V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  pusheax  ›  全部回复第 3 页 / 共 10 页
回复总数  182
1  2  3  4  5  6  7  8  9  10  
2022-09-27 20:07:05 +08:00
回复了 v2defy 创建的主题 程序员 2022 年了,黑客攻击的手段还是 PHP 和 sql 注入那老一套吗?
SQL 注射远不止存在于 Web 应用。
举个例子,C/S 架构的应用程序,也可能存在 SQL 注射。像 TDS 协议,流量无法全加密,配合 ARP 欺骗的手段,就可以执行任意 SQL 语句。
目前来说,SQL 注射还是影响十分广泛的安全问题。因为它不像中间件,或者操作系统的 NDay ,可以通过打补丁修复。
这一类与开发者水平强相关的漏洞,可能永远无法根除。
粗略看了一下,可能存在一些安全问题:
1 、老版本中间件的安全漏洞,如 PHP5 的%00 截断、Nginx 的一些 DOS 漏洞。
2 、敏感文件泄露,看起来网站目录下可能存在 SQL.txt 、www.zip 之类的文件。会被目录扫描扫出来。
3 、账户认证或者 XSS 、CSRF 一类的问题。
至今没给黑产暴打,然后脱裤,也是难能可贵(也可能是被脱了没发现
也许某一天被黑产盯上了,就不得不重构了。
2022-08-17 18:29:08 +08:00
回复了 HashV2 创建的主题 程序员 做学校的官网后端可以用 Python 吗?
从头开发的话,语言其实和安全性关系不大。
php 有一堆函数安全性不好,可能造成文件包含、代码执行。
vue 接口信息全包含在 JS 文件里面,容易出未授权访问。
每个语言都有各自的危险函数、危险写法。
还是得看开发者安全编程的知识储备,或者有没有专门负责挖洞的测试人员。
如果没有相关知识储备。最好就是用开源系统。关注漏洞通告及时上补丁即可。
比如 WP ,不用第三方插件的话,严重漏洞出的很少。
或者就干脆用静态。CMS 没什么交互需求,静态站点,只开放 80 和 443 端口,是最为安全的。
而且太久不玩还要罚我掉段。
打游戏和上班一样,没意思
之前玩 FPS ,输赢基本看个人水平。
王者路人局,太依赖匹配的队友,但凡有一个挂机,技术再好也赢不了。
不太理解这一类游戏怎么火的起来,个人努力意义不大,更多依赖运气和匹配机制。
尤其到了接近王者的段位,永远赢一输一,偶尔施舍几把让玩家上一个段。
感觉就和巴甫洛夫的狗一样,没意思。
2022-06-24 00:34:46 +08:00
回复了 iapplebear 创建的主题 PlayStation 5 第一次玩 ps5 就被劝退
好多人提地平线啊。
原来不止我一个玩游戏就是去看看风景的
2022-05-25 14:54:05 +08:00
回复了 christin 创建的主题 问与答 牙齿上有个洞咋整
如果快空了一半,大概率得做根管治疗。
也就是先填药,把牙髓杀死,然后掏空牙髓,清腐,填充树脂。填进去的药得留半个月这样。
还挺折磨人的。但是一直不补的话,可能会蛀进颚骨,会更加麻烦。
如果运气好,没有蛀进牙髓,那么就把牙冠掏空,填充树脂,当天就可以结束。
掉牙还是不至于的,如果蛀的很严重,医生会在根管打个桩。
至于如何确定是否得做根管治疗,即使是拍了 x 光,医生也不一定能百分百确认。
现在能做的,就是天天刷牙,然后清理牙洞内的污物。解封了还是尽快求医比较好。
不要相信淘宝上的那些自己填牙的工具,那些是真的谋财害命。
2022-05-24 16:19:10 +08:00
回复了 Zien 创建的主题 程序员 大脑多线程强迫症
有点 adhd 的感觉,但又有点像强迫症?
adhd 患者无法长时间专注于一件事情,有些人表现为多动甚至有攻击性,另一些会在自己内心有无限的小剧场。
如果 lz 认为自己的情况影响了正常生活,不妨去找点 adhd 量表做做,或者去医院寻求专业分析。
2022-05-17 11:07:18 +08:00
回复了 13936 创建的主题 知乎 你人生中最引以为豪的一件事情是什么
十几岁为装逼学网络安全,到现在赶上风口成了正经工作,工资还不低。
十年间坏事做尽,从小学黑网站挂 qq ,到初中黑电脑偷考试题,高中做外挂写木马,改学校水卡刷钱,黑门禁逃学,改成绩、网上社工别人撕逼,CTF 比赛搅屎打平台。
隔着屏幕真是把青春期的叛逆无限放大,还好当年网安法尚未出台,小打小闹没人追究。不然最引以为豪的事情可能就是还没进过局子了。
2022-05-11 10:02:03 +08:00
回复了 isno 创建的主题 知乎 你最大的损失什么?
