎”。如图： 微信问一问入口在哪里? 微信问一问入口目前是在微信APP的”发现“—”搜一搜“下面有一个【问一问】，如下图。 你可能要问：白杨SEO，我点进去搜一搜怎么没有你上面截图这个问一问?那是因为你还没有开通，等你入驻开通了，你也有了，下面会讲怎么开通哈。 PS：微信PC版暂时还没上线，目前微信问一问仅支持视频号身份提问、写回答和评论。 如图。如果你没有视频号，也是用不了的哈。(后续大概微信号身份也行) 微信问一问有什么好处? 大家知道白杨SEO一直是做的用户精准搜索流量，从2011年入行至今，已经十多年，一直在实战第一线。这个微信问一问新赛道，肯定第一时间关注。白杨SEO观察有以下好处，仅供参考。 1、微信问一问在搜一搜位置很重要，流量巨大! 微信现在月活10亿+，搜一搜的月活也是7亿+，而问一问就在搜一搜下面的一级入口。同时，在微信APP上关键词搜一搜全部导航上给了问一问口子，搜索结果只要问答类一般排名前三，如图： 2、微信问一问可给视频号账号及视频更多曝光流量 因为上面有说到，现在问一问主要是视频号作者参与，所以不管你是提问，还是回答还是评论，只要你的内容有价值，别人就会点进去了解你，是不是给你带去曝光流量，如白杨SEO实战截图， 3、微信问一问可以结合SEO搞更多精准自然搜索流量 其实除了上面2个点外，白杨SEO觉得问一问只要这个产品一直存在，后续最大的机会在搜一搜SEO上。用户的问答流量，就是最精准的流量。我们做SEO就是做用户的主动搜索流量是不是?具体怎么结合参与，往下看哈。 微信问一问怎么开通入驻? 很多人说，我没有问一问怎么搞，这里就分享最快入驻的方法，昨天白杨SEO用另一个号实操今天就有了。除了我的主号，最早是因为官方内测到就有问一问了，你可以说是运气好。而其它人就只能自己去开通了，具体方法如下： 第一步，你可以找有问一问的人发一个问题你，或者你在搜一搜下面的有问题的随便点一个进去，如图： 第二步，点进去以后再去点写回答，如图： 这里说明一下，如果你的账号垂直的话，不要随便答不相关的，上面只是举例，比如这个我不会回答，所以你可以找有的朋友给你发相关的给你哈。 第三步，当你填写回答时，就会弹出如下图，让你用视频号身份选择，然后你点好后回答即可。 第四步，当你写好回答，然后提交，一般只要提交了，你再打开搜一搜就有了，如图我另一个实战回答，还在审核中就有了。 微信问一问结合搜一搜SEO怎么玩? 直接上干货，上实战流程步骤，懂的人直接抄作业。 1、首先要有自己的视频号账号，至于发几个视频在这里不做要求，有时间就多发，没时间少点也没关系，这里是搞问一问的流量，这是第一步基础。 2、确定自己问一问回答的行业，比如白杨SEO是SEO，流量相关，你也可以是你自己的，因为这个取决于你的流量精不精准。 3、确定你所在行业的关键词，如果不会关键词挖掘。 4、打开微信APP-搜一搜-问一问，然后点问题广场，再去去后顶上有一个搜索框，如图：输入你找到的流量关键词搜索，找到问题。 5、找到你想要回答的问题，去回答问题即可开通了。 你可能会问，白杨SEO，我这个回答问题跟SEO有什么关系? 你找准关键词，这就是SEO最最基础的一课。至于回答怎么靠前的规则，这个其实也是可以研究的，懂得人懂。还有，怎么会进入微信搜一搜全部里呢，这个还用你担心?这个产品是微信产品经理思考的，只要你的内容有价值，自然会出现在搜索用户那里。 微信问一问怎么引流及注意事项 微信问一问一般怎么引流呢?发布有啥注意事项? 白杨SEO这里实战说几点，给你参考，你也可以留言给我补充完善。 1、转变引流思维，先要有用户思维。我知道，很多SEO或者做流量的首先想到就是怎么批量发布，怎么放微信号，公众号，等联系方式引流。错了，大错特错!首先思考，你的回答对用户有不有帮助?欲取先予，这也是平台想要的! 2、如果你是新账号，不要看到别人发了视频号视频直接可以导流，你也兴冲冲来发，个人建议先发文字，不要直接引流，等发布一些量再发视频号视频，除非你视频号视频真的有很干货。 3、发布回答注意下，不要直接说你的公众号名字，更别说留你的微信号，QQ号，手机号等直接联系方式，也不能发第三方平台账号名字，如小红书，抖音账号XXX。你自己的品牌名字也先不要发，很容易被打上营销。 那微信问一问具体要怎么引流呢? 比如你的问一问账号是不是可以设置全网同名IP，比如白杨SEO，真感兴趣的人会去搜索了解你。比如问一问上面是支持可以直接回答视频号视频的，如图 比如看到上面有从相册选择，可以是照片，图片，所以有些人可能想到从图片入手了，自己去试。 比如等以后你的回答权重足够高了，或者微信以后支持问一问账号设置了，不管是账号设置类似知乎可留，或者回答带品牌应该都是可以的。毕竟一点好处没有，回答者是为了什么呢? 白杨SEO最后想说，行动起来，不要天天抱怨没有流量，没有新渠道，没有商机。即使有，你动也不动，跟你有半毛关系吗?不要说你看不见，看不起，看不懂，找在做的人一起交流啊，就这样。 以上，今天这篇又写了近3000字，希望对你有帮助。 作者介绍：白杨SEO，专注SEO研究十年，全网SEO流量实战派，对互联网精准流量有深入研究。前某跨境平台运营总监。如需加好友，请注明来源及具体需求，谢谢。...

