首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Coding
V2EX  ›  shuimugan  ›  全部回复第 1 页 / 共 8 页
回复总数  158
1  2  3  4  5  6  7  8  
56 天前
回复了 lisicong 创建的主题 Android 旧的安卓手机/平板如何再次超流畅?
@luckylo 两三年前的顶配 现在真不一定是入门。比如小米 6
32g 内存的版本 11 月出来,很诱人,10999 元有 32g 内存,2t 固态,4k

内存是板载的,建议一步到位上 32g
60 天前
回复了 Frank9621 创建的主题 深圳 给我家猫咪找一位靠谱的新主人
猫咪很可爱,希望能找到个好主人
是的,很难.
我的需求是屏幕起码 72%ntsc 色域,可扩展到 32g 内存,方向键大小一致,选了一大圈到后面买了 xps15
电视投屏试了不少方案,个人建议用 steam link 串流
当然是支持啦!期待又一个开源堡垒机
你提到的"因为熟悉,你知道那里怎么运行的"和安全问题其实没有很大的关联,安全问题主要是和人员的安全能力以及安全意识有很大的关系.

我就用回 PHP 举例,"根据用户输入的 url 发起请求"这个需求,不用轮子,只用内置 curl 函数,你可能觉得几行代码写出来的,然后呢?

对于这个 url 的检测,问题可多了.

先从协议开始,如果没校验协议,dict 协议可以用来探测内网无密码 redis,而 gopher 则可以构造出 FastCGI 协议,攻击 PHP-FPM,使其执行任意代码.

当 url 的域名指向内网的时候,则可以探测内网无保护的 http 服务,比如探测 Elasticsearch.
当你尝试先校验一下域名是否指向内网的时候,DNS-rebinding 了解一下?

在你没有安全技能和安全意识的情况下,就算你对自己的代码很熟悉,你也完全不知道漏洞在哪里.而当你有安全技能和安全意识的时候,你在开发对应功能的代码时,你就会自然而然地做很多防御手法,以及 review 你依赖的轮子它的内部实现.

最后,OpenRASP 的实现方式可以了解一下,通过和 runtime 结合的形式,对于函数的入参做检测,可以在 runtime 层做防御
如果你懂安全,自己用框架的时候顺便审计下就行了。
如果你不懂安全,自己造一个轮子,挖你的漏洞是很简单的事情
121 天前
回复了 y35u 创建的主题 分享创造 一个专注安全技术文章的订阅站
楼主站点的流量挺大的啊,我的乌云漏洞库镜像最近看到来源最多的就是这个导航
每次看到 Atom 的讨论我都会看一下它最近的更新,然后满怀信心地下载最新版使用,结果每一次使用都是不到半小时卸载
xdebug 的 trace 就是用来干这个的,每一个函数的调用以及传入的参数和返回值都会记录到指定文件里
用 nodejs 封装一下 puppeteer,想怎么控制都行
185 天前
回复了 gaocc 创建的主题 问与答 新买的笔记本求鉴定,惠普的 EliteBook 735
方向键反人类
203 天前
回复了 kangzai50136 创建的主题 程序员 有哪些可以升级内存的轻薄本?
刚出的戴尔灵越 7950/7951
很棒,最近在团队内部推 nextcloud,以及基于 Collabora 的办公文档协作,先收藏留作备用了.
264 天前
回复了 binaryify 创建的主题 互联网 支付宝数据库泄露?
准备好一千万了吗?
297 天前
回复了 FakeLeung 创建的主题 Android 入了台红米 note7.
这个手机是真的香,我买来后直接就可以装谷歌相机了,拍夜景爽到爆炸
301 天前
回复了 Colorful 创建的主题 前端开发 前端如何做好安全这块?
0 元支付属于逻辑漏洞,归属后端.

前端能做的安全比较少,常做的有
* 富文本过滤:一些实时预览功能或者后端没有一个业界最好用的富文本过滤方案时,需要前端做富文本 XSS 过滤,可以使用* js-xss 库处理.防界面伪造 /劫持:2015 年左右,淘宝商品详情页,可以自己构造 div 和特别的 css,覆盖中差评区域,使得中差评* 无法点击.
* 保护隐私,通过 meta 标签控制 referrer 信息不外传
* 通过 meta 标签加入 CSP 策略
324 天前
回复了 frylkrttj 创建的主题 硬件 大家用过最不耐用的电子产品是啥
1  2  3  4  5  6  7  8  
关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   999 人在线   最高记录 5043   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.3 · 52ms · UTC 22:06 · PVG 06:06 · LAX 14:06 · JFK 17:06
♥ Do have faith in what you're doing.