订阅RSS：

标签：安全

登录和忘记密码逻辑中的坑-不要回显账号不存在

登录功能每个系统都有，而且是必不可少的兵家必争之地，无论是开发还是用户甚至是黑客都会首先瞄准这块阵地，关于登录的逻辑网络上讨论的已经很多了，但有一个坑是新手比较容易遗忘的，那就是在登陆或者忘记密码的功能中，返回的消息会透露账号不存在的情况。

进入阅读

v2ray-core在v4.23.2版本之前存在重大安全漏洞，可导致服务器遭到主动探测特征识别，请大家尽快更新

v2ray-core在v4.23.2版本之前存在重大安全漏洞主要包含两个漏洞：HTTP伪装存在潜在的特征识别风险 #2537、vmess协议设计和实现缺陷可导致服务器遭到主动探测特征识别(附PoC) #2523，截止本文发出前，最新版本是v4.23.4，已经对这两个漏洞进行了修复，请大家尽快更新。

进入阅读

隐身模式浏览器也会收集信息谷歌被索赔超50亿美元

谷歌在周二被提起一项集体诉讼：被指控通过设置为“隐身”模式的谷歌浏览器（Chrome）跟踪用户的互联网使用，而侵犯了数百万用户的隐私。原告称，即便用户使用了隐身模式（Incognito mode），谷歌仍会收集人们浏览网页时的信息。

进入阅读

【安全通告】Fastjson <=1.2.68 全版本远程代码执行漏洞通告

Fastjson存在远程代码执行漏洞，autotype开关的限制可以被绕过，链式的反序列化攻击者精心构造反序列化利用链，最终达成远程命令执行的后果。此漏洞本身无法绕过Fastjson的黑名单限制，需要配合不在黑名单中的反序列化利用链才能完成完整的漏洞利用。

进入阅读

前后端分离项目接口数据加密的秘钥交换逻辑（补充：MITM中间人攻击）

之前我写到《前后端分离项目接口数据加密的秘钥交换逻辑（RSA、AES）》，解释了前后端在交互数据时候的加解密策略，随着我对网络编程的理解和掌握，两个月后，我必须再写一篇补充的文章，来给我之前的文章打个补丁，因为使用不当还是无法做到绝对安全，上一篇文章没有提中间人攻击，这次我补上。

进入阅读

华为 L20 安全专家为 Linux 内核提交补丁被发现漏洞，华为回应称与公司无关

一位华为 L20 首席安全专家在 GitHub上发布了一个 Linux 内核强化补丁 HKSP ，不过，有意思的是，这个补丁很快被开发团队 grsecurity 发现了一个“轻而易举就能利用的”漏洞，立刻引起了热议。

进入阅读

Thunderbolt（雷雳/雷电）接口惊现安全漏洞 2019年前的这些电脑小心了

据外媒报道称，日前，安全研究员发现了一个新的安全漏洞，该漏洞可致使2019年前生产的数百万台电脑很容易受到物理攻击，而攻击的目标是一个共同的组件:Thunderbolt端口。据安全研究员BjornRuytenberg透露，所谓的“Thunderclap”安全漏洞，是利用Thunderbolt附件授予的特权直接内存访问（DMA）来访问目标设备。除非采取适当的保护措施，否则黑客可以使用该访问权来窃取数据，跟踪文件和运行恶意代码。“黑客可以在几分钟内读取和复制个人电脑上的数据，即使电脑处于锁定或休眠状态。”

进入阅读

苹果电邮应用惊现安全漏洞！或被黑客利用了八年

美国网络安全公司ZecOps的研究人员于当地时间周三宣布，他们在苹果iPhone和iPad的电子邮件应用程序中发现了两个零日漏洞。研究人员说，这两个漏洞的变体甚至可以追溯到2012年发布的iOS 6身上，这意味着黑客已经利用它们对iPhone和iPad用户进行了长达八年的攻击。如果设备被感染，用户甚至不知道他们正在被黑客攻击。

进入阅读

前后端分离项目接口数据加密的秘钥交换逻辑（RSA、AES）

在前后端分离的项目中，往往需要传输一些敏感的信息，例如密码、金额等，签名验签算法只能保证数据不被篡改，但是却无法对数据进行保密，如果用户输入的密码明文传输，就会被网络中的节点截获，虽然大部分网络运营商并不会去截取网络传输的内容，但是不能排除用户连接的WiFi网络是不是钓鱼网络，所以在传输敏感信息的时候需要加密，本文就讨论如何安全的让客户端和服务器交换秘钥。

进入阅读