叁滴水 的博客

目前拼多多助力已经是一个非常普遍的事请了，每隔一段时间拼多多会有一些非常优惠的助力活动，但是在商业竞争下的种种问题，导致拼多多助力传播的过程异常艰难，常有通过链接的方式进行助力。但是，肯定每个人都有一个这样的概念，就是"陌生人分享的链接不要点"。这样也就隐含了"熟人的链接，是可以点击的"。这也就正中骗子的下怀。也就是说，正在跟你聊天的人，可能并不是你的熟人。或者他认为的这个助力链接已经被人替换为钓鱼链接。

ngrok是一个反向代理，它能够让你本地的web服务或tcp服务通过公共的端口和外部建立一个安全的通道，使得外网可以访问本地的计算机服务。

HTTrack是一个免费的网站克隆工具。它允许您将Internet上的万维网站点下载到本地目录，以递归方式构建所有目录，并从服务器到计算机获取HTML，图像和其他文件。HTTrack安排原始站点的相对链接结构。只需在浏览器中打开“镜像”网站的页面，就可以从一个链接到另一个链接浏览该网站，就像您正在在线查看它一样。HTTrack还可以更新现有的镜像站点，并恢复中断的下载。HTTrack是完全可配置的，并且具有集成的帮助系统。

beef-xss说明BeEF是“浏览器开发框架”的缩写。它是一个专注于Web浏览器的渗透测试工具。​BeEF使专业的渗透测试人员可以使用客户端攻击向量来评估目标环境的实际安全状况。与其他安全框架不同，BeEF超越了硬化的网络边界和客户端系统，并在一个门户开放的环境中检查可利用性：Web浏览器。BeEF将钩挂一个或多个Web浏览器，并将其用作启动定向命令模块的滩头堡，并从浏览器上下文中对系统进行进一步攻击。1.安装beef-xssapt-get install beef-xssSetting

setoolkit是一个为社会工程设计的开源渗透测试框架。SET具有许多自定义攻击向量，可让您快速进行可信的攻击。setoolkit 目录结构modulesreadmeREADME.mdrequirements.txtseautomateseproxysetoolkitsetup.pyseupdatesrc**setoolkit启动 **通过./setoolkit启动。看到如下图形，启动成功。默认会有如下选项Social-Engineering Attacks

https相对http更加安全，然而https并不是那么完美，中间人还是可以通过很多手段来绕过https,比如https证书伪造，或者强制转换http协议，或者加密降级等等。

1.http痛点​ http协议使用极为广泛，但是存在不小的安全缺陷。主要是其数据的明文传送和消息完整性检测的缺乏, 而这两点恰好是网络支付，网络交易等新兴应用中安全方面最需要关注的。如以下场景：当我们在进行一些敏感操作的时候，如果有中间人拦截了我们请求，那就会很轻易的得到和服务器直接交互的数据，并且很轻易的进行篡改。​ 以上，中间人在对请求进行拦截时，可以很轻易的获取用户A的账号密码；对用户B的转账金额或者转账人进行篡改。​ https针对http的数据不安全等问题做出了改善。主要解决在数