Aggregator
物联网安全|手把手带你制作恶意固件
BurpCrypto: 对单加密参数的登录接口进行密码爆破的一种方法
也来聊聊态势感知(下)
基于流量日志的SQL注入分析技巧
也来聊聊态势感知(中)
也来聊聊态势感知(上)
成都移动光猫h2-2的2/3/4口开启DHCP
经过实际测试,成都移动光猫h2-2默认情况下是1口插路由器,234口都插机顶盒(我依稀记得去年是13口可以路由器24口光猫的,不知道下发的配置可以修改这个么)。但是家里只需要一个机顶盒,有好几个路由器。现在是1口插了n1,还想插一个路由器进去,但是试过了234口都不行,不能DHCP。
超管进后台可以看到修改服务和端口绑定的地方,但是已经被选中了,不能更改。
可以看到光猫有三个连接,101是pppoe,102是机顶盒的桥接,104是tr069业务下发的
解决问题等手机掌厅看到负责这个地方的人的电话,打电话过去问了之后给我说可以路由器lan里面再接路由器,可是我刷的路由器的固件的v6有点问题,没弄好,所以还是希望直接能接到光猫lan口。
对方告诉我那个页面可以看到101 102之类的,取消不想要端口的然后在101里面关联就好了,但是我这里怎么都找不到可以取消的地方,然后他说他可以下午的时候上门调试。
来了之后重复了我的操作,还是不行,然后他直接把光猫恢复出厂设置了…
重新注册设备,出现了102,取消机顶盒的关联,然后在101里面关联上,问题就解决了 :)
好的现在可以愉快的用1/2/3口DHCP了。
光猫高负载新的问题来了,一天之后,连2.4G频段的wifi去ping光猫的延迟1ms-600ms不等,这么高的延迟说明负载非常高,但是在后台看到网速并不不快,并且连5G频段wifi的ping光猫维持1ms,n1连网线下载依然300M满速,最初以为是信道干扰,但是我拔掉了光猫旁边的路由器还是极高延迟,不知道是哪里崩了:(
解决方案:重启解决 :)
重置光猫步骤如果遇到同样的问题,建议先联系移动工作人员再操作,避免翻车折腾坏了
如果想过要自己重置的话,需要先找到自己的宽带账号,重置之后需要用到。
在掌厅里面可以看到宽带账号是209开头的,举个栗子20920200614(长度随便写的),然后密码是去掉20之后的字符串,比如上面这个账号的密码就是920200614。
重置过程:
- 超管 CMCCAdmin 密码 aDm8H%MdA 登进去,找到重置光猫的选项,点击重置
- wifi会重置成光猫背面的ssid和密码,重新连接wifi
- 打开192.168.1.1,点设备注册,输入上面的账号和密码,等待配置下发,如果下发失败就多点几次
- 去到修改lan口绑定的页面修改即可
光猫给我的内网分了ipv6地址,但是外部连不进来,取消防攻击保护即可
注意取消之后,外部是可以主动和内网设备发起连接的,注意安全防护,不要以为ipv6地址稀疏就不会被扫到的,naive:)
跋以前刷n1系统的时候,插上网线也不会获取ip,我一直一直很以为是n1系统的问题,我重复刷了好多次系统并且也参考网上类似的问题做了修改都不work,然后终于发现是移动光猫DHCP的问题不是镜像的问题:(
至于为什么不改桥接用路由器拨号,原因有2:
- 光猫跑满300M光纤无压力,无需更换
- 光猫性能比我的20块一台的乐视路由器好 :)
另:移动工作人员服务态度太太太好了,我打电话咨询问题,没走类工单系统的流程,他都他超级耐心解答,没解决问题还主动说可以上门调试,调试过程中我问问题也超级耐心回答 :)
超想给个五星好评,无奈没有给好评的地方 :)
Les1ie
2020年6月14日00:48:57
fastjson 1.2.68 反序列化漏洞 gadgets 挖掘笔记
以此祭奠找 gadgets 逝去的青春, orz
玄学?亿级别请求的系统能在30分钟内上安全策略吗?
