余弦知乎living

1、开场

知乎存在XSS漏洞，利用漏洞可以做到窃取他人隐私。例如：你只要收到我发送的消息，我就可以完全控制你的APP账号权限，这是在iPhone上
因为：iPhone 上的这个 App 把页面加载进 file 协议，而 Android 不是这样干。file 协议是本地的协议，权限高，可以跨域影响 http/https

2、新手环节

2个手机（iphone,一加），iphone非越狱，关闭icloud,指纹解锁
iphone购买优质付费APP,强烈推荐iFiles2和1Password。iFiles2可以存储自己的私人东西，任何文件，视频，图片等。注意在iPhone中要把iFile2的网络禁用掉，以防这货偷偷把数据上传到云端。1Password，密码管理器，唯一推荐，在iPhone中把网络禁用掉。一切能不上云的都不上云。
出门一定要把iPhone的wifi开关关闭。因为有一类攻击叫做Wi-Fi钓鱼攻击，专门采集手机连过的SSID,然后伪造SSID,坐等你的接入
Wi-Fi钓鱼攻击自行搜索关键字：Karma
Mac电脑下，磁盘加密FileVault必须开启，加密磁盘是个好习惯，网易电脑丢了，里面的资料是安全的
除了Mac自带的Safari浏览器，还建议安装Chrome和Firefox。为什么？因为上网习惯要开始分离了。
Mac也会付费购买优质软件，比如虚拟机的Parallels Desktop,贵。虚拟机免费安装需要Virtualbox。同样关闭iCloud
传输共享文件一般人都是通过QQ,微信传输。如果是Apple系列，AirDrop蓝牙传输的内置编辑解决方案实在太赞
Windows10自带的BitLocker作为磁盘加密也是非常的赞，可以只加密一个分区，更棒的是可以加密U盘，移动硬盘
除了Windows10上自带的浏览器外，我也会安装Chrome和Firefox
Windows上虚拟机建议使用Vmware Workstsation，注册码激活，注册码自己找
Windows如果非得用盗版，如果是仅通过注册码方式就可以激活，那么OK。如果是给你一个激活工具去激活，我想你还是悠着点。实在不行把盗版软件扔进虚拟机里。
Windows10的隐私设置好好看一遍，把什么定位，信息收集全部关掉。
杀毒软件尽量安装国际知名的
Mac上基本没杀毒软件说法，为什么？默认安全策略，严格安全策略。但是这不意味着Mac绝对安全。开头说iPhone上的App XSS,以及Mac电脑很多用户实际上会乱安装软件的，出问题都不知道去哪里哭
马甲的重要性！包括多一台手机，多一台电脑，分离出来做特别的事
比如专门的手机和手机号用来注册不重要的事情
密码管理非常重要，重要的密码记在心里，不重要的丢到1Password
比如我之前说过，我喜欢一本书，书里的人名都可以成为我的密码体系的组成部分，很难忘记
收邮件用Outlook客户端，电脑和手机都有。不要去登陆Web端查看邮件，因为你很难再Web防御XSS
当然Gmail是肯定可以的，哈哈哈！
线下，不轻易给名片、信用卡，微信。手机号

3、老司机篇

通信方面我使用Signal,Gmail,ProtonMail,PGP Encrypt。Signal,嗯，目前还没被墙，通信加密我信任，你要问我为什么信任？因为我做过深度的研究
Gmail为什么可靠？就Web安全而言，在对抗XSS,CSRF策略，这在邮件攻击力是最常用的手法，另外在很多细节上都具有前瞻性，如：全域HTTPS策略，Cookie策略，内容分离策略，账号风控策略，图片安全策略，恶意内容对抗策略
ProtonMail，现在在网页端就可以注册，不需要什么手机号，可以做到拥有个匿名邮箱
PGP Encrypt这个是我iPhone上的一个APP,你们可以买一个看看，以后微信发消息用这个加密下，神仙也破解不了。除非有算法后门
关于磁盘加密，在新手篇提到的FileVault和BitLocker,那么想要更高强度加密磁盘，可以使用TrueCrypt和VeraCrypt
老司机必须熟悉Wireshark,BurpSuite,Fiddler2
在咖啡厅连接公共Wifi如果做到安全？走VPN隧道
下面介绍黑手。强烈推荐黑手解决方案：一加一代手机(淘宝可以买到2手，足矣)
黑手不是拿来自己使用的，而是用来把这个Wi-Fi网络黑一遍的
一加一代刷机非常稳定，只需掌握好adb，fastboot两个命令
自由上网注意下：不要使用免费VPN
当你的隐私受到侵犯时，注意使用法律维护自己的隐私
浏览器的隐私模式好过直接浏览
JavaScript