很多人都在问我自媒体到底能赚多少钱，我可以很负责任的告诉你，你问遍全网所有做自媒体的，也问不出一句实话，还不如不问。 自媒体这个行业，是对一个人综合能力极其考验的职业，只有亲自在这个行业里摸爬滚打好多年的人，才有发言权。自媒体这个行业就像一大片森林，你想在这个森林里种树，不能什么种子都撒，因为你没有那个能力照顾那么多树种，如果你只种一种树，坚持长期维护，就能得到这种树木丰富的生长经验。专注于一个领域，坚持去做，就算没有成绩，光失败的经历就足够让你在日后的发展中成为宝贵的经验，自然你就学会了避坑，也是逐渐能做起来的关键。很多人做不起来，都是因为看不到成绩，不愿意苦心去熬最黑暗的那段日子而放弃。 我曾经就坚持了一年半，无人问津的日子，拍的所有作品，零星的只有十几个人看，每个月收入不到一百元，整整一年半，我全当自己跟自己说话，打发无聊的照顾老人的时光，不图收入，不图有人关注，不图任何回报的一直在坚持。那段时间，连媳妇都觉得我整天拍视频就是闲的没事干，根本没把我做的事情放在眼里，也从不过问。周围的人，也更不可能让他们知道我在做什么，你没有成绩，就学会闭嘴。 越是在那样的日子里，我越跟自己较劲，非要看看我的坚持到底能换来什么结果。我从不去蹭任何人的流量，任何人的建议也不听，埋头做自己认准的内容。我并不是一个聪明人，甚至有些愚笨，但我愿意啃，去琢磨去研究，一个问题弄不明白绝不睡觉。如果换成聪明的人，可能半年别人就会做的风生水起赚的盆满钵满，我知道我笨，我不急，慢慢钻研，一点一点找适合自己走的自媒体之路，虽然我走的慢，但我走的扎实，虽然我没赚到大钱，但我得到了应得的收入之外更重要的东西——粉丝对我的信任。 自媒体这条路，外人只在乎你赚多少钱，没有人会去看你为你得到的成绩付出了什么，而那些你付出的艰辛，恰恰是那些问你赚多少钱的人，永远不会付出的。那我告诉他们我的收入，仅仅是我虚荣心驱使下的炫耀，那样做，我会非常讨厌我自己。 互联网是非常公平的地方，你承受了什么，付出了怎样的代价，必然能得到相应的回报。就算投机取巧走捷径，一夜暴富，也会在某一天，把你该承受的辛苦给你算进去。这就是我爱这个行业的原因。这个时代属于愿意终生学习的人，停止学习，就要接受被时代淘汰的事实，没有例外。在未来，我将为我能成为一名互联网自媒体人而感到骄傲和自豪，如果我能为社会做出我能做的贡献，我今生将死而无憾。 作者：失语者狂欢-今日头条  ...

