如果URL被请求为图像(例如<;img src=";";>;)然后提供1x1图像。如果在浏览器中浏览URL,则空白页面会被提供指纹Javascript。
使用方法:这个URL只是一个例子。除了主机名和实际标记(随机字符串),您还可以更改URL的所有其他部分。
该令牌与Web令牌类似,但是,当加载链接时,视图将立即重定向到指定的重定向URL。
使用建议:在用户被重定向到他们想去的地方之前,用这些链接替换链接以捕获用户信息。
这个URL只是一个例子。除了主机名和实际标记(随机字符串),您还可以更改URL的所有其他部分。
该令牌与快速重定向令牌类似,但是,当用户加载链接时';s浏览器/浏览器插件信息被捕获。
使用建议:在用户被重定向到他们想去的地方之前,用这些链接替换链接以捕获用户信息。
这个URL只是一个例子。除了主机名和实际标记(随机字符串),您还可以更改URL的所有其他部分。
警报中显示的源IP地址是DNS服务器,而不是最终用户。
使用建议:在内部网络的黑暗IP空间中加入PTR条目。无需配置DNS日志记录和监控,即可快速确定是否有人正在浏览您的内部DNS。
用作检测和通知操作之间极其简单的桥梁。这里有很多可能性';它跟踪一个日志文件,并在有人登录时触发令牌:
使用方法:在一个有用户表的数据库中,用这个电子邮件地址放一个假记录。如果被触发,你就知道有人访问了你的数据。
你';无论何时在Microsoft Office、Windows或Mac OS上打开此文档,我们都会收到警报。
使用方法:将文件留在web服务器上不可访问的目录中,以检测web服务器漏洞。
你';无论何时在Microsoft Office、Windows或Mac OS上打开此文档,我们都会收到警报。
使用方法:将文件留在web服务器上不可访问的目录中,以检测web服务器漏洞。
你';使用Acrobat Reader打开此文档时,无论用户是谁,我都会收到一个警报';阅读器中的安全首选项。
使用方法:将文件留在web服务器上不可访问的目录中,以检测web服务器漏洞。
将此文件解压缩到文件夹中,当有人在Windows资源管理器中浏览该文件夹时,会收到通知。如果有人通过网络共享浏览文件夹,它甚至会触发!
警报将包括浏览用户的网络域和用户名(如果存在)。
记住,每当二进制文件被执行时,这个令牌就会被触发。对于EXE,这意味着直接执行,对于DLL,这意味着它们被加载。
使用此Javascript可检测何时有人克隆了网页。将此Javascript放在您希望保护的页面上:
当有人克隆你的网站时,他们';我们将包括Javascript。当Javascript运行时,它会检查是否需要该域。如果没有,它会触发令牌,您会收到警报。
使用方法:在敏感网站的登录页面上部署,如OWA或投标系统。
下一步是复制下面的SQL代码段并在SQL Server数据库中运行。
--创建一个表视图函数来查询金丝雀主机名创建函数(@RAND FLOAT)返回@output table(col1 varchar(max))作为BEGIN declare@username varchar(max)、@base64 varchar(max)、@tokendomain varchar(128)、@unc varchar(128)、@size int、@done int、@random varchar(3)--设置变量set@tokendomain=''; 设置@size=128;设置@done=0;设置@random=cast(圆形(@RAND*100,0)为varchar(2));设置@random=concat(@random,';';);设置@username=SUSER_SNAME()--循环运行,直到UNC路径为128个字符或更少,而@done<;=0 begin——将用户名转换为base64 select@base64=(选择CAST(N';';作为XML)。值(';xs:base64Binary(xs:hexBinary(sql:column(";bin";))' , '瓦尔查尔(MAX)和#39;)Base64Encoding FROM(选择CAST(@username AS VARBINARY(MAX))作为bin)作为bin_sql_server_temp)--替换base64填充,因为dns将阻塞=选择@base64=替换(@base64,';=';,';0';)--构建UNC路径选择@UNC=concat(';\\\';、@base64、';';、@random、@tokendomain、';\a';)——如果太大,请修剪用户名,如果len(@unc)<;=@大小设置@done=1 else——从前面修剪,要保留用户名并丢失域详细信息,请选择@username=substring(@username,2,len(@username)-1)end exec master。dbo。xp_dirtree@unc——带有结果集(([RESULT]varchar(max));return END——创建一个视图,将函数alter view作为select*from master调用。dbo。(兰德())--将上的权限更改为选择[public]——将上的权限更改为选择[public]——don';不允许[公众]查看定义
由于DNS用作基础传输,因此源IP将是DNS服务器的IP,而不是数据库服务器的IP。
设置@b='';设置@s2=FROM_BASE64(@b);从@s2制备stmt1;执行stmt1;从@bb处制备stmt2;执行stmt2;启动复制;
使用方法:发现MySQL转储文件的攻击者通常会将其放入临时数据库以查询数据。当接收到包含此代码段的转储文件时,它会通知我们。
当有人用阅读器扫描二维码时,它会触发绑定到你的令牌的URL并发出警报。
用手机上的WireGuard应用程序扫描此二维码,或复制以下配置。
每当有人试图使用此WireGuard VPN配置查看其访问权限时,就会触发警报。
此WireGuard配置可安装在使用WireGuard的任何地方,如手机、笔记本电脑和服务器上。
警报中显示的源IP地址是DNS服务器,而不是最终用户。
当有人使用此凭证对以编程方式(通过API)访问AWS时,会触发此canarytoken。
这把钥匙非常独特。i、 e.有人猜到这些凭证的可能性为0。
如果该令牌触发,则表明这组密钥具有";泄露";。
使用方法:这些凭证通常存储在名为~/的文件中。linux/OSX系统上的aws/credentials。为高级开发人员和系统管理员生成一个假凭证对,并将其保存在他们的机器上。如果有人试图使用您为Bob生成的配对访问AWS,那么Bob';他已经妥协了。
将凭据放在专用代码存储库中。如果触发令牌,则意味着有人未经许可访问该回购协议
使用方法:将文件放在私有代码存储库中。如果触发令牌,则意味着有人未经许可访问该回购协议。
下一步是复制下面的log4j代码段,并测试您的系统是否存在log4shell问题。
如果日志行被易受攻击的log4j库占用,它将生成有关此令牌的警报。