聚合国内IT技术精华文章,分享IT技术精华,帮助IT从业人士成长

  • 1743 views阅读

    谈谈微信支付曝出的漏洞

    一、背景 昨天(2018-07-04)微信支付的SDK曝出重大漏洞(XXE漏洞),通过该漏洞,攻击者可以获取服务器中目录结构、文件内容,如代码、各种私钥等。获取这些信息以后,攻击者便可以为所欲为,其中就包括众多媒体所宣传的“0元也能买买买”。 漏洞报告地址...

    分类:技术文章 时间:2018-07-06 16:45 我要评论(0个)

  • 2874 views阅读

    我见过的那些愚蠢的安全漏洞

    【导读】:知名安全技术博主 Tony Hunt 吐槽了一些正规公司、正规网站的安全漏洞:HTTP + cookie 里明文存放用户名密码;输入用户名与生日就能重设密码;密保问题;邮箱绑定个人信息等等。 我的朋友 Lars Klint 发过这条推:「你的密...

    分类:技术文章 时间:2017-12-18 21:10 我要评论(0个)

  • 3698 views阅读

    开发团队面临的 3 大安全挑战

    应用安全不能只依靠防火墙,必须要在应用开发阶段采取适当的安全控制措施,使得应用在发布上线前就具备较好的安全性,避免人为失误造成安全隐患。 不少企业早就意识到了这一点,然而理想和现实之间还隔着几十个安全漏洞,尤其是那些采用敏捷或者精益开发模式的团队,在具体...

    分类:技术文章 时间:2017-07-27 11:35 我要评论(0个)

  • 3866 views阅读

    避免持续集成(CI)成为一个安全隐患

    背景 最近临时交接了一个客户测试环境和产品环境的维护工作。交接的客户资产包含:代码库、生产环境主机、测试环境主机、搭建在测试环境主机上的持续集成服务器以及对应的账号密码。这个持续集成服务器采用Jenkins搭建,并且可以用来部署测试环境和生产环境的应用。...

    分类:技术文章 时间:2017-07-25 17:35 我要评论(0个)

  • 3242 views阅读

    做 Web 开发必备的安全核对清单

    如果能按照本文的这个清单来实践,就能将网络安全方面的风险降得很低。 Web开发人员安全清单 在云端开发安全又健壮的 Web 应用非常难。如果你认为这很容易,那你技术水平要么已经很牛叉,要么还没有踩过坑。 如果你盲目接受最简可行产品(Minimum Via...

    分类:技术文章 时间:2017-06-11 02:10 我要评论(0个)

  • 4209 views阅读

    我是如何意外阻止了勒索病毒的全球攻击

    【伯乐在线导读】:5月12日,英国、意大利、俄罗斯等多个国家爆发勒索病毒攻击,中国国内校园网也出现大面积感染。请见我们昨天的推文:《全球爆发计算机勒索病毒(包含应急防范措施)》。 WannaCrypt 勒索病毒开始肆虐后 ,英国的网络安全人员 Malwa...

    分类:技术文章 时间:2017-05-14 22:50 我要评论(0个)

  • 5607 views阅读

    从某网站的支付泄漏看安全实践

    安全事故 2014年乌云网发布了某旅行网站(以下简称X网站)的安全支付漏洞,X网站因长时间打开支付服务调试接口,导致用户信用卡信息面临泄露风险;在针对其进行进一步的扫描后,乌云发现X网站的分站源代码可打包下载,其数据库配置和支付接口因此被直接泄露。 (...

    分类:技术文章 时间:2017-04-01 03:40 我要评论(0个)

  • 9384 views阅读

    防范 CSRF 跨站请求伪造

    CSRF(Cross-site request forgery,中文为跨站请求伪造)是一种利用网站可信用户的权限去执行未授权的命令的一种恶意攻击。通过伪装可信用户的请求来利用信任该用户的网站,这种攻击方式虽然不是很流行,但是却难以防范,其危害也不比其他安全...

    分类:技术文章 时间:2017-03-02 07:05 我要评论(0个)

  • 4489 views阅读

    百亿互金平台救火故事

    多年前,又是周六客服打电话过来,平台官网不能访问,app完全无法打开,客户在QQ群和微信群中各种反馈,说平台是不是跑路了?客服的多条400热线完全被打爆,电话已经接不过来… 前言 一直以来总是想以什么方式去记录下自己在互金行业的这段经历,趁着自己还记得清...

    分类:技术文章 时间:2017-02-20 18:55 我要评论(0个)

  • 4448 views阅读

    如何用 OllyDbg 的跟踪功能分析虚拟机保护

    虚拟机保护已经是现代保护壳不可缺少的一环,虽然逆向方也发展出各种插件帮助分析,但只针对特定某款,通用性的方法却不多见。我总在想,既然虚拟机的结构是固定的,如果有一款工具能够记录指令流,那么按图索骥,也许能发展出一套通用的分析方法来。其实OD(OllyDbg...

    分类:技术文章 时间:2017-01-14 18:25 我要评论(0个)

  • 5638 views阅读

    从 MongoDB “赎金事件” 看安全问题

    今天上午(2017年1月7日),我的微信群中同时出现了两个MongoDB被黑掉要赎金的情况,于是在调查这个事的过程中,我发现了这个事。这个事件应该是2017年开年的第一次比较大的安全事件吧,发现国内居然没有什么报道,国内安全圈也没有什么动静(当然,他们也许...

    分类:技术文章 时间:2017-01-08 07:15 我要评论(0个)

  • 4686 views阅读

    云舒创业公司默安科技的幻盾产品是做什么的?【标题党,哈哈哈】

    云舒,知乎大V,很有个性的一位大神,之前离开阿里后进行创业,和好基友组建了默安科技,从目前推出的产品幻盾来看,这属于伪装技术一块。关于伪装技术的应用,从宣传来看,另一家安全公司“元支点”也颇有建树。不过,本文不多描述具体产品,纯粹介绍一下伪装这门安全技术,...

    分类:技术文章 时间:2016-11-11 04:15 我要评论(0个)