聚合国内IT技术精华文章,分享IT技术精华,帮助IT从业人士成长

  • 538 views阅读

    HTTP API 认证授权术

    我们知道,HTTP是无状态的,所以,当我们需要获得用户是否在登录的状态时,我们需要检查用户的登录状态,一般来说,用户的登录成功后,服务器会发一个登录凭证(又被叫作Token),就像你去访问某个公司,在前台被认证过合法后,这个公司的前台会给你的一个访客卡一样...

    分类:技术文章 时间:2019-10-19 00:05 我要评论(0个)

  • 440 views阅读

    保障IDC安全:分布式HIDS集群架构设计

    背景 近年来,互联网上安全事件频发,企业信息安全越来越受到重视,而IDC服务器安全又是纵深防御体系中的重要一环。保障IDC安全,常用的是基于主机型入侵检测系统Host-based Intrusion Detection System,即HIDS。在HIDS...

    分类:技术文章 时间:2019-10-18 16:40 我要评论(0个)

  • 3917 views阅读

    谈谈微信支付曝出的漏洞

    一、背景 昨天(2018-07-04)微信支付的SDK曝出重大漏洞(XXE漏洞),通过该漏洞,攻击者可以获取服务器中目录结构、文件内容,如代码、各种私钥等。获取这些信息以后,攻击者便可以为所欲为,其中就包括众多媒体所宣传的“0元也能买买买”。 漏洞报告地址...

    分类:技术文章 时间:2018-07-06 16:45 我要评论(0个)

  • 5301 views阅读

    我见过的那些愚蠢的安全漏洞

    【导读】:知名安全技术博主 Tony Hunt 吐槽了一些正规公司、正规网站的安全漏洞:HTTP + cookie 里明文存放用户名密码;输入用户名与生日就能重设密码;密保问题;邮箱绑定个人信息等等。 我的朋友 Lars Klint 发过这条推:「你的密...

    分类:技术文章 时间:2017-12-18 21:10 我要评论(0个)

  • 5795 views阅读

    开发团队面临的 3 大安全挑战

    应用安全不能只依靠防火墙,必须要在应用开发阶段采取适当的安全控制措施,使得应用在发布上线前就具备较好的安全性,避免人为失误造成安全隐患。 不少企业早就意识到了这一点,然而理想和现实之间还隔着几十个安全漏洞,尤其是那些采用敏捷或者精益开发模式的团队,在具体...

    分类:技术文章 时间:2017-07-27 11:35 我要评论(0个)

  • 6834 views阅读

    避免持续集成(CI)成为一个安全隐患

    背景 最近临时交接了一个客户测试环境和产品环境的维护工作。交接的客户资产包含:代码库、生产环境主机、测试环境主机、搭建在测试环境主机上的持续集成服务器以及对应的账号密码。这个持续集成服务器采用Jenkins搭建,并且可以用来部署测试环境和生产环境的应用。...

    分类:技术文章 时间:2017-07-25 17:35 我要评论(0个)

  • 5293 views阅读

    做 Web 开发必备的安全核对清单

    如果能按照本文的这个清单来实践,就能将网络安全方面的风险降得很低。 Web开发人员安全清单 在云端开发安全又健壮的 Web 应用非常难。如果你认为这很容易,那你技术水平要么已经很牛叉,要么还没有踩过坑。 如果你盲目接受最简可行产品(Minimum Via...

    分类:技术文章 时间:2017-06-11 02:10 我要评论(0个)

  • 6641 views阅读

    我是如何意外阻止了勒索病毒的全球攻击

    【伯乐在线导读】:5月12日,英国、意大利、俄罗斯等多个国家爆发勒索病毒攻击,中国国内校园网也出现大面积感染。请见我们昨天的推文:《全球爆发计算机勒索病毒(包含应急防范措施)》。 WannaCrypt 勒索病毒开始肆虐后 ,英国的网络安全人员 Malwa...

    分类:技术文章 时间:2017-05-14 22:50 我要评论(0个)

  • 8332 views阅读

    从某网站的支付泄漏看安全实践

    安全事故 2014年乌云网发布了某旅行网站(以下简称X网站)的安全支付漏洞,X网站因长时间打开支付服务调试接口,导致用户信用卡信息面临泄露风险;在针对其进行进一步的扫描后,乌云发现X网站的分站源代码可打包下载,其数据库配置和支付接口因此被直接泄露。 (...

    分类:技术文章 时间:2017-04-01 03:40 我要评论(0个)

  • 11507 views阅读

    防范 CSRF 跨站请求伪造

    CSRF(Cross-site request forgery,中文为跨站请求伪造)是一种利用网站可信用户的权限去执行未授权的命令的一种恶意攻击。通过伪装可信用户的请求来利用信任该用户的网站,这种攻击方式虽然不是很流行,但是却难以防范,其危害也不比其他安全...

    分类:技术文章 时间:2017-03-02 07:05 我要评论(0个)

  • 6534 views阅读

    百亿互金平台救火故事

    多年前,又是周六客服打电话过来,平台官网不能访问,app完全无法打开,客户在QQ群和微信群中各种反馈,说平台是不是跑路了?客服的多条400热线完全被打爆,电话已经接不过来… 前言 一直以来总是想以什么方式去记录下自己在互金行业的这段经历,趁着自己还记得清...

    分类:技术文章 时间:2017-02-20 18:55 我要评论(0个)

  • 7084 views阅读

    如何用 OllyDbg 的跟踪功能分析虚拟机保护

    虚拟机保护已经是现代保护壳不可缺少的一环,虽然逆向方也发展出各种插件帮助分析,但只针对特定某款,通用性的方法却不多见。我总在想,既然虚拟机的结构是固定的,如果有一款工具能够记录指令流,那么按图索骥,也许能发展出一套通用的分析方法来。其实OD(OllyDbg...

    分类:技术文章 时间:2017-01-14 18:25 我要评论(0个)