https://valve.github.io/fingerprintjs2/

这是js抓取浏览器的指纹相关信息，这个技术在各大统计js中都有，可以用于跟踪用户习惯如果有Firefox浏览器并且安装了Firebug可以来个测试，例如：http://xssor.io/s/firebug1.html http://xssor.io/s/firebug2.html，http://xssor.io/s/firebug3.html,这是我发现的可以探测你的浏览器安装了什么插件

如果你安装了firefox插件，就会弹出上面这个提示

Firefox推荐安装的一些安全扩展见手机笔记，我首推：NoScript,Adblock Plus,Ghostery

推荐上面这些插件

关于PGP,电脑上大家可以用https://www.gnupg.org/ ,Gpg4win(专为windows而生的),GPG Suite（前提是要掌握好gpg这个命令，掌握后，就非常方便使用PGP来加密传输共享内容了）
关于匿名，“没有约束的自由诞生不了文明”
匿名货币推荐：比特币<门罗币<Zcash(匿名程度由小到大)
玩技术的同学推荐用VPS搭建VPN,SS,强烈推荐
TOR浏览器国内是用不了的，VPN出去才行,他是打开暗网世界的钥匙
匿名方面推荐Whonix
还有一款就是为匿名而生的操作系统，Qubes OS。斯诺登的图片

一些忠告，只说一次

现在泄露的都泄露了，但你还有未来
假设你的隐私都泄露了，万一泄露了，会造成什么影响
互联网那头和你聊天的也许是只狗
免费，他们图什么？
从现在开始懂点法律，学点安全技能，技多不压身

余弦知乎living相关推荐

转载的ctf练习链接
正文如下: Author:4ido10n Home:http://www.secbox.cn/author/4ido10n 学习的地方很多,不能一一列举,一些优秀的网址和博客可能也没有提到,大家补充吧 ...
CTF入门指南(0基础)
ctf入门指南如何入门?如何组队? capture the flag 夺旗比赛类型: Web 密码学 pwn 程序的逻辑分析,漏洞利用windows.linux.小型机等 misc 杂项,隐写,数 ...
网安、ctf常用网址
[转载备用] 原文地址 http://blog.csdn.net/ida0918/article/details/52730662 http://www.sec-wiki.com/skill/ 安全 ...
个人总结-网络安全学习和CTF必不可少的一些网站
学习的地方很多,不能一一列举,一些优秀的网址和博客可能也没有提到,大家补充吧:P 就简单总结一些常用的吧,本人是十足的彩笔,还望大家多多指点,表哥们带我飞Orz http://www.sec-wiki ...
CTF网络安全大赛介绍
赛事介绍 CTF竞赛模式分为以下三类: 一.解题模式(Jeopardy)在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛.信息学奥赛比较类似,以解决 ...
网络安全如何学习？（学习路线及资料）
概括来说,网络安全课程的主要内容包括: 安全基本知识应用加密学协议层安全 Windows安全(攻击与防御) Unix/Linux安全(攻击与防御) 防火墙技术入侵监测系统审计和日志分析下面分 ...
网络安全与CTF学习信息汇总
http://www.sec-wiki.com/skill/ 安全技能(里面渗透逆向编程都有介绍) http://blog.knownsec.com/Knownsec_RD_Checklist/ 知道 ...
【转】个人总结-网络安全学习和CTF必不可少的一些网站
转自:http://blog.csdn.net/ida0918/article/details/52730662 学习的地方很多,不能一一列举,一些优秀的网址和博客可能也没有提到,大家补充吧:P 就简 ...
按键精灵开发者认证1-6题库
这是以前整理的题库,包过. 题目:(前台)区域范围为(100,150)到(200,300)内的所有点是否均为"FFFFFF",是则弹出对话框"没有其他颜色",否 ...

余弦知乎living

余弦知乎living相关推荐

最新文章

热门文章