操,一直认为 10 年前后没买入 btc 是一大损失。
看了楼上的几位,释怀了。
就我这种股票都在高点买,低点抛的。
在那个年纪,即使靠 btc 赚了点小钱,迟早也会吐回去。看着 btc 从几十块涨到 600 ,我大概率拿不住。
投机挣来的钱大概率也要因投机亏出去,看来这种东西还是做做梦就好。
如果讨论碎片文件读取,其实不能用常规思维去思考。
raid0 的连续写入性能确实会有明显提升。但说到 4k 性能,受其它因素影响很明显,如阵列卡性能。
之前贴吧有老哥测试 SATA SSD 组 Raid ,和傲腾 SSD 组 Raid ,4k 性能提升很有限。
其实目前顶级 SSD 单盘的 4K 已经很夸张了,不妨关注一下 SSD 本身?走 PCIE4 的顶级 SSD 速度是可以比一般的 SSD 速度 x2 更快的。
还有缓存的设计,钱多可以全砸内存上,做特别大的 mem cache 性能提升会更明显。
2022-05-07 09:56:45 +08:00
回复了 Zhancha 创建的主题 职场话题 这样的公司是正常的吗?
啥行业?
有些特殊行业,比如信息安全,确实存在官家把奇奇怪怪的单子外包出来用这种模式做的。然后项目奖金大于基本工资也是有的。
但如果是传统开发的话,除开菠菜之类,为啥会有这种保密需要?感觉是传销或者黑产的可能性比较大。
正在做相关的项目,原计划用 pi zero ,鉴于涨了一倍不止,目前转而去用路由器芯片跑 openwrt 。
真正商业化的项目树莓派可能不是首选,但是小型的、极客型的开源项目,用树莓派的很多。
像 arduino 这一类开发版,简单的程序可以跑,但是要做复杂一点的协议,比如 USB ,就缺乏硬件支持。
当然,换到 esp32-s2 一类的板子,是有这一类支持的,但是对于 usb 上比较冷门的协议(我项目中涉及的是 UVC ),从无到有开发量会十分巨大。
所以树莓派的 linux 支持对于非专业开发者来说是巨大的优势,要啥支持直接 apt-get 就行。
当然,跑 linux 的板子很多,但是要说到供应的数量和稳定性,至少在它涨价之前,树莓派是最被广泛接受的开发版。

不过话说回来了,现在涨幅超过树莓派的芯片多了去了。之前选型的一个 hdmi 芯片,单价已经涨到了比现有设备成品更贵的程度。买产品拆芯片,不是玩笑话。
2022-04-26 16:12:09 +08:00
回复了 XiaoGouBa 创建的主题 问与答 上网行为管理软件能看到微信聊天记录吗?
可以,但是需要预装后门。如果是自用设备,接入公司内网,则不会。
比如 sxf 的 AC 流量审计设备,会提供一个 agent ,装在目标电脑上。
其实就是一个根证书,通过它,可以解密 SSL 流量。
AC 有一个专门的功能就是查询微信聊天记录的。
还有 https 网站的浏览记录,QQ ,邮件及附件之类的
2022-04-25 09:17:21 +08:00
回复了 liuidetmks 创建的主题 程序员 国密标准推行不太顺利的样子?
RSA 和 ECC 都曾传闻存在后门。要知道,DES 的 s-box 直到现在大家都不知道老美为何那样设计。
所以 sm 有没有存在的必要性呢,我觉得是有的。
至于推行,在某些行业和部门,是有半强制推行的。比如金融部门,是否使用 sm 也是安全评估的条目之一。
2022-04-22 13:40:54 +08:00
回复了 airbotgo 创建的主题 阅读 世界读书日到了,你有什么值得购买的书推荐?
《饱食穷民》
讲日本泡沫经济破裂,陷在内卷与债务中的百姓的故事。
摘一段豆瓣上的简评(豆瓣 @洛艺洋):
“我以为在读现在的我国,电视台工作人员累死,加班 996 ,大城市通勤时间过长,房价贵,每天时刻一个微信就让你继续工作…… 第二章一直在重复性的放采访论据,读得好累 越读越觉得可怕,因为文章中的那些深渊,在现代生活中,我很可能不小心就会踏进去,想起了《蜂鸟》中的台词“人要怎么生活呢” 本书在最后提出的问题或者正是答案,思考一下,你究竟想要什么样的人生”
1  2  3  4  5  6  7  8  9  10  
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1420 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 35ms · UTC 23:58 · PVG 07:58 · LAX 15:58 · JFK 18:58
Developed with CodeLauncher
♥ Do have faith in what you're doing.