摘要： http://tech.qq.com/a/20141226/006766.htm?pgv_ref=aio2012&ptlang=2052 阅读全文

摘要： 结合YS业务分析oauth协议风险问题描述： YS 使用QQ互联的openAPI实现QQ登录YS的功能，使用该功能需要在腾讯注册登录时的回调地址，根据oauth协议，用户的code或者access_token将被发送到这个回调地址，而目前出于域名变动等各种因素考虑，目前使用的是通配符域名进行注册，这... 阅读全文

摘要： 这是之前写的一篇关于建设产品安全团队的建议方案，并就此跟想组建安全团队的业务BG领导进行了友好且热烈的交流。1、总体思路：1.1、 明确需要做哪些事情，并按优先级排序，再找到合适的专业人员去实施。1.2、 人员（特别是资深人员）并不总是可获得，有些事情短期内也不太可能做得起来，初期花钱买一些安全产品... 阅读全文