运维安全隐患

由于运维人员的水平参差不齐，还有就是是人就有犯错的时候，所以经常会出现不必要的失误导致的安全隐患，所以这里就未大家盘点一下经常出现的由于运维人员是失误造成的安全隐患。 目录浏览 由于发布网站时，服务器配置问题，导致目录浏览功能打开，在目录下不存在默认首页的情况下可以浏览目录下的文件目录，从而引起信息泄露，造成安全隐患。 案例 ? ---- 错误回显 由于服务配置了错误回显，导致代码在执行错误的情况下爆出详细信息，可能泄漏服务器的真实路径，造成安全隐患。 案例 ? 2 编辑器在使用过程中自动保存的备份文件或者临时文件因为各种原因没有被删除而保存在 web 目录下。 案例 ? ? ---- 弱文件扫描器 https://github.com/ring04h/weakfilescan 修补方案 1 删除以上存在的泄漏的目录 2 后台路径尽量复杂，不要被随便扫描出来 3 修改服务器配置禁止列目录

scanf具有的安全隐患

如果存储空间不足，数据能被存储到内存中，但不被保护，printf打印输出字符串是在遇到\0结束，而非根据字符串大小输出

OpenClaw爆发式增长背后，藏着致命安全陷阱

前言：火爆全网的OpenClaw，狂欢之下全是隐患 3月13日，国家网络与信息安全信息通报中心正式发文预警，彻底打破了大家对这只“龙虾”（OpenClaw）的狂热追捧——自发布以来，它凭借强大的自动化处理能力和开放式插件生态 一、致命隐患：OpenClaw的5大安全漏洞，每一个都能致命 很多人觉得，“我就是用OpenClaw处理点简单任务，能有什么安全风险？”这种想法，其实是对AI工具安全的严重忽视。 还有两个隐患同样不容忽视：一是高危漏洞多且易利用，OpenClaw历史披露漏洞多达258个，其中近期暴露的82个漏洞中，超危漏洞12个、高危漏洞21个、中危漏洞47个、低危漏洞2个，以命令和代码注入、路径遍历和访问控制漏洞类型为主 OpenClaw的安全隐患，从来不是“危言耸听”，而是已经发生、正在发生的现实。 最后，希望大家看完这篇文章，能重视OpenClaw的安全隐患，赶紧检查自己的部署配置，避开这些致命陷阱——毕竟，在AI安全面前，再谨慎也不为过。

miniguimgncs 1.20 ncsCreateModalDialogFromID函数的隐患

//blog.csdn.net/10km/article/details/85229859 mgncs(1.2.0) 的ncsCreateModalDialogFromID函数存在一个隐患 所以ncsCreateModalDialogFromID函数中调用doModal成员函数之后，就没有必要也不能再调用MainWindowThreadCleanup函数，删除之就可以解决这个隐患。

原创 搜索技巧和网页隐患

SSL证书杜绝安全隐患

据外媒报道，数字风险防护公司CloudSEK观察到，在大规模网络钓鱼活动中使用短链接的情况有所增加，同时，不法分子还借助反向隧道在本地托管网络钓鱼页面，以逃避防护系统检测。专家建议，为了防止此类威胁，用户应避免点击从未知或可疑来源收到的链接。

无线网安全隐患

所以说无线局域网由于通过无线信号来传送数据而天生固有不确定的安全隐患。 无线局域网有哪些安全隐患，一个没有健全安全防范机制的无线局域网有哪些安全隐患呢?下面我们就来了解有关无线网的安全隐患问题。 过度"爆光"无线网带来的安全隐患 无线网有一定的覆盖范围，过度追求覆盖范围，会过分"爆光"我们的无线网，让更多无线客户端探测到无线网，这会让我们的无线网增加受攻击的机会，因此我们应对这方面的安全隐患引起重视 2. 不设防闯入的安全隐患 这种情况多发生在没有经验的无线网的初级使用者。 破解普通无线安全设置导致设备身份被冒用的安全隐患 即使是对无线AP采取了加密措施，无线网仍然不是绝对安全的。 在这里我们要明白被冒用的是设备的身份，而非用户(人)的身份，在下文《无线网安全隐患的解决之道》中我们会了解到"人"的身份的鉴别对于无线网安全来说更健壮，是目前较为安全的无线网安全解决方案之一。