Putting system owners in Security Bug Jail
整理了几个文章专辑,方便大家阅读
BurpCrypto: 万能网站密码爆破测试工具
【新】业务安全情报
Firefox 启用隐藏功能 Letterboxing 以避免身份追踪
当用户使用非标准窗口尺寸的浏览器进行网页浏览时,浏览器的独特尺寸可以让网站有效追踪用户身份,即使用户已经禁用了 JavaScript 和 Cookie 等传统身份追踪(Fingerprinting)手段的媒介。这篇文章将教您如何在 Firefox 中启用 Letterboxing 功能来预防此种身份追踪手段。
Letterboxing 简介Firefox 在 2019 年发布的 67 版本中加入了从 Tor Browser 引进的 Letterboxing 功能,此功能直至出稿为止(2020 年 6 月 12 日)在 Firefox 中都还是一个隐藏功能。Letterboxing 可以在浏览器的内窗口周围创建一些空白 padding,使浏览器的内窗分辨率保持为 100px 的倍数(例如 1600x800),而不是更容易识别的精确数字(例如 1632x821)。
下图中的浏览器窗口就没有启用 Letterboxing,可以看到该窗口的尺寸(1583x791)很独特,很容易和其他浏览器区分开来。即使用户更换了 IP 地址并且删除了 Cookie,独特的浏览器尺寸仍然会暴露用户身份。
没有启用 Letterboxing 的浏览器窗口
下图中的浏览器窗口和上图中的窗口尺寸一致,但是启用了 Letterboxing。这项技术可以让窗口尺寸始终保持为 100px 的倍数,从而防止浏览器的尺寸暴露用户身份。
启用了 Letterboxing 的浏览器窗口
Letterboxing 在最新版本的 Firefox(出稿时为 77)中仍然是一个隐藏设定。在 about:config 中用户即使搜索 letterboxing 也无法看到相应的设定,必须要手动添加一个新的键值。
Firefox 中无法找到该设置
添加设置的方法也很简单,首先在地址栏输入 about:config 进入 Firefox 设置界面,此时 Firefox 会警告用户手动修改参数的风险,点击接受风险并继续来进入修改界面。注意胡乱修改此界面中的值可能会损坏 Firefox。
about:config 警告
然后在搜索栏输入 privacy.resistFingerprinting.letterboxing,选择 Boolean,并点击右侧的加号创建新的键值。
创建新的 Letterboxing 键值
此时一个新的键将会被创建,并且值为 true。这样设置就完成了。此时重启 Firefox 即可看到效果。
新创建的键值
当 Letterboxing 启用后,可以前往 How Big is My Browser 这样的网站测试自己的窗口尺寸。可以看到,网站识别出的尺寸是 letterboxing 过后的尺寸。
How Big is My Browser 测试
并且,在控制台调用 window API 输出的数字也是 letterboxing 之后的尺寸了。
控制台输出 window API 尺寸
当前往 BrowserLeaks.com 这样的网站测试自己的浏览器时,可以看到虽然传统的窗口尺寸已经是 letterboxing 之后的尺寸(还被标记了开启了 letterboxing),但是 viewport 尺寸仍然未改变。即使是在隐私方面走在最前端的 Tor Browser 仍然可以被这种方法 fingerprint。如果网站采用了这种方式进行身份追踪,仍有可能成功。
所以,如果需要完全的匿名性,还是应该使用 Tor Browser 在 Windows 等常见系统下使用默认窗口尺寸进行浏览。
viewport 尺寸泄漏
还有一个问题就是,当启用了 letterboxing 后,Firefox 的窗口滚动条不再在窗口边缘,而在窗口内部。所以想要把鼠标放在滚动条上可能会更困难。可能这也就是 Firefox 在正式版中迟迟未在 privacy.resistFingerprinting 启用时也同时默认启用 letterboxing 的原因。是否要为了隐私而牺牲便利性,牺牲到什么程度,每个人都有不同的答案。
滚动条不再在窗口边缘
- Panopticlick:EFF(电子前沿基金会)推出的浏览器 fingerprinting 测试网站,使用了真正的追踪程序提供商来测试浏览器,可以看到浏览器泄漏了哪些独特信息并给出一个评分
- BrowserLeaks.com:检测各种浏览器泄漏的信息
- How Big Is My Browser?:一个直观的浏览器尺寸显示网站