2015-12-08 19:17
绝大多数开锁方法都能找到对应的类似软件漏洞。比如有种常见的问题大致相当于后台页面未验证 Session,所以登陆密码设再复杂也没用。昨天给两个同事演示了一下,把大家惊呆了,现实世界漏洞带来的冲击感还是很大的。
2013-02-20 21:47
我刚才转@李淼在微博 的两条微博同时也评论在原微博下,但现在评论似乎不见了。不知道是不是心虚,我愿意相信是服务器出问题了。 //@李淼在微博: 好的,但原帖保留,否则科学主义者说你删原帖了,你心虚了吧。//@张虎-TigerZ: 了解,那这一点我道歉。但原帖明明是个文字逻辑陷阱,不建议继续传播
2014-03-07 12:06
🔗如何从根本上防止 SQL 注入? - 知乎 “SQL注入根本就不是漏洞而是功能,这就像是操作系统的管理者权限一样……事实证明,开发者无论多么关心安全性,总会有2B的用户绕开各种限制把事情搞遭然后归咎于开发者。强制使用参数化查询能解决问题?别逗了,我拼接完了然后传个空参数进去不行?”