V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  zgzhang  ›  全部回复第 4 页 / 共 6 页
回复总数  102
1  2  3  4  5  6  
2020-07-22 15:06:30 +08:00
回复了 shoreywong 创建的主题 问与答 把公司内网穿透 然后被勒索了 我得付多大责任
@shoreywon 兄弟你这一波的确有点伤,我自己是搞网络安全的,老婆是律师,也经常给 v2er 免费咨询,如果需要你可以加下 VX:MTgyMTc3MzI1NDA=
@plusDiscuss 找个律师花点钱出个律师函,说明不付款后的动作,这样比较合法,而且还能震慑下
2020-07-07 10:15:12 +08:00
回复了 TIMIYANG 创建的主题 全球工单系统 因为咸鱼 APP 产品漏洞导致被骗
@TIMIYANG 直接 ASRC 提交个漏洞,提漏洞的时候别说客服投诉的问题。从一个安全从业人员的角度看,这是一个挺严重的问题。如果没有忽略你的漏洞,再拿着漏洞详情去找他们客服就行了。
2020-07-03 16:53:09 +08:00
回复了 maduoduo 创建的主题 全球工单系统 我服了,闲鱼把我封了!不知道我的理解对不对。
哈哈 作为一个风控开发工程师我能联想到咸鱼风控的无数技术细节。其实文字识别这个东西真的难做,这个锅要他们运营团队背的。
@tocherrygo 或许这个白帽子或者相关漏洞平台存在一定问题,但是你的说辞真的恶心。这个人既然提交了漏洞说明他并没有太多获利的想法。你可以联系相关平台问一下为什么没通知情况下直接公布 POC,而不是试图解决这个找到问题的人。
@chengkai 如果不是 IP 分布不是很广泛的话,写个流计算程序+nginx LUA 自动封禁就可以了
2020-06-10 17:25:44 +08:00
回复了 oldManPushCar666 创建的主题 信息安全 求助,怎么防止 API 接口被刷
说个真实的例子,用户注册登录的接口,产品经理打着用户体验的大旗,不让加验证码甚至拒绝接入风控+验证码的方案,上线一个周被刷了几 W 块,后面半夜给我们打电话声音都是抖的
2020-06-10 17:22:20 +08:00
回复了 oldManPushCar666 创建的主题 信息安全 求助,怎么防止 API 接口被刷
@oldManPushCar666 你们的产品怕不是没被锤过,这个情况最合理的方式是针对 99%的正常用户不谈验证码,剩下的高频访问 IP 怎么恶心怎么来,验证码+返回裁剪+投毒
2020-05-25 17:51:17 +08:00
回复了 ksc010 创建的主题 程序员 网站注册页面的短信验证接口被利用了,有一个思路
@ksc010 看你的描述 已经做了基本防御但还是被刷了,一般来说短信轰炸接口不会使用带有验证码的接口,是否是批量注册呢?可以关注下这批用户的后续行为。
2020-04-24 17:29:45 +08:00
回复了 zhuwd 创建的主题 程序员 V 友们有没有防止灰产爬虫的方法?
@mrzx 现在的 IP 地址供应商基本上都是会在 N 个地区用不同用户办理 N 很大的宽带,提供给客服的基本上是 VPS 或者是一个 VPN 账号,实际上就是把他的网络资源云化了,客户甚至可以通过接口指定出口 IP 的区域,类似这种 https://www.kuaidaili.com/
2020-04-24 17:08:27 +08:00
回复了 zhuwd 创建的主题 程序员 V 友们有没有防止灰产爬虫的方法?
@mrzx 问题的点不在于池子有多大,而是这种 IP 可能会被重新分配给正常用户,如果你的应用体量很大,这样引发的客诉是不可控的
2020-04-24 15:03:22 +08:00
回复了 zhuwd 创建的主题 程序员 V 友们有没有防止灰产爬虫的方法?
@mrzx @zhuwd 常年从事安全风控工作,说一下几点建议:
1. 不要做 IP 维度的对抗,黑灰产的 IP 资源早已不是来源于代理 IP,细节请搜索秒拨机
2. 增加黑灰产获取新用户的难度,注册环境各种图灵测试,针对虚拟号段的打击等手段,解决了用户问题,就解决了一半问题
3. 针对存量垃圾用户可以返回结果投毒,裁剪,不建议直接拉黑
4. 风控策略要尽量后置多变,不要被摸清楚规律
5. 最后如果数据敏感 可以收集证据走法律途径
2020-04-16 16:09:18 +08:00
回复了 sunzhenyucn 创建的主题 酷工作 上海 Golang 求面试机会
@sunzhenyucn 简历模板不错,可以 share 下吗
2020-04-15 15:32:30 +08:00
回复了 isblock 创建的主题 问与答 网站被完全抄袭复制前端代码的怎么解决?附撕逼截图
@isblock 老婆是律师,可以帮你免费出个律师函,需要联系我 MTgyMTc3MzI2NTE= 这种人太气人了
@kisshere 很早以前的笔记,请参考
XSS 的防御需要在特定的场景下使用特定的方法:
1. 变量在 html 代码中输出,这时的应对方法应该是使用 htmlencode
所谓 htmlencode 就是让浏览器不把这部分信息当做 html 代码处理而是当做纯文本。这样就避免了对原有页面信息的污染。一般需要转义的字符包括以下:<、>、&、"、‘、/这六个。
2. 变量在 html 标签的属性中输出 例如 <div id="abc" name=""><script>alert(1)</script ><""></div>
防御方法也是采用 html 编码
3. 在 script 内输出变量:
(1) 保证变量处在""内 "$test" 这样如果发起攻击的话,首先就要绕过双引号的封锁
(2)对变量进行 javascript 编码,对 script 内的特殊字符前加上\
4. 在事件内输出: <a href="#" onclick="funA('$var')"></a>可以通过如下方式绕过
<a href="#" onclick="funA('');alert('1');"></a>
也需要进行 javascript 编码
5. 在 css 内输出:首先要尽力控制这种情况,不要允许用户自定义 css 的 style 等内容,如果必须这样做需要用到 owasp 的 encodeForcss()函数
6. 输出到 URL,使用 urlencode 就可以避免了,但注意 http://这部分不要被转义否则不能完成功能
7. 处理富文本,由于富文本必须当做 html 解析,所以比较复杂:
(1)首先过滤掉比较危险的标签<form><iframe><base><script>,尽量使用白名单
(2) 尽量禁止用户自定义 css 样式 style 属性
(3)使用比较好的 xssFiter
8. Dom 型的 XSS:一般先进行一次 javascriptencode 再进行一次 htmlencode 才可以完全过滤
2020-04-02 09:35:10 +08:00
回复了 whwq2012 创建的主题 全球工单系统 闲鱼,请你修改下你的判定算法
关键词匹配敢加单个字真是够猛的
2020-03-27 09:28:41 +08:00
回复了 sszxcss 创建的主题 GitHub 轮到劫持 github.com 了
@127000 你说的应该是对的,绝不可能是某个小白黑客做的,不然不可能涉及到这么多家运营商,倾向怀疑是某个内部小白做的操作
1  2  3  4  5  6  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4236 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 39ms · UTC 05:27 · PVG 13:27 · LAX 21:27 · JFK 00:27
Developed with CodeLauncher
♥ Do have faith in what you're doing.