PLSQL Developer几个可能的隐患

在这我介绍几个和工具相关的隐患，既然是隐患，就可能碰到，可能不会碰到，但是你知道了这些问题，至少能做出一些提前的应对，或者出现问题时，能快速定位解决问题。 1. 这个问题其实会产生一些困扰，假设我要执行如下操作，其中4的执行会进行一些逻辑判断，可能commit，可能rollback回滚1、2和4，针对rollback场景，执行结果不会和你想象的一样，因为1、2、 4是DML操作，3是DDL操作，这些语句在同一个事务中执行，3的DDL会隐式提交，此时会将1和2的insert和delete连带提交，当4需要rollback时，只可以回滚4的操作，1和2已经提交，无法再执行回滚 2. ORA-06512: at “XXX.DBMS_CORE_INTERNAL ", line 27 ORA-06512: at line 2 在客户端，可能得到这种， ?

Oracle列直方图的问题隐患

经过测试，直方图也是存在很多问题隐患的。 GROUP BY OBJECT_TYPE ORDER BY 2 DESC; SELECT NAMESPACE, COUNT(*) FROM T2 带入计算公式： 1/2*(87726/5587)=7.85≈8。符合预估值。 如果是对采用了100%采用的小表T2，做上述查询。则能避免预估不准确的情况： 可以看到预估与实际保持一致。 2.进而可能出现更多的非popular值，大大增加可选择率不准的问题。 第五章 总结 通过上述的测试，列的直方图容易受很多方面的影响： AUTO_SAMPLE_SIZE、FOR COLUMNS SIZE AUTO等参数都可能给需要收集直方图的列带来性能隐患。

Oracle字符串类型扩容隐患

c2 varchar2(10 byte)); 现在要扩容字段，以下两种操作，有什么区别？ c2 varchar2(30)是30个字节，可以存储30/3=10个中文。 2. c2 varchar2(10 byte)可以存储10/2=5个中文，占10个字节。 扩容：c1 varchar2(20)是20个字节，可以存储20/2=10个中文。           c2 varchar2(30)是30个字节，可以存储30/2=15个中文。 归根结底，这些都是设计开发规范不严谨导致的，前提还是得知道他的原理，只是刻意复制，很可能导致其他的隐患问题。

用Rust解决C语言的隐患

本文详细列举了样例，阐明Rust是如何完全地消弭那些继承自C语言的诸多隐患。 隐患 空指针引用（NULL Dereference） 声名狼藉的程序分段错误（Segmentation Fault）是C语言的常见问题，而通常NULL dereferences是第一大诱因。 let my_var2 = *my_ref; // <-- An example for a Dereference.

Oauth协议介绍与安全隐患

（2）HTTP service：HTTP服务提供商，简称"服务提供商"。 （3）Resource Owner：资源所有者，又称"用户"（user）。 以上内容来自：http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html 安全隐患 通过redirect_uri抓取OAuth令牌 重定向到受控域以获取访问令牌 2 一些在某些代码共享平台泄漏，如github等。 3 一些做中继的平台，token容易在跳转链接中泄露。 授权代码规则违规 客户端不得不多次使用授权码。 2 确认每一条绑定社交用户的链接都拥有合法的csrf_token,最好使用post代替get。

【业务安全】业务安全之另类隐患

在漏洞回归的时候，也会发现新的隐患； 一条短短的验证码，可能酿成一场事故； 业务安全之另类隐患，希望和大家分享鲜有人说的点点滴滴。 关于对业务可能造成高风险危害的操作尽量少做或不做： 漏洞扫描、漏洞利用等高危操作，尽量做到事先告知业务方 安全测试前先评估影响范围，尽量确保对业务和用户无影响 安全测试时尽可能主动了解业务形态及功能变更等多种情况 2、 然而事情往往没这么简单，静下心来分析发现了更加隐蔽的安全隐患： 可发短信至任意用户(包括领导)，同上一个场景一样，又是只有甲方才能深刻体会到的风险。 ? 2.4 深刻体悟 业务方面的安全隐患，可能不仅仅是由于业务逻辑造成，其他不规范的操作也起到一定的助攻成分。 业务相关的漏洞修复，推动改起来甚至比web漏洞更加难，因为产品要考虑友好度和便捷性。

