用了很久了,推荐下这个:

Wordfence Security

细节自己体验吧,说点别的。

WordPress生态这么多年一直没变,安全生态也如此。如此开放的生态,短板都给了那些插件,插件一旦出个安全问题危害是很直接的。WordPress这种生态设计是没有所谓的安全沙箱。

Continue reading

今年如果再不更新一篇,那就过了。随便说说几句吧,关于“航海图”的。

大概,2013年7月,我们发布ZoomEye这个项目,上线了开放式的网络空间搜索引擎:https://www.zoomeye.org,当时被认为是一种非常天马行空的想法。中文名取名为钟馗之眼,不过这个中文名倒是一直弱化着,包括我在内,大家都喜欢喊ZoomEye这个英文。我一直觉得这是我取名最成功的一次,这个项目我一直牵头至今年上半年结束。

去年我的演讲:发现网络空间里的「暗物质」情报,给我个人带来的感觉是:这个领域如果不深入就太可惜了,多么令人着迷的领域。这对我来说跨度确实很大,以前玩前端Hack,写了不少文章,出了一本书,写了一些小工具及半成品,还有个从未公布的利用平台。但是一旦进入ZoomEye的领域,以前擅长的玩意基本可以废弃,可以延续的只有Hack思维及一些编程经验了。

Continue reading

在这样混乱的互联网上,军阀割据的地盘中,你根本身不由己,当你接入互联网或陌生人的那一刻,你的隐私就失控了。拿到你隐私的坏蛋,他们可以偷窥你,可以诈骗你或你身边的人,可以利用你的隐私做出下三滥的事。他们不会可怜你,你得学几招保护自己,保护你重要的人……

我特别准备了一个专页来不断科普更新隐私保护的技巧,这:

http://evilcos.me/yinsi.html

:)

我去年写过这个观点,可以看看《有一种黑客叫做工具党》。

面对我们想拿下的资源,我们得具备足够的细心与全面的观察,善于使用一些工具也是很关键的,熟练编程后,总会打磨出最适合自己的一些组件,快速组合就能编写一个针对性的攻击程序出来。

这个攻击程序在线程池模式下高效破解目标资源,比如针对某资源网站,5分钟内就可以在小概率而大样本的前提下暴力破解出一些有效的账号,然后登录->批量下载自己想要的资源,这一切都可以自动化完成。


KCon V3 8月下旬就要举办了,下周可以敲定具体时间和地点,演讲者全部搞定,干货十足,欢迎各位关注我的消息;)

为了增强微信公众号「Lazy-Thought」的体验,也为了我归档自己的文章,我增加了持久目录:

http://zhuanlan.zhihu.com/evilcos/19691465

对,放到了知乎专栏里,这在微信里兼容非常不错,而且稳定,我真担心我自己的博客哪天抽风……

我也松了口气,以后我的动态就这样简洁起来了;)如果你常用微信就关注我的微信公众号「Lazy-Thought」,如果你不常用,就定期查看目录里的更新吧……

我收到一个同学给我的邮件问了个在我看来属于“太阳系”级的难题,比宇宙终极难题还差那么些^^

他问:
—————–
这几天一直挺困惑。说下我的问题,你有空的时候帮我解答下吧。
今天问自己个问题,找个自己的特长现在开始发展它。
基本上以后主要就靠这个特长工作。
但我不知道自己到底对什么非常感兴趣,并能足以支撑我发展研究下去。
我现在对很多都很有兴趣,这个好玩的程序,渗透个网站,XSS,偶尔挖洞,看见移动设备安全觉得也挺好玩,那些设备安全也很吸引人,木马什么的也很神奇,总之就是好奇的太多。不想自己对什么都好奇的都碰碰,没有自己真正擅长的点,最后到公司只能由人家给我分配岗位,做到最后发现不是真正有兴趣的。
想请师傅综合一下现在安全方面的发展情况,什么比较缺,帮我分析一下我这怎么办。实在解决不了了。
很苦恼。
—————–
Continue reading

一切事物都应该是简单的。复杂的原因是因为思维在复杂,如果我们思考问题也能简单,那结果一定很美好。

无论是某个技术细节,某个架构,某个产品,某个团队,如果我们不能发现其中简单的本质,这些都将越来越艰难,越来越不稳定,直到失败。

解决问题之道在于:找到解决方法所在的层面。因为这样才能找到简单。

以上来自我的历史经验思考,还是那句话:懂的人懂,不懂的人不懂。

:)

这篇文章是写个其他圈子的同学看的,有感于这些天的一些发现,大家感兴趣可以看我之前的文章。

我以前并没如此强大的感受,但我现在意识到一点:安全一般情况下看不见,在你周围漂浮着,显现出来后,往往会刻骨铭心……

正因为安全看不见,所以往往不受重视,因为感知到的概率真的太低,用户的第一感知是他看得见、摸得着、嗅得到、品得出的东西,实实在在的东西,而不是那种虚无缥缈的东西,我们对概率低的东西往往默认选择忽略

Continue reading