0x前言 本文章主要记录一个我在工作中遇到有意思的逻辑漏洞，可惜最终上传成功了木马但是没有getshell，思路卡住了。本文所涉及的漏洞在文章发布前已做好漏洞修复工作，且是已授权的渗透测试。因为系统涉密原因，所以对一些涉及到url，系统名称的地址会进行打码操作，影响观感，实属抱歉。 0x测试流程 进去之后发现还挺多功能点的，不是单纯的登录界面。 打开注册页面 因为不想用自己的信息登录就随便输入了一个手机号码以及验证码 结果发现在验证码错误的情况下还能注册成功，这可真是秀到我了，验证码形如摆设 通过bp发包确认一下是否真的注册成功，可以看到名称已存在，那么说明之前注册成功了，那就是一个妥妥的验证码绕过了 去登录页面输入刚刚注册的用户，显示需要审批才能进行登录，这个时候有意思的来了 返回首页之后刷新一下页面，居然自动登录了，看到用户的注册状态还是审批中，但是可以使用该用户进行操作。 翻了一遍模块之后没发现只有系统跳转模块有点看头 跳到其他区级系统之后奇迹般的居然给我审批通过了 在跳转到其他的资源目录获取到一些信息 问了一下那边负责运维的同事，发现都是一些公开的信息。 在新建一个管理员的了，看看能不能看到更多的信息 访问了一下运维系统，结果也是不行 最后翻了一下，给我翻到一个数据源管理， 可惜这里不能获取到它的数据库连接信息，只能自己上传一些文件去连接，没感觉有太大用处 按照惯例有上传点就上传一下php文件，不出所料的上传错误了 fuzz了一下，估计是底层做了白名单限制，只允许上传白名单后缀的文件 既然白名单那就尝试一下%00截断 结果发现还真的可以上传成功 可以看到所属文件类型确实是php文件 不过这里上传点没用，后面尝试了一下asp，主要上传之后没有回显地址，也连接不上。没找到有其他的漏洞能打一套组合拳，无奈只好收工，不过总体感觉还是挺有意思的。     原文于：https://www.freebuf.com/articles/web/340840.html原文作者：yi6666...

  教程 打开腾讯视频到会员中心选30元一个月VIP下一步勾.上自动续费,用话费支付。 填手机号码，获取验证码.然后办理成功。成功后可以看到VIP增加了2年。 下一步就等10086发来的一小时内取消的短信，按短信提示一小时内退订话费连续支付。 (按照结果短信是没有扣费的)注：话费不够的更好，一点钱都不扣，直接退订 但是还是慎行，毕竟操作不当会被扣费建议使用只有几块钱的卡试验但是一般应该也不会出问题 Ps：仅供参考学习，不一定每个人都好使   ...

  下载地址 ...

项目原理： 抖音直播大家应该都知道，咱们这个抖音直播整蛊最近挺火的大家应该都刷到过，这个项目原理就是利用脚本来操作键盘，有人在直播间刷礼物了脚本就会识别做出指定的按键，咱们可以把一个游戏投屏直播，利用脚本来达到一个全自动的操作，有人刷礼物了，脚本就会自动识别操作键盘在游戏里面做出指定的动作来与观众互动。 具体介绍： 抖音无人直播大家肯定都了解过，咱们这一款稳定一批不会封号脚本改的是咱们自己的键盘，不是抖音的数据，更多详细介绍下单教程里面很详细的小白也秒懂   收益多少: 单个抖音账号收入在50-1000+上不封顶，赚多赚少看你自己的抖音账号粉丝量，当然了，前期养号也是必不可少的。   工作时间： 定时开播，完善资料，每场点赞超3K，直播时长最少1.5小时，直播人数别超500，过500下播等6-8小时开播。不然会显示异常的   设备需求： 电脑（win10的系统） 购买之后自动发货脚本+教程，教程很详细，外面卖这种互动脚本最便宜的都100多。...

