标签存档: 安全

Struts2框架安全缺陷《Webzine4文章》

看到大家都在刷幻影的planet,webzine地址:

http://secinn.appspot.com/pstzine/read?issue=4
我也投了一篇凑个热闹,《Struts2框架安全缺陷》:
http://secinn.appspot.com/pstzine/read?issue=4&articleid=3
本篇blog再贴一下,欢迎大家评论。
摘要

本文介绍了java开发流行框架struts2以及webwork的一些安全缺陷,并举例说明框架本身以及开发人员使用 框架时,所产生的种种安全问题,以及作者挖掘框架安全漏洞的一些心得体会。

推荐以下人群阅读

了解java开发 了解框架开发 了解web application安全 “网络安全爱好者”

[……]

read more–>

继续阅读 »

浅谈公众短信接口安全

网站给用户发送手机短信,已经是一种流行元素,几乎各大门户网站都有给用户发短信的功能。网站发送短信一般有主动和被动两种方式。主动方式,是让用户填写自己的手机号,之后发送。被动的方式,是用户发短信给某个网站提供的号码,之后网站回复。
朋友以前做过短信服务,短信接口毕竟不是免费的,虽然成本很低,但是大量的短信,也会让有些人心疼一阵。为了节约成本,为了防止用户发恶意内容的短信(欺诈、不“绿坝”等),网站都会采取加入验证码、不允许用户控制短信内容等防御。但是总会有人疏漏很多。
抓个典型:
某大型门户网站有个功能,发送“手机游戏”的下载地址给用户的手机。

[……]

read more–>

继续阅读 »