OWASP Application Security Verification Standard 3.0.1中文翻译

目录 SOLUTION

心血来潮,计划翻译一下ASVS,加强理解,也便于后期翻阅。

ASVS 3.0.1总共有19大类检查项,暂只翻译检查项即表格中的内容,乱序更新。

已整理至GitBook:https://www.gitbook.com/book/m4skm0b/owasp_asvs_zh-cn/details

PS:Markdown解决一切格式强迫症问题!

继续阅读 “OWASP Application Security Verification Standard 3.0.1中文翻译”

在线支付业务最佳实践

目录 SOLUTION

之前看到一个支付漏洞,客户端会对几个重要参数做签名,签名hash算法使用md5,salt会从Server获取。测试时分析数据包发现key字段即salt,然后fuzz出签名的参数组合。一直在想解决方案,和最佳实践,终得解。

一般在线支付分为2个阶段:

1、Client在电商Server上生成订单

2、电商Server向支付Server请求签名的key

3、Cient点击支付后跳转到支付Server上进行支付

继续阅读 “在线支付业务最佳实践”

Hello World!

目录 HACK, SOLUTION

 

Hello World ~

 

记录些有感而发的句子:

10年后回首,成功会因为自信和自律,平庸会因为不自信和不自律。

欲为大树,莫与草争。