从绿盟科技的《2014互联网金融安全报告》中可以看到,XSS和CSRF漏洞依然是影响比较突出的两个安全问题。
在这里分享下之前发现的两个内网知识管理系统(KM)的问题,KM系统个人主页的访问记录和关注操作都接受GET请求,只需要构造请求就可以实施一次CSRF攻击。
先看看增加关注者的方法。通过网页代码可以看到,在他人的个人主页上点击“添加关注”按钮时调用的是getJSON方法,且未验证请求来源,于是要欺骗系统就变得异常简单,只需要满足两个条件:
跟了个华侨城一日游的团,始发点基本上齐,没有中途上客所以到得比较早,请容许我用一张全景图开场:
拿着茶溪谷的门票发现游乐场已是人山人海,游乐项目几乎每个都要排队,那画面太美我不敢拍大家自行脑补。
1月10日,微信公众平台对外开放了微信内网页开发工具包(微信JS-SDK)。在广大开发者和微信营销圈内产生了巨大反响。
JS-SDK在丰富了HTML5应用能力的同时,也带来了开发复杂度的提升。主要有以下几个方面:
关于云平台救火的方案,财富宝PC版上周五(很不幸地)率先实践了一把,提前暴露出以下可能遇到的困难:
1、云桌面中pawa的开发模式启动不了,主要影响文件监听功能,编译没问题;
2、云桌面中无法通过idesk安装密码控件;
问题一可能与dcloud中的磁盘是共享的有关,还没找到解决的办法,求助大家下;
由于PC版和e融都使用了密码控件,无法在dcloud中登陆,所以即便问题1解决了,还是需要在实体机搭一套开发环境,
但是实体机外网无法提交代码,代码改的需要人工同步到dcloud中提交,
不过bug修复一般不会有开发需求那么多的代码改动,这个问题应该只是影响效率。
由于云平台中进行开发存在上述已知的不便和其他不确定性,bug处理周期会比预期多的多。
所以需要先评估生产环境带bug的代码和最近一个版本的代码,对网站功能的影响,根据”两害相权取其轻“的原则,决定是否先进行版本回退。
为bug处理争取时间,同时控制bug影响范围。
版本回退需要有上一个版本的代码,PC版目前开发分支和主干分离,每次发版后,开发分支合回主干,所以主干中上一版本号的代码检出就是可回退的代码。
不过这个做法还是有时间和空间(dcloud磁盘空间有5G限制)上的成本,推荐的做法是提前在dcloud中存放前三个版本的代码备份包,这样基本可以把版本回退操作时间控制在2分钟内。
版本回退后就可以相对从容的进行bug修复、编译、自测、上传,避免由于时间紧迫产生次生事故。
以上是个人的一些思考,希望大家都用不到。