验证码的初衷是人机识别。不过大多时候，只是用来增加一些时间成本，降低频率而已。

如果仅仅是为了消耗时间，能否不用图片，完全用程序来实现？

最近在处理了一些HTTP劫持的案例和拜读业内不少大牛的文章之后，觉得有必要把最近的一些关于劫持案例的分析和思考记录下来，以留作日后备忘。

业务安全，按照百度百科的解释：业务安全是指保护业务系统免受安全威胁的措施或手段。广义的业务安全应包括业务运行的软硬件平台（操作系统、数据库等）、业务系统自身（软件或设备）、业务所提供的服务的安全；狭义的业务安全指业务系统自有的软件与服务的安全。

Android应用通常使用PF_UNIX、PF_INET、PF_NETLINK等不同domain的socket来进行本地IPC或者远程网络通信，这些暴露的socket代表了潜在的本地或远程攻击面，历史上也出现过不少利用socket进行拒绝服务、root提权或者远程命令执行的案例。特别是PF_INET类型的网络socket，可以通过网络与Android应用通信，其原本用于linux环境下开放网络服务，由于缺乏对网络调用者身份或者本地调用者pid、permission等细粒度的安全检查机制，在实现不当的情况下，可以突破Android的沙箱限制，以被攻击应用的权限执行命令，通常出现比较严重的漏洞。作为Android安全研究的新手，笔者带着传统服务器渗透寻找开放socket端口的思路，竟然也刷了不少漏洞，下面就对这种漏洞的发现、案例及影响进行归纳。

这年头，发广告诱导强制分享不是事儿，发广告诱导强制分享还不被微信封才是真事儿。据说这套黑客宝典能让张小龙梦碎，能让微商实现我的梦，营销梦。什么，你不信？客官您往下看嘛！

验证码识别涉及很多方面的内容。入手难度大,但是入手后,可拓展性又非常广泛,可玩性极强,成就感也很足。

研究常见的https攻击方法

Beast crime breach，并针对https的特性提出一些安全部署https的建议。

针对于HTTPS的攻击，多存在于中间人攻击的环境中，主要是针对于HTTPS所使用的压缩算法和CBC加密模式，进行side-channel-attack。这几类攻击的前置条件都比较苛刻，且都需要受害主机提交很多次请求来收集破译关键数据的足够信息。

撞库扫号攻击已经是Top 10 Security Risks for 2014之一，不管你的网站密码保存的额多好，但是面试已经泄露的账号密码，撞库扫号防御还是一个相当重要的环节。之前一篇普及了扫号的基本防止防范和危害。

本篇讲详细解决面对技术同步在进步的黑色产品如何更好地防止撞库扫号。由于涉及相关内部策略，也只是抛砖引玉。

本文总结了乌云主站最近提交的 由于第三方接口程序导致的高危漏洞 本文实例都是使用率高，且在近期爆出漏洞的API，具有一定现实意义

在程序中嵌入第三方程序，可以追溯到discuz！。后来的各种SNS程序，CMS，BBS都纷纷效仿，他们或由官方 或由站长自己添加了各种插件和api，一方面 这些脚本增加了用户体验，然而在黑客眼中，实则是增大了入侵几率。

十一的假期间，在知乎上看到一个问题《网页游戏都有哪些安全问题？》，我是一个网页游戏开发者，对这个问题非常感兴趣，印象比较深刻。当时是在游玩，也没时间细看这个问题。后来，在微博上，有一位朋友的转发，又让我看到这个问题，冥冥中，有种想回答的冲动。上周六时，研发部门内部周会时，听到其他项目组的一个整型溢出问题，导致刷钱的bug，又让我想起这个问题，更加坚定我要回答这个问题的决心，总结一下这项目中，所有经历过的webgame安全问题的经验，以加固当前项目安全壁垒，避免损失。亦可分享给其他做webgame研发的朋友，做交流探讨。

何为扫号（黑产术语），通俗讲就是拿别人网站的数据库，尝试当前想要破解用户账户的网站。

自从csdn的明文600万，到猫扑，天涯，多玩，7k7k等陆续爆出密码，扫号大军慢慢从地下逐步显现出来。已然成为当前账户安全的第一大杀手。没错，是第一。

诚然支付宝数据库再严密，也无法抵挡账户被扫的命运。

这篇文章讲了OAuth 和 OpenID容易出现漏洞的一些地方。不管是程序员还是黑客，阅读它都会对你大有裨益。

就OAuth本身而言有一套很严谨的结构，但是很多开发者在部署AOuth的时候因为疏忽产生很多安全隐患，这些隐患如果被攻击者利用，是很难防御的。

去年10月中旬，腾讯安全中心在日常终端安全审计中发现，在Android平台中使用https通讯的app绝大多数都没有安全的使用google提供的API，直接导致https通讯中的敏感信息泄漏甚至远程代码执行。终端安全团队审计后发现，腾讯部分产品及选取的13款业界主流app均存在此漏洞。

随着移动互联的扩张，移动APP承载了更多企业的终端梦。“用户手机安装APP以后，企业即埋下一颗种子，可持续与用户保持联系。”  种子是种下了，可要是它本身就是个[特洛伊木马]呢?试想你在某某知名APP平台下载安装一款知名APP，深更半夜突然响起了[THE PHANTOM OF THE OPERA]那会是怎样的一种情景！

通过这近一个月来的观察和实验，斗胆在这里简单介绍一下手机移动APP安全测试方法、工具和一些容易产生安全问题的点。（此处仅就IOS版本APP进行说明）

大家好，我们是OpenCDN团队的Twwy。这次我们来讲讲如何通过简单的配置文件来实现nginx防御攻击的效果。

其实很多时候，各种防攻击的思路我们都明白，比如限制IP啊，过滤攻击字符串啊，识别攻击指纹啦。可是要如何去实现它呢？用守护脚本吗？用PHP在外面包一层过滤？还是直接加防火墙吗？这些都是防御手段。不过本文将要介绍的是直接通过nginx的普通模块和配置文件的组合来达到一定的防御效果。