作为网站管理员，应该如何选择一款适合自己的 WAF，应该关注那几个关键指标？小编今天从防护效果、技术先进性、项目质量、社区认可度、社区活跃度五大维度筛选出十个具有代表意义的项目。一起来看看吧～    什么是 WAF WAF 是 Web Application Firewall 的缩写，也被称为 Web 应用防火墙。区别于传统防火墙，WAF 工作在应用层，对基于 HTTP/HTTPS 协议的 Web 系统有着更好的防护效果，使其免于受到黑客的攻击。 近几年经济增速开始放缓，科技企业的成本意识有所增强，安全支出更加理性，这使得国内的开源安全项目得到了一定发展，从 github waf 相关 topic 的活跃度来看，排名靠前的国产项目超过了海外项目。 在互联网上公开能找到资料的 WAF 项目少说也有几千个，但其中绝大部分偏实验 Demo 的性质，工程性不足，缺少部署案例，没有经历过大规模流量的验证，实际能称得上产品的项目不到百分之一。翻阅了大量资料，对这几十款 WAF 产品进行实际部署测试后，我选取了其中十个具有代表意义的项目，下文将逐一进行介绍。 评价 WAF 的常用指标 防护效果：主要是两个维度，能不能防住攻击，会不会影响普通用户。 技术先进性：防护引擎的技术竞争力，是否具备对抗高级攻击的能力。 项目质量：本文将以功能完整性、开源代码质量、文档完整性等角度作为评价依据。 社区认可度：反映了项目在用户社区中的声誉和影响力，本文将以 GitHub Star 数作为评价依据。 社区活跃度:是潜力的体现，活跃度越高发展越快，本文将以社区用户的参与度和作者维护项目的积极性作为评价依据。 ????? ModSecurity https://www.modsecurity.org/ ModSecurity 是老牌开源 WAF 引擎，使用群体广，早年只适用于 Apache，在 2.X 重构后目前也可以支持 IIS 和 Nginx。作为 WAF 引擎，相比一体化的 WAF 项目，需要二次开发才能试用，对使用者来说成本略高。ModSecurity 被不少其他开源 WAF 作为核心引擎所集成，在开源社区认可度高，实际防护以正则规则为主，覆盖相对全面，但容易被绕过，前段时间被母公司抛弃了，未来是否会继续维护下去暂未可知。 .  小编点评 防护效果：基础检测效果不错，但是规则对国内的环境不友好，容易误报。 技术先进性：虽然没有高级对抗能力，但在技术圈认可度高，被众多开源项目集成，生态即技术壁垒。 项目质量：无控制台，项目完全开源，文档丰富。 社区认可度：6400 star，是目前全球 star 数最高的 WAF 项目。 社区活跃度:持续有更新，近一年更新过 3 个版本。 ???? 雷池社区版 https://waf-ce.chaitin.cn/ 雷池社区版是长亭科技根据企业版雷池 Web 应用防护系统提炼而来，核心检测能力由长亭首创的智能语义分析算法驱动。项目开源了语义分析算法的核心引擎和相关安全插件，控制台未开源。优点在于防护效果好，项目迭代快，界面清爽好用，缺点在于社区版相比企业版功能较少，但能满足 WAF 的基本需求。 小编点评 防护效果：对通用漏洞和非通用漏洞的防护效果都不错，误报少。 技术先进性：核心技术是语义分析算法，相比正则规则的可对抗性更高、性能更好。 项目质量：具备 WAF 各项基础能力，项目未完全开源，文档相对完善。 社区认可度：1500 star，装机量 4000+。 社区活跃度:持续有更新，近一年更新过 15 个版本。 ??? Coraza https://coraza.io/ Coraza 是一个开源、高性能的 WAF 引擎，使用 Go 语言编写，支持 ModSecurity SecLang 规则集，并且与 OWASP 核心规则集完全兼容，与 ModSecurity 一样不提供界面，只作为检测引擎，需要二次开发才能试用，有机会成为 ModSecurity 的替代品。 小编点评 防护效果：基础检测能力尚可，缺少对于非通用漏洞的防护规则，容易误报。 技术先进性：检测规则依赖 LibInjection、ModSecurity、OWASP 项目。 项目质量：无控制台，项目完全开源，文档丰富。 社区认可度：1200 Star。 社区活跃度:持续有更新，近一年更新过 4 个版本。 ??? 南墙 https://waf.uusec.com/ 南墙 WEB 应用防火墙（简称：uuWAF）是有安科技推出的一款全方位网站防护产品。通过有安科技专有的WEB入侵异常检测等技术，结合有安科技团队多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发而成，缺点在于不能升级，有新版本要铲掉重装。 小编点评 防护效果：对 SQL、XSS、RCE、LFI 这四种攻击检测效果不错，缺少对于非通用漏洞的防护规则。 技术先进性：具备基础的语义检测能力，支持通过机器学习对流量建模。 项目质量：具备 WAF 各项基础能力，项目不开源，文档相对完善。 社区认可度：198 Star。 社区活跃度:  迭代较快，近一年更新过 7 个版本。 ??? JANUSEC https://www.janusec.com/ JANUSEC 是一个开源的 Web 应用安全网关软件，优势在于功能丰富，同时具备负载均衡、WAF、身份认证、证书管理、堡垒机等功能，缺点是 WAF 的安全防护能力比较弱，只能防护一些简单的攻击，适合对安全防护要求不高的站长。 小编点评 防护效果：WAF 防护功能比较弱，只有一些简单的正则规则。 技术先进性：以正则表达式为主，无其他防护引擎，对抗高强度攻击的能力不足。 项目质量：功能丰富，项目开源，文档丰富。 社区认可度：1000 Star。 社区活跃度:  持续有更新，近一年更新过 4 个版本。 ?? VeryNginx https://github.com/alexazhou/VeryNginx VeryNginx 是一款与 Nginx 深度集成的 WAF 扩展程序，相比其他 Nginx 扩展，VeryNginx 是为数不多提供了控制台的 WAF 项目。VeryNginx 没有提供核心检测引擎，规则部分依赖第三方库。VeryNginx 在 github 有 5900 star，是国产 WAF 项目中 star 数最高的项目，最大的问题是该项目年久失修，规则库也多年不更新，项目基本停止维护，非常可惜。tips：文章快完了打个小广告吧?：雷池社区版是长亭科技根据企业版雷池 Web 应用防护系统提炼而来，核心检测能力由长亭首创的智能语义分析算法驱动。项目开源了语义分析算法的核心引擎和相关安全插件，控制台未开源。优点在于防护效果好，项目迭代快，界面清爽好用，缺点在于社区版相比企业版功能较少，但能满足 WAF 的基本需求。 小编点评 防护效果：规则简单，具备基础防护能力，但有点过时，规则库 7 年未更新过。 技术先进性：检测规则以来第三方的 ngx_lua_waf 项目。 项目质量：具备 WAF 各项基础能力，项目完全开源，文档相对完善。 社区认可度：5900 Star。 社区活跃度:  4 年未更新。 ?? HTTPWAF https://github.com/httpwaf/httpwaf2.0 HTTPWAF 官方号称是一款真正有 web 管理后台，并且永久免费的 web 应用防火墙，既支持直接部署在 WEB 服务器上，又可以独立部署保护后端服务器。在免费 WAF 界算是功能很丰富的项目，基础检测能力还可以，缺乏对抗高强度攻击的能力。作为免费产品，源码、文档、安装包均没有公开提供，要加微信获取。 小编点评 防护效果：基础防护能力还可以，缺少对非通用漏洞的检测规则。 技术先进性：资料很少，做不出判断。 项目质量：功能丰富，交互还不错，但是代码和文档都没有开放。 社区认可度：65 Star。 社区活跃度:  没有太多社区化的内容。 ? 锦衣盾 https://www.jxwaf.com/ 锦衣盾（JXWAF）是一款基于 OpenResty 开发的下一代 Web 应用防火墙，独创的业务逻辑防护引擎和机器学习引擎可以有效对业务安全风险进行防护，解决传统 WAF 无法对业务安全进行防护的痛点。 小编点评 防护效果：基础防护能力较弱，对非通用漏洞的检测效果不太好，误报有点严重则。 技术先进性：规则简单，对抗高强度攻击的能力不足。 项目质量：功能比较少，交互不太好用，项目开源，代码质量不高，文档基本完善。 社区认可度：965 Star。 社区活跃度:  持续有更新，近一年更新过 1 个版本。 ? NAXSI hhttps://github.com/nbs-system/naxsi NAXSI 是一款专为 Nginx 而生的 WAF 引擎，输出形态是 Nginx 动态扩展，编译后修改 Nginx 配置文件即可生效。NAXSI 不提供控制台，作为 WAF 引擎，用起来没有 ModSecurity 那么麻烦，但相比一体化的 WAF 项目使用成本任然较高。检测能力依赖 LibInjection 项目，只支持 SQL 注入和 XSS 检测，不推荐在线上使用。 小编点评 防护效果：对通用漏洞的检出率比较高，但误报也高的离谱，仅支持 SQL 注入和 XSS 检测。 技术先进性：核心能力依赖了 LibInjection 项目。 项目质量：无控制台，项目完全开源，文档丰富。 社区认可度：4300 Star。 社区活跃度:  偶尔有更新，基本不维护。 ? NGX_WAF https://github.com/ADD-SP/ngx_waf NGX_WAF 是一款国产的 Nginx 扩展类型的 WAF 引擎项目（这类的项目真多）。NGX_WAF 不提供控制台，作为 WAF 引擎，用起来没有 ModSecurity 那么麻烦，但相比一体化的 WAF 项目使用成本任然较高。NGX_WAF 的核心能力基于 LibInjection 和 ModSecurity，和其他引用了第三方开源规则库的 WAF 项目相同，海外规则库对国内互联网环境适配性不太好，容易误报，缺少针对非通用性漏洞的规则。 小编点评 防护效果：基础检测能力尚可，缺少对于非通用漏洞的防护规则，容易误报。 技术先进性：检测规则依赖 LibInjection 和 ModSecurity 项目。 项目质量：无控制台，项目完全开源，文档较少。 社区认可度：1300 Star。 社区活跃度: 偶尔有更新，近一年更新过 2 个版本。  ...

