纵观账号互通发展史，可以发现OAuth比起其它协议（如OpenID）更流行的原因是，业务双方不仅要求账号本身的认证互通（authentication；可理解为“我在双方的地盘姓甚名谁”），而是更需要双方业务流的授权打通（authorization；可理解为“我在双方的地盘上可做什么”），因为后者才能产生实际的互惠互利。

有人的地方就有江湖。

互联网中，有用户注册的地方，基本就会有密码找回的功能。

而密码找回功能里可能存在的漏洞，很多程序员都没有想到。

弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。

弱口令指的是仅包含简单数字和字母的口令，例如“123”、“abc”等，因为这样的口令很容易被别人破解，从而使用户的互联网账号受到他人控制，因此不推荐用户使用。

QR二维码(Quick Response Code)是由日本丰田子公司Denso Wave于1994年发明并开始使用的一种矩阵二维码符号。与条形码相比，它具有明显的优势：条形码最多只能存储20位，但QR码可以存储7089个字符；携带相同的信息量，QR只需要条形码1/10的空间。QR码最初用于在汽车制造业中追踪部件，之后被广泛应用到其它行业尤其是电信行业。随着智能手机的普及，QR码成为了一个快速、高效的URL连接器，被称为移动互联网的“入口”。用户通过扫描QR码，能够快速链接到指定网站，并进行软件下载、新闻阅览、广告推广服务等。另外，QR码也逐渐在广内超市中使用，通过扫描QR码可查询到相关产品的产地介绍、营业执照、自产自销证明等信息。QR码不仅信息容量大、可靠性高、成本低，还可表示汉字及图像等多种文字信息、其保密防伪性强而且使用非常方便。因此，很快就在日韩地区得到迅速普及，发展到后来，欧美国家也开始大量使用。

验证码作为一种辅助安全手段在Web安全中有着特殊的地位，验证码安全和web应用中的众多漏洞相比似乎微不足道，但是千里之堤毁于蚁穴，有些时候如果能绕过验证码，则可以把手动变为自动，对于Web安全检测有很大的帮助。

这里用浅谈，因为这块也只能算是有点研究，也希望看到本文的各位如果能有所收获即可。如果不喜欢，也请不要喷。码这么多字很不容易，做一个分享者更是如此。

一直以来，很多大厂商的安全一直被认为相对薄弱，因为他们业务线长，同时，子站、分站众多，往往安全性子站与分站没有主站做的那么好。

移动客户端的漏洞在当前并未受到重视。
从用户的角度来说，对移动软件安全中的反病毒、软件漏洞和软件版权这三个方面并不能很好的区别开；甚至安全企业、安全组织和机构、安全研究人员在移动领域也经常滥用“移动安全”这个词，将其狭义地定义为移动应用中是否存在恶意行为；最关键的是，软件开发者并不太关心自身软件是否存在安全漏洞，这一方面是所谓的attack surface相比于传统web系统或服务器而言太窄，另一方面则有商业竞争和快速迭代特性开发的因素。
然而，如果考虑到当前的诸多针对性攻击，移动软件漏洞将在下一波攻击中变得越来越重要。移动软件漏洞与针对性攻击的结合已经是一种必然的趋势，这种结合也已经发生。