• 这是白猫
    2021-12-23
    感觉最多的泄露还是打日志造成的,尤其是前台日志。为了调试方便吧日志直接打印在前台。发布时也没有删除。后怕呀

    作者回复: 很多泄露问题其实是上线之前没有经过安全审计造成的哟,开发过程为了方便总是有很多小魔法操作哒ヾ(◍°∇°◍)ノ゙

    
    3
  • 余昭
    2021-12-26
    越权问题:水平越权和垂直越权,通过修改参数例如id等获取其他敏感数据。目前主要是从代码设计层面排除,不知道能否使用工具检测出来。

    作者回复: 童鞋说的很正确哦,目前现有的安全工具还比较难,主要难点是难以判断数据合法性,因为数据格式并没有错误。在课程的后半部分,我们会一起搭建一个属于自己的个性化智能安全检测平台,就可以解决这类问题了哟~ヾ(◍°∇°◍)ノ゙

    
    2
  • ifelse
    2023-03-04 来自浙江
    不错,上节课的目录逃逸平时开发的确没考虑到。
    
    