     ...

泄露PII的漏洞挖掘经历 什么是PII（Personal Identifiable Information） 个人可识别信息 这是有关一个人的数据，这些数据能帮助识别这个人，如姓名、指纹、电子邮件地址、电话号码等。 我使用提供的凭据进行测试，提交了我的用户名和密码并收到以下请求： POST /auth?subdomain=test&commonLoginQuery=true HTTP/1.1 Host: redact.com User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0 Accept: application/json, text/plain, */* Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Content-Type: application/json Content-Length: 25 Origin: redact.com Referer: redact.com Sec-Fetch-Dest: empty Sec-Fetch-Mode: cors Sec-Fetch-Site: same-origin Te: trailers Connection: close {"login":"test@gmail.com, "password": "test1337"}   我从请求中删除了密码字段及其值，如下： POST /auth?subdomain=test&commonLoginQuery=true HTTP/1.1 Host: redact.com User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:93.0) Gecko/20100101 Firefox/93.0 Accept: application/json, text/plain, */* Accept-Language: en-US,en;q=0.5 Accept-Encoding: gzip, deflate Content-Type: application/json Content-Length: 25 Origin: redact.com Referer: redact.com Sec-Fetch-Dest: empty Sec-Fetch-Mode: cors Sec-Fetch-Site: same-origin Te: trailers Connection: close {"login":"test@gmail.com"}   然后该用户的 PII 被泄露，并且显示了私人信息。 这是我收到的返回包： 有时，您需要尝试输入字段并处理一些意外行为。这就是为什么执行手动测试很重要，而不仅仅是依赖模糊测试，这可能会对网站造成损害。...

课程介绍 大峰摄影5天灯光全部合集课是为摄影爱好者提供的一个五天摄影灯光全流程全部合集课程，为学员提供视频讲解、教师线上指导等专业服务，让学员更深入了解摄影灯光技术，掌握更多灯光技巧，让摄影作品更加精彩绝伦。...

...

