V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  xoxo  ›  全部回复第 32 页 / 共 45 页
回复总数  893
1 ... 28  29  30  31  32  33  34  35  36  37 ... 45  
2014-08-16 23:32:16 +08:00
回复了 masterqing 创建的主题 问与答 想买个 ssl 证书
@mornlight 感谢 at.
楼主 如果 想要便宜的泛域名 证书 ,找我吧
肯定SSL会错误的,因为服务器不是你的,你的域名的证书你配置不上去。腾讯配置 的也顶多只有QQ.COM下的域名。
2014-08-15 22:45:37 +08:00
回复了 maxsec 创建的主题 分享发现 从发现微信官方高危漏洞说起
期待作者发表原始POC
2014-08-15 21:20:02 +08:00
回复了 maxsec 创建的主题 分享发现 从发现微信官方高危漏洞说起
@zjj 根据你回帖的仇恨度推测,以你的水平,应该进不了互联网公司安全部门 : -)
2014-08-15 21:18:28 +08:00
回复了 maxsec 创建的主题 分享发现 从发现微信官方高危漏洞说起
@ccbikai 根据我以前做过的微信平台 开发经验 来看,你说的uid是微信返回的openid;
楼主所说的是接入微信公共账号的第三方平台本身用户体系的uid,

通篇全文,漏洞 确实 应该评级 为高危;因为影响到的不 只是腾讯 微信,还有第三方接入微信的所有服务,均受到了漏洞潜在的安全威胁,

个人认为此漏洞的影响力不亚于拖掉腾讯的库。评级为中实属腾讯安全响应的误评。
2014-08-09 00:11:38 +08:00
回复了 pp3182429 创建的主题 程序员 除了防止重复提交,token 可以防止对接口的暴力请求吗?
@pubby 再仔细看看我分析的过程你就明白没用的。
2014-08-06 22:48:33 +08:00
回复了 pp3182429 创建的主题 程序员 除了防止重复提交,token 可以防止对接口的暴力请求吗?
@20150517
我所言均为线上生产代码实战总结,理论派可以去试试。
2014-08-06 21:19:14 +08:00
回复了 pp3182429 创建的主题 程序员 除了防止重复提交,token 可以防止对接口的暴力请求吗?
楼上的同学们没看懂楼主的问题;
楼主说的是什么问题呢?

重复提交,表面上是重复提交,威力不大,但实际。。。我们来分析分析:


假设一个用户,余额100,平台恰好有个提现的地方,理所当然用户最多只能提取100元。

我们来分析下程序在生成提现数据的过程:

开启事务;

用户发起一次提现请求,到达应用后,程序判断用户余额是否够用,如果不够就跳出事务了;

然后扣除100元,

然后再提现数据表中插入一条数据,

到这里还没结束,因为事务还没提交,当上面进行顺利时,到达这里就应该commit提交了,如果上面操作任何一步异常,就rollback回滚了。


看起来挺完美的过程,其实!弱暴了!

为啥?



假如用户发起两个请求,而且同一时间(1/1000秒级)请求到服务器,
再走一次上面的逻辑:

请求一达到服务器 请求二达到服务器
开启事务 开启事务
余额检查->通过 余额检查->通过
扣除余额->done 扣除余额->done
插入提现记录->done 插入提现记录->done
提交->commit(); 提交->commit();


两边几乎同时进行一样的操作,为什么没被拦截掉只处理一个请求呢?因为余额检查时,别的请求的事务未提交,在此请求内select的数据还未生效,所以两个请求处理都通过了检查。



那怎么防御呢?

token?
扯J8蛋!token用来防御这原子级别的攻击?别说session了,即使你重写php底层,让session动态调用php的内存也无济于事。原因自己脑补;

