保存成功
订阅成功
保存失败,请重试
提交成功
汤青松

汤青松

工程师
Web安全爱好者,《PHP WEB安全开发实战》作者...更多
创作文章7

深度学习 0 基础之 AI 视频换脸实践解析

在深度学习最火的时候,相信很多人都听过“AI 视频换脸”这个词,甚至不少人从一些网站的视频中看过换脸之后的效果;想必当时也有一颗跃跃欲试的心,但又觉得学习成本太高,AI 换脸操作复杂而放弃了,当然这也是笔者当时所遇到的一些问题,不过花了一周时间研究之后,已经掌握了不少技巧,希望通过本次 Chat 和大家分享。 通过本次 Chat 分享,将获得以下能力: 1. 熟悉深度学习的显卡挑选 2. 熟悉视频换脸素材挑选 3. 掌握视频换脸操作步骤 4. 能独立完成视频换脸操作 5. 对深度学习有基本的认知
严选深度学习
402 订阅

Web 安全之不安全的会话管理

安全会话管理相对 Owasp Top 10的漏洞来说是一个较为冷门的话题,因为即使存在不安全的会话管理也并不能直接证明系统存在安全漏洞;所以对于这类问题白帽子即使发现了也不会报告,而开发者或许并不知道这样设计存在安全隐患,或者认为没有出现漏洞的情况下不会被触发,所以也并不当回事。 会话维持是基于 Cookie 和 Session,浏览器请求时候会在 Header 中发送 Sessionid,这个 Sessionid 就是表名用户的身份令牌。 现在举个固定会话 ID 例子,假设张三发现 xxx 网站中存在一个 XSS 漏洞,并通过此 XSS 漏洞获取到了一个 Cookie 信息,于是攻击者就把这个 Cookie 替换到自己的浏览器当中,想来冒充此用户身份,但却这个 Cookie并没有登录账号,正要放弃利用的时候,发现账号被登录;那可能有什么原因呢?或许固定会话 ID 问题所导致的安全风险增加。 本场 Chat 主要内容: 1. 会话可持续维持; 2. 会话暴露风险; 3. 固定会话 ID; 4. Domian 有效性; 5. 安全会话设计。
严选Web 安全
219 订阅

谈谈源码泄露 · Web 安全那些事儿

在 WEB 安全当中,可能你对 SQL 注入,XSS 跨站一些漏洞已经耳熟于心了,而源码泄露问题对于大部分开发者来说就相对陌生了,而源码泄露导致的问题却并不少见,在过往的泄露案例当中,不仅是小网站有此问题,在一些大的厂商同样出现不少,并因此拿到 webshell。比如下面几个常见的: 1. git 配置不当引起的源码泄露 2. SVN 的泄露 3. DS_STORE 目录泄露 4. 网站备份压缩文件 5. WEB-INF/web.xml 泄露 或许你也简单的了解过,而本场 Chat 分享将从源码泄露的途径,过往源码泄露的案例的讲解,来分析如何应对源码泄露所带来的安全风险。 往期回顾:[聊聊“密码找回” · WEB 安全](http://gitbook.cn/m/mazi/activity/596c80b647bdb7555aaf07c2)
严选Web
575 订阅

如何做好一个中型项目的开发管理工作

在负责项目管理的时候,可能最想要的效果就是在最短的时间内高质量的完成任务,那你可能首先会思考一个问题,项目的时间如何估算?评估时间过少,可能会造成项目的质量问题或者延期,评估的时间过多又会对成本的浪费许多的人力成本。 在项目开发中可能还会遇到一些可能会导致延期的问题,比如某个同学生病请假?又或许在团队配合过程中,下游开发者因为上游开发者的 API 接口未给出而空闲起来。 在开发时间到达后,你或许又会发现开发同学还有一部分功能未完成?或者开发交给测试的质量十分不理想,甚至主线流程都无法跑通?通过这次分享我希望能解决你在项目管理中,下面的一些疑惑点: 1. 如何评估项目开发的周期? 2. 项目开发中有哪些风险? 3. 如何让团队处于并行开发? 4. 如何评估项目的开发成本? 5. 如何保障开发人员的质量? 6. 如何让团队成员开发中不掉队?
严选DDD
696 订阅

如何做好一场技术分享(技巧篇)

目前在互联网行业各种大会越来越多,线上教育平台也如雨后春笋一般排遍地开花。作为我们互联网从业者来说,从最初的知识输入、饱和,到内容输出;提高分享能力显得越发重要起来,通过分享不仅能给自己增加一部分收入,也能提高自己学习的动力,更能让你的朋友圈迅速扩大;那如何做好一个技术分享呢?做技术分享有哪些技巧呢?通过本场 Chat 我将分享以下内容: 1. 如何做一个开场白 2. 怎么做肢体语言 3. 怎么抓住观众吸引注意力 4. 如何能让内容更具有条理 5. 如何做一个收尾
119 订阅

聊聊密码找回 · Web 安全那些事儿

大部分网站为了防止用户遗忘密码,提供了找回密码的功能。常见的找回密码方式有:邮箱找回密码、根据密码保护问题找回密码、根据手机号码找回密码等。虽然这些方式都可以找回密码,但实现方式各不相同。 其实无论是哪种密码找回方式,在找回密码时,除了自己的用户密码,如果还能找回其他用户的密码,就存在密码找回漏洞。密码找回漏洞在逻辑漏洞中占了的比例比较大。测试密码找回漏洞与其他逻辑漏洞的方法相同。其中必经的两个步骤是:熟悉业务流程(密码找回过程)与对流程中的 HTTP 请求分析。本场 Chat 分享会以一些互联网经典案例做讲解,具体内容包括: - 用户凭证暴力破解 - 返回凭证 - 邮箱弱 token - 用户凭证有效性 - 重新绑定 **实录摘要:** - 密码找回怎么去利用到实战中,怎么去培养这样的思维? - 如果是腾讯 QQ 这种需要验证手机才能登录的账号,怎么办? - 通过撞库获取的账号密码是怎么一回事? - 找回密码时有个提示检测是否处在安全环境,其后面的逻辑是怎样的? - 密码找回,比较合理或者相对安全的实现思路是什么? - 除了这种逻辑漏洞,其他可能造成用户账户不安全的有哪些? - 遇到漏洞问题,请问这种情况下用户该怎么防范? - 找回密码这个功能要安全,有什么方法不被破解有代码分享或者文章也行? - 公众号对接的 Web APP 怎么实现记住密码?下次免登录吗?
免费严选密码
2250 订阅

PHP 代码审查之常规漏洞

代码审计是 PHP 程序员必备的基础能力,代码审计在很多常见都有用到,比如代码上线、渗透测试、漏洞研究等等。可以说代码上线前的代码审查是非常重要的一个环节,比如 SQL 注入这种高危漏洞,如果在黑盒测试中发现问题,是需要话费很大的精力来做测试,但是通过代码审查来找问题,通过一些方法是很快能找到问题的根本原因。 本场 Chat 分析会讲到代码审计常用那些工具,代码审查的关键位置,以及如何去防范 PHP 常规漏洞的发生。分享内容如下: 1. PHP 代码审计系统— RIPS 2. seay 源代码审计系统 3. SQL 注入漏洞挖掘经验 4. SQL 注入漏洞防范方法 5. XSS 漏洞挖掘经验 6. XSS 漏洞防范方法 7. CSRF 漏洞挖掘经验 8. CSRF 漏洞防范方法 9. taint PHP 安全扩展讲解 10. `ngx_lua_waf` nginx 防火墙讲解
严选PHP
557 订阅