美国司法部周五宣布对33岁的米洛米尔·德斯尼卡（Milomir Desnica）提出指控，他是克罗地亚和塞尔维亚公民。他被指控在2019年底在暗网里推出“Monopoly市场”，担任该暗网市场的管理员，并通过所有销售中赚取的佣金获利。 2022年7月，华盛顿的一个联邦大陪审团对德斯尼卡提出了两项​​指控，并要求没收他所指控的罪行的所有收益。他被指控串谋分销和持有并意图分销50克以上的甲基苯丙胺，以及洗钱罪。这些罪名最高可判处终身监禁和20年有期徒刑。 针对德斯尼卡的案件是联邦调查局华盛顿外地办事处的高科技阿片类药物特别工作组和德国奥尔登堡中央刑事调查组（Zentrale Kriminalinspektion Oldenburg）网络犯罪小组联合调查的结果，该调查确定并定位了德斯尼卡。2022年11月2日，奥地利当局根据临时逮捕令逮捕了他。警方搜查了他的住所和车辆，没收了电子设备和现金。 在德斯尼卡提出异议后，奥地利法院支持了美国的引渡请求，并于周五被引渡。预计嫌疑人将于周一在华盛顿特区联邦法院首次出庭，接受美国地方法院法官卡尔·尼科尔斯（Carl J. Nichols）的审讯。 美国司法部指控德斯尼卡审查和批准想要在”Monopoly市场“上出售毒品的个人的所有申请。检察官表示，所有供应商的申请都包括“他们想要销售的毒品的描述、库存的照片证明以及为通过’Monopoly市场‘完成销售后需支付佣金的协议”。 根据法庭文件，供应商通常同意与”Monopoly市场“运营者分享5%的收入。联邦调查局表示，”Monopoly市场“总共为供应商赚取了至少1800万美元的收入，这意味着该市场的运营者据称赚取了超过90万美元的佣金。 涉嫌在暗网经营”Monopoly市场“的男子被逮捕 ”Monopoly市场“是一个暗网市场，这意味着只能通过使用匿名Tor浏览器才能访问该电子商务网站。在其他毒品中，该网站还销售阿片类药物、兴奋剂、致幻剂和处方药。检察官表示，2021年，卧底的美国执法人员能够从”Monopoly市场“购买超过100克的甲基苯丙胺。 5月份，在欧盟执法机构欧洲刑警组织的协调下，一次代号为SpecTor的联合执法行动，查获了”Monopoly市场“的犯罪基础设施，并逮捕了288名嫌疑人。执法人员还缴获了超过5400万美元的现金和虚拟货币、850公斤毒品（包括安非他明、可卡因、MDMA、LSD和摇头丸）以及117支枪。 参与SpecTor的9个国家分别逮捕了多名嫌疑人：美国（153人被捕）、英国（55人）、德国（52人）、荷兰（10人）、奥地利（9人）、法国（5人）、瑞士（2人）、波兰（1人）、巴西（1人）。 欧洲刑警组织执行主任凯瑟琳·德·博勒（Catherine De Bolle）当时在会议上表示：“这次行动向暗网上的犯罪分子发出了强烈的信息：国际执法机构有手段和能力识别你的非法活动，并追究你的责任，即使是在暗网上。” 针对”Monopoly市场“的案件之所以成立，部分原因是德国当局于2021年12月扣押了”Monopoly市场“的基础设施，这使得警方能够开始识别供应商和客户。美国联邦调查局表示，在司法互助条约的支持下，它从德国收到了市场数据库和论坛数据库的数字取证副本。 通过加密货币追踪溯源，FBI找到幕后的运营者德斯尼卡 美国联邦调查局表示，在研究了德国执法部门查获的市场数据库（其中包括发送给供应商的票据）后，确定了德斯尼卡的身份。调查人员发现，所有发给供应商的票据都包含比特币或门罗币地址，供应商被要求将”Monopoly市场“运营者应得的佣金发送到该地址，虽然这些付款详细信息已在2021年10月22日之前的票据中删除，但在后来的票据中仍然存在。 联邦调查局分析了涉及”Monopoly市场“运营者明显使用的地址的大量交易。按月计算，所有收到的资金中，有一半似乎被转账到存储中，并显然保持不变，另一半被发送到不保留用户详细信息的加密货币交易所。司法部表示：“德斯尼卡随后将非法加密货币出售给塞尔维亚的点对点交易商，以换取法定货币-所有这些都是为了清洗非法毒品销售的收益。” 检察官周六提交给法院的一份支持拘留的备忘录报告说，FBI揭开德斯尼卡的真面目的部分原因是识别出“存入MoonPay.io交易所某钱包的两笔比特币存款，该钱包也收到了2020年7月的’Monopoly市场‘收益”。FBI从MoonPay加密货币交易所获得的记录，使其能够识别用于在MoonPay进行存款的谷歌支付帐户，并追溯到德斯尼卡使用的信用卡和Gmail地址。FBI表示，其中一个电子邮件帐户包含访问”Monopoly市场“的比特币钱包所需的12个单词的助记词。 检察官在备忘录中写道：“他通过各种社交媒体、个人电子邮件帐户以及访问‘Monopoly市场’比特币钱包所需的种子短语，与‘Monopoly市场’直接联系在一起。”...