安全：DNS安全隐患谁来承担？

DNS防“猝死”秘诀 网络安全问题一直是互联网技术的难点，而DNS安全又是互联网访问中重要而又不可或缺的一个环节。DNS是域名和IP地址相互映射的一个分布式数据库，能够使人更方便的访问互联网。DNS就像一个自动的电话号码簿，用户可以直接输入网站名字来代替输入复杂的IP地址，而网站名字和IP之间的映射解析就靠DNS服务来完成。 任何域名的访问都要翻译成特定的IP地址，网民才能得以访问网页、才能登陆即时聊天工具、才能享受到互联网给我们带来的信息便捷性。但是，作为互联网行业的基础，DNS安全却一直是网站运行安全的

一次 Logback 发现的隐患

还好本次是在线下环境发现了这个问题，否则如果线上环境因为种种原因打错误日志而又不幸遇上大流量的话，那就不是隐患而是血案了。 原因已定位，该找解决方案了。

RPA可能存在潜在安全隐患

RPA机器人自动化的安全隐患 自动化引入了新的风险形式，尤其是在访问基于云的数据时。RPA带来了明显的网络风险，还有新的方法可以确保机器人是“他们说的是谁”。

【观点】大数据背后的道德隐患

谷歌(Google)公开表示每年进行2万多个不同的数据实验，甚至包括著名的“41 different shades of blue”测试，用于分辨颜色与用户在网页上的互动之间引导关系。 脸书(Facebook)在过往几年中，也发表了不少关于数据分析的重要报告，比如2012年，脸书的数据科学小组就针对2千5百万用户进行了分析，其数据报告有力的回应了之前盛行的“过滤气泡”理论，在某种程度上消除了传播理论里面关于现在的新闻和搜索结果过度的过滤筛选

容器技术的三大潜在隐患

当前，对于这些技术的看法都是相当正面积极的，那么，那么还有哪些潜在隐患威胁着容器技术的未来呢？

Mybatis-Plus 使用技巧与隐患

代码耦合 效率不行 sql优化比较难 之前也有前辈说少用MP 理由就是不好维护 但是这个东西真的是方便 只要不是强制不让用 就还是会去使用 存在集合里 最近也确实有一些体会 就从两个角度去看一下MP 2、 里面怎么实现 第一种：最简单我们就是直接去使用提供的方法 我们非常简单就能做到这些操作 但是这个就有一个问题 nodeMapper.selectById(1); nodeMapper.deleteById(2) 这个还是非常简单的 3、简单总结 MP 在做一些简单的单表查询可以去使用但是对于一些复杂的SQl操作还是不要用 1、SQL侵入Service 的问题我们可以仿照 Mybatis 建一个专门存放 MP查询的包 2、 联表老老实实去写XML吧 这种真的不要去用 太丑了 4、总结 没有过多的东西 基本都是最近看到的东西 1、复杂语句不推荐使用MP 能用最好也别用 可读性差 难维护 使用刚开始没感觉 后期业务扩充 真的恶心的 2、

Mybatis-Plus 使用技巧与隐患

代码耦合 效率不行 sql优化比较难之前也有前辈说少用MP 理由就是不好维护  但是这个东西真的是方便 只要不是强制不让用 就还是会去使用 存在集合里 最近也确实有一些体会 就从两个角度去看一下MP2、 里面怎么实现第一种：最简单我们就是直接去使用提供的方法 我们非常简单就能做到这些操作 但是这个就有一个问题nodeMapper.selectById(1);nodeMapper.deleteById(2) 这个还是非常简单的3、简单总结MP 在做一些简单的单表查询可以去使用但是对于一些复杂的SQl操作还是不要用1、SQL侵入Service 的问题我们可以仿照 Mybatis 建一个专门存放 MP查询的包2、 联表老老实实去写XML吧 这种真的不要去用 太丑了4、总结没有过多的东西 基本都是最近看到的东西1、复杂语句不推荐使用MP 能用最好也别用 可读性差 难维护 使用刚开始没感觉 后期业务扩充 真的恶心的2、