2013-03-28 20:23
中午听小四说了个有趣的老新闻,刚才一搜,果然:🔗网页链接。1988年美国总统里根去苏联访问,戈尔巴乔夫领着他去红场见“群众”,并主动请里根向“群众”了解苏联的人权问题。前几年这张照片又被人翻出来,是因为人们发现左边挂着相机的这名“群众”很像当时在克格勃就职的普京同志……
2013-03-28 16:12
我觉得Mandiant的APT1报告中最大亮点并非技术溯源手段,而是情报分析技巧。这部分知识是黑客们(无论攻守中的哪一方)普遍缺乏的。电影《死亡笔记》中,夜神月挥笔即可杀掉任何地方的任何人,这案子似乎毫无线索可追,但L正是用了情报分析的方法,通过对时间的统计,得出了杀人者是个学生的结论。
2013-03-28 14:58
支付宝这次的“泄露”,我觉得核心问题是不是把sign字段用GET方式提交并使其出现在URL里?当然,如果有别的特殊需求不得不这么做就另说了。Session、Authorization类信息不到万不得已,应尽量用POST方式提交,不能指望用户知道什么URL能往外贴,什么不能。
2013-03-28 14:37
renew一下,配合@aullik5 最近发那几篇和@阿里_云舒 的这条知乎回复🔗网页链接
2011-11-02 18:46
我去年分析过一些国产电商ERP系统,几乎都没考虑安全性。访问控制完全靠客户端判断,任何一个终端都有读写数据库中所有相关数据的权限。也就是说,只要控制任意一个客服的电脑,至少可以拿到整个ERP的数据,很可能还包括对外网站的数据。而控制一个客服的电脑有多难呢?