老粉都知道，我目前带了一个项目，闲鱼无货源，很多人问我，为何坚持写文章，因为每写一篇文章就能为所带的项目带来一次曝光，每次的曝光就有可能带来成交，那我为何不写呢?所以就很容易理解，为何坚持写文章，不仅是为爱发电，更是为钱发电，有些功利，但咱得实话实话。 大家都不傻，你的每一个动作，背后的目的，大家都清楚，既然如此，不如坦诚相待，真心换真心，或许更能得到大家的认可。说回闲鱼无货源这个项目，我操作了4年，主打一个稳定，持久，谈不上暴利，但足以养家糊口，我身边很多跟我一起搞互联网的人，操盘了很多项目，也赚到了一些钱，但始终没有把闲鱼无货源这个项目搁置。为何?因为这是基本盘，其他项目，其他盘可能随时受政策，平台，或人的因素而崩盘，但闲鱼无货源不会，稳定的收入来源是东山再起的资本，是你应对外界各种风险的底气，就冲这一点，这个项目就值了。 从上个月中旬开始到现在，招募到了一些学员，有些是跟我一样，干互联网的，有些是宝妈，有些是刚毕业的学生，有些是失业人员，有些是干实体的。总之，分布于不同的行业，但都有共同的目的，想跟我一样，通过闲鱼无货源这个项目持久的赚钱，没有把它当救命稻草，只想额外增加一份还不错的收入。有这样的目的和心态，我觉得做任何项目都能成，且概率极大，而事实恰好也是如此。 学员A 是一位宝妈，平时只有娃睡了，才能抽空做闲鱼，根据她自身的需求和实际情况，我建议她做婴儿用品或婴儿玩具类，因为这一块，她每天都在看，都在了解。对于母婴产品这一块，她比较熟悉，就不需要再刻意花时间去了解产品规格和属性，能大大缩短时间周期。最终她选择做婴儿玩具类，目前爆了几个商品，每天曝光量都很大。 再如此强大的曝光之下，出了一个批发单，一天小赚1K，这个只是其中一个商品的利润，一个商品爆了，会同时给其他商品带来曝光，有曝光，就会有成交的空间，所以她的利润远远不止如此。 一般一个商品爆了，维护的好，能持续曝光半个月或以上，这期间也会带动其他商品的销量。 学员B 刚毕业的学生，时间相对充沛，目前玩了3个号，这两天也爆了2个商品，纯利润3.8K,平摊下来，一天小2K，且商品还在持续获得大量曝光，每天即使躺平，也会有出单。 尝到了甜头，目前准备多开账号，玩矩阵。既然能赚钱，第一时间想到的就是放大，然后按部就班的执行即可，没那么多复杂的操作。 学员C 这个是我的同行，其实他不需要付费跟我学，以他的阅历和操盘项目的经验，完全可以自己做。 我问他：闲鱼无货源这个项目，你自己都会，不需要跟我学，为何还要给我付费?他说：只想交个同频的朋友，以后大家能够一起探讨，闲鱼无货源这个领域，我相信咱们之间未来总有些地方是需要互补的，哈哈哈。哈哈哈哈，这个解释我给满分，够爽快，够真实。因为他之前操盘过其他项目，所以相对应的软硬件设施都有，上来直接矩阵化运营。很棒。 其实闲鱼无货源这个项目，你不能指望你发布的每个商品都爆，往往是一个商品链接爆了，会同时带来其他商品的曝光，这是一个联动效应。而在此期间，你要做的就是借助大曝光的势头，尽可能多的上传商品，充分利用好大曝光的势能，学员亲测，在此期间上传商品，往往有时候一上传，不到半小时，就被人拍了，这是常有的事儿。 最后，祝大家都能爆单挣钱。...

给大家分享一个非常简单的冷门项目，匿名短信，这个项目的目标用户，正是目前庞大的单身群体，如果说我们用心去操作，一个月赚个几千的零花钱，问题不大! 01 内容介绍 什么是匿名短信项目? 就是帮助其他人发送匿名的短信。我们正常发送短信肯定会显示号码的，显示号码了，神秘感就消失了，很多时候我们自己的号码也不太适合拿来发短信。比如，那些吵架分手的情侣或者暗恋的对象;比如你忘不了某个人，忘不了你的前任。或者用匿名短信去恶搞你的朋友跟上司。这些就会想着发一个匿名煽情的短信出去，既能表达自己的想法，还能掩饰主动的尴尬，最后可能会产生回心转意的效果。 这就需要我们搭建一个匿名短信的程序，这种搭建其实很简单，我们找到市场上成熟的系统，对接到自己的订阅号，就可以在订阅号操作了，让用户在上面输入对方号码，再输入想发送的文案即可。 02 操作流程 项目的盈利方式有好几种： 1、积累粉丝，接广告变现。做匿名短信项目需要不断的从公域平台引流到订阅号，等粉丝数到达了一定的量级后，订阅号就可以接商家广告变现，而且在匿名程序上，我们还可以加广告来变现。 2、收短信费用，发送匿名短信肯定要比一般的普通短信贵，价格在1-10块不等，而且复购率还挺高的。 3、我们搞定了匿名程序，清楚了变现方式，接下来最重要的环节就是引流。那引流怎么做? 我的建议是，直接去找案例、找对标账号。我们可以花点时间，批量的去录制下方这种文案，这些文案都是，分手后想回心转意或者离别前想跟对象说的伤感文案。 这种文案共情能力特别强，所以播放量非常高。仔细分析这种素材，我们不难发现，内容由文案跟背景音乐组成，这种视频内容制作起来非常简单，制作一个基本上花上十几分钟就可以了。认准一个方法批量去怼，然后全平台去分发就可以了。 03 注意事项 1、同行是最好的老师! 2、心动了就开干，开干就已经成功了一半，不干永远没机会! 3、坚持比什么都重要! 签名：实践出真知，大力出奇迹! 作者：张大力搞钱记...

盘点类大v淘淘爆笑盘点（丁某人）详细课程 正能量爱情类及热点话题分析 cr去水印 手机剪裁（先看新版课件） 新版课件 抽帧软件 ...

1.一千个野路子升级玩法介绍 2.三步教你打造爆款人设制作爆款视频 3.两招教会你如何高效引流快速变现 4.野路子升级版实操教程...