sm_Bo的博客

1.sql 注入漏洞 2.xss 漏洞 3. csrf 漏洞 4. 目录遍历漏洞 5. 上传漏洞 6. 暴力猜解漏洞 7. 权限控制漏洞 8. 命令执行漏洞 9. 会话管理漏洞 10. 接口保护 参见唯品 开发安全制度与规范（3） http://ilearning.corp.vipshop.com/resmgt/resource!player.action?decorate

1.手机和电脑，不能随便装东西，会有窃取信息的程序藏在里面 2.账号密码不能在不明平台填写，可能是伪造的窃取密码 3.公共wifi不能连，密码泄露

一. sql注入 首先第一个危害就是没有账号密码直接伪造登录，通过写恒等式（1=1）加 注释（–） 更屌的是通过错误信息（服务器不应该将错误信息暴露给用户）来一步步获得整个数据库数据（前端验证都可以被绕过，后台必须验证） ‘ or 1=(SELECT @@version) – t’ or 1=(SELECT top 1 name FROM master..s

Background 接口不妨刷分分钟作死 Analysis 1.跟csrf 有点类似,要调用接口必须使用一些方法来验证你的身份,token就是最有效常用的一种,其实本质上也是接口防刷 2.现在很多平台,类似阿里与,腾讯,要使用他们的接口都必须使用他们的验证方法(都是动态算法,这种验证机制下次还要好好研究一下) 3.跟ddos攻击不同,那个是通过一堆包过来堵着带宽,别人的请求就进不来了

背景分析 简单来讲，对称加密就是加密解密都是同一个秘钥，而非对称加密就是加密用一个公钥，解密要用自己保存的秘钥。 reference 介绍 java实现rsa算法 如何用通俗易懂的话来解释非对称加密?