摘要:
上篇文章说到接口安全的设计思路,如果没有看到上篇博客,建议看完再来看这个。 通过园友们的讨论,以及我自己查了些资料,然后对接口安全做一个相对完善的总结,承诺给大家写个demo,今天一并放出。 对于安全也是相对的,下面我来根据安全级别分析 1.完全开放的接口 有没有这样的接口,谁都可以调用,谁都可以访 阅读全文
摘要:
开发中经常用到接口,尤其是在面向服务的soa架构中,数据交互全是用的接口。 几年以前我认为,我写个接口,不向任何人告知我的接口地址,我的接口就是安全的,现在回想真是too young,too simple。但凡部署在广域网的应用程序,随随便便的好多工具可以根据ip或域名扫描应用程序的所有暴露的接口, 阅读全文
摘要:
☞ ☞☞360度评估反馈实施全面教程☜☜ 前言 记得去年有次回老家,躺在卧铺位上听到临近铺位的几个中年妇女闲聊,听她们聊,大概知道她们是重庆的,刚从韩国旅游回来。她们聊到一个话题说人过了40慢慢感觉身体每况愈下,现在眼睛也开始花了。其中一个听起来有经验的总结道:可不是嘛,告诉你们个规律“四十八,眼睛 阅读全文
摘要:
时光如白驹过隙,继那些年被我玩坏的点子和创意-上篇已过一个月,平常忙活着和队友一起做产品了,挤得时间总结了下篇,分四个故事来说 自动发微博软件为啥做这个呢,淘宝客接口还没有限制以前好多玩淘宝客的。其中我发现有个淘宝客玩的挺特别的,他是在新浪微博和腾讯微博(当时还没有关闭),上通过时光机等一些定时发微 阅读全文
摘要:
漏洞描述 开发中文件上传功能很常见,作为开发者,在完成功能的基础上我们一般也要做好安全防护。文件处理一般包含两项功能,用户上传和展示文件,如上传头像。 文件上传攻击示例upload.php upload.html 上述代码未经过任何验证,恶意用户可以上传php文件,代码如下 恶意用户可以通过访问 如 阅读全文
摘要:
前言 继上次说的组合成立(几个程序员成立了个组合,扬言干过韩国女团),这次聊聊组合成立之前捣鼓的一些想法与创意。 今天说下我做一个网站的心路历程,从无到有,从生到死,经历了怎样的险象环生,且听我娓娓道来。 播种 2012年9月,了解到淘宝客,随即搭建了个礼品导购网站,也是自己的第一个部署在外网的网站 阅读全文