队列是终极解决方案。

然后有一个临时方案,提现的表中肯定会有time/datetime之类的字段,在建表时将这个表中的time/datetime + userId 设置为联合主键,然后事务在插入提现数据时,因为时间同一秒且同一用户所以数据冲突,只会成功一条,然后事务报错启动回滚,近乎完美。唯一的瑕疵就是假如前后误差1ms, 然后恰好前一个时间是xxxx1,后一个时间是xxxx2,这样就扯痛蛋了。。。千分之一的概率。
2014-08-05 21:44:37 +08:00
回复了 endintro 创建的主题 问与答 为什么国内一些公司的 SSL 证书卖得那么贵
@yangzh 好像他家免费只支持WINDOWS操作系统
2014-08-05 20:59:18 +08:00
回复了 endintro 创建的主题 问与答 为什么国内一些公司的 SSL 证书卖得那么贵
无冒犯之意,楼上几位同学的回答虽然有道理,但更多是带着对“国产”鄙视而评论的。

中立一点的答案是:

首先,证书执行的是x509标准,世界上所有受到浏览器自带信任的证书均由webtrust机构进行审计,如果一家机构的签发资格被滥用,webtrust和各大操作系统、浏览器厂商会迅速发布更新补丁,移除对这家CA的信任;

SSL可信证书标准是严格被执行的,如:
申请Organization Validation证书,你需要提供注册局(工商局)注册文档、组织机构代码证、法人身份证明等等资料,然后CA会去工商局网站核对,然后还会验证电话等等步骤;
申请Extended Validation证书,不仅需要你进行上述的验证环节,还需要你的公司资料能够在第三方数据库中查询得到,包括:你的公司的电话需要在黄页上查询到,你的公司资料能够在D&B(邓白氏)等处查询到并且与注册信息一致;
楼主所问的,国内证书超级贵的,就是上面两种啦

至于十几美元,甚至十几元的证书,是哪种呢?这个问题问得好,在零几年的时候,国外一家叫做GeoTrust的CA率先推出不走验证组织、个人的证书,那不验证组织个人如何防止被冒申请呢(冒申请可能被利用来“中间人攻击”)?
这就是域名验证(Domain Validation),申请过程只验证域名有效性,无其它步骤,十分便捷并且经济。
因为过程不繁琐,我所代理的域名验证产品在验证域名后只需1分钟就下证书了,所以价格相对企业验证、扩展增强验证(Wosign所谓“超安”)证书就要便宜很多,便宜多少呢?单域名证书能卖到几美刀一年,泛域名呢?Google能找到最便宜的是60几美刀/年的。

如果有需要购买证书的朋友可以联系我,QQ 1326570297,注明来自v2ex有一大波优惠,至于价格可以看我以往发过的帖子。
2014-08-03 17:28:37 +08:00
回复了 tidezyc 创建的主题 MacBook Pro 13rmbp 的屏幕居然破洞了
楼主昨晚撸得太厉害了?
2014-07-01 00:19:21 +08:00
回复了 dongcheng 创建的主题 云计算 Ucloud 华东区本周第二次出现故障了
喜大普奔
2014-06-29 22:11:57 +08:00
回复了 Livid 创建的主题 iDev 在 iOS 8 Beta 2 上用 App Store 好像有点问题?
很不稳定的一个测试版本!我也后悔升级了
2014-06-29 11:43:17 +08:00
回复了 peartail 创建的主题 昨晚上的梦真是我这辈子最恐怖的体验
我做过最恐怖的梦就是在麦当劳吃东西的时候 一个小孩来抄我的电话号码
2014-06-24 22:35:11 +08:00
回复了 caizixian 创建的主题 程序员 关于沃通 SSL 证书
这是x.509标准里约定的交叉验证.

有购买single domain,wildcard domain SSL证书可以找我, 物美价优. 联系方式见 /t/95427
2014-06-23 22:58:27 +08:00
回复了 caizixian 创建的主题 SSL SSL 证书哪里撸比较靠谱?
@shiniv Yes
2014-06-22 15:06:58 +08:00
回复了 heliumhgy 创建的主题 Google Google 湖南电信已解封
马上湖南要被封了~
2014-06-22 15:05:32 +08:00
回复了 caizixian 创建的主题 SSL SSL 证书哪里撸比较靠谱?
@caizixian 你可看我以往发过的帖子, 可以了知道所有想知道的
1 ... 28  29  30  31  32  33  34  35  36  37 ... 45  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1778 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 30ms · UTC 16:35 · PVG 00:35 · LAX 08:35 · JFK 11:35
Developed with CodeLauncher
♥ Do have faith in what you're doing.