• 首页

  • 归档

  • 分类

  • 标签

  • 朋友圈

  • 更多
    • 电影
    • 相册
    • 公众号
    • Instag
    • GitHub
    • Twitter

  • 搜索
  • ?人在线
Hi, Kainy
Hi, Kainy

Kainy Guo

碰到的事因你而生遇见的人为你而来

10月
05
东写西读 互联网络

质疑小米帐号体系安全性的

发表于 2015-10-05 • 字数统计 885 • 阅读次数

前段时间发现自己的小米帐号被盗,因为绑定过手机邮箱,本以为可以很方便地找回;却发现手机也被重新绑定了,邮箱被解绑,很显然是被恶意申诉了。随后提交的两次申诉都被驳回,无奈只好找客服反馈,还特意截了早期密保手机设置成功和异常登录提醒邮件的图。本以为胜券在握,上午接到的电话反馈才大吃一惊。

首先客服MM确认了帐号31385972目前的属主不是我的158***手机;原因是帐号被申诉通过,原有的绑定信息都被解除,而提交的两次申诉失败原因其实是因为客服在核对申诉信息前会联系目前绑定该帐号的手机确认,盗号者自然否认提出申诉了,于是申诉流程终止……

阅读全文 »
06月
06
学习笔记 建站❤编程

羊毛党识别

发表于 2015-06-06 • 字数统计 757 • 阅读次数

这几天和同事在邮件组里讨论用户识别的方案,把其中碰撞出的火花纪录如下:

IP不是一个好办法,单独的canvas也有些问题,我们可以考虑结合,另外,我们再调研一下看有没有更好的方法能解决我们的问题,请大家群策群力。

Canvas指纹可以用来验证用户,我看网上有人测试的成功率在90%以上,但是canvas指纹指向的是机器而不是用户本人。

所以我认为要想把羊毛党识别出来光靠Canvas指纹是不够的,要想识别用户必须先了解用户。

阅读全文 »
05月
17
东写西读 心路历程

掌握这两招,让你变身K吧人气达人——论KM上的两个CSRF漏洞

发表于 2015-05-17 • 字数统计 791 • 阅读次数

从绿盟科技的《2014互联网金融安全报告》中可以看到,XSS和CSRF漏洞依然是影响比较突出的两个安全问题。

在这里分享下之前发现的两个内网知识管理系统(KM)的问题,KM系统个人主页的访问记录和关注操作都接受GET请求,只需要构造请求就可以实施一次CSRF攻击。

先看看增加关注者的方法。通过网页代码可以看到,在他人的个人主页上点击“添加关注”按钮时调用的是getJSON方法,且未验证请求来源,于是要欺骗系统就变得异常简单,只需要满足两个条件:

  1. 构造请求到关注接口;
  2. cookie中带有用户信息(用户已经登录)。
    阅读全文 »
05月
03
东写西读 生活点滴

茵特拉根温泉一日游

发表于 2015-05-03 • 字数统计 385 • 阅读次数

跟了个华侨城一日游的团,始发点基本上齐,没有中途上客所以到得比较早,请容许我用一张全景图开场:

[![]https://honor.kainy.cn/wb/https://wx2.sinaimg.cn/mw1024/4d6e3e3bjw1erpz95lf4hj25ie0zr1ky.jpg)]https://honor.kainy.cn/wb/https://wx2.sinaimg.cn/mw1024/4d6e3e3bjw1erpz95lf4hj25ie0zr1ky.jpg)

拿着茶溪谷的门票发现游乐场已是人山人海,游乐项目几乎每个都要排队,那画面太美我不敢拍大家自行脑补。

阅读全文 »
04月
05
学习笔记 建站❤编程

微信webview远程调试

发表于 2015-04-05 • 字数统计 1436 • 阅读次数

1月10日,微信公众平台对外开放了微信内网页开发工具包(微信JS-SDK)。在广大开发者和微信营销圈内产生了巨大反响。

JS-SDK在丰富了HTML5应用能力的同时,也带来了开发复杂度的提升。主要有以下几个方面:

  1. 微信webview中的缓存、localStorage等特性与原生浏览器的差异
  2. 盲人摸象隔靴搔痒,无法给臭虫最直接的打击
  3. 市面上的各种调试工具增加额外的学习成本,不如直接使用已熟手的 开发者工具。
    在此背景下,开发者们需要一种更加便利的方式来面对挑战,提升效率。
阅读全文 »
1…3031323334…117
Kainy Guo

网友Kainy

关♥生活,关注互联网。

Email 订阅 RSS 订阅
582 日志
23 分类
Creative Commons

博客已萌萌哒运行(●'◡'●)ノ♥

跨时空APP下载 jsDelivr 提供 CDN 加速 Google Analytics 提供网站统计服务 SpeedTracker 前端性能监控。

© 2025 Hi, Kainy 由 Hexo 强力驱动 Theme By Sagiri v0.0.2 站点地图 闽ICP备10011360号

Made with by Kainy Guo