- 综合排序
- 最热优先
- 最新优先
- 来自专栏漏斗社区
业务逻辑漏洞探索之绕过验证
本期带来绕过验证漏洞。为了保障业务系统的安全,几乎每个系统都会存在各种各样的验证功能。 常见的几种验证功能就包括账号密码验证、验证码验证、JavaScript数据验证及服务端数据验证等等,但程序员在涉及验证方法时可能存在缺陷导致被绕过,于是斗哥总结了以下几种绕过验证的姿势和大家一起讨论讨论 客户端流程控制绕过 程序员在编写验证程序时有可能会验证结果返回到客户端,由客户端根据服务端提供的验证结果进行下一步操作,攻击者可以通过篡改验证结果或直接执行下一步操作实现绕过。 举个栗子: a). 操作目标篡改绕过 如果某操作采用了连续身份校验机制或身份校验过程与操作过程分离,可以尝试在身份验证过程中替换身份校验对象或操作对象实现绕过验证。 举个栗子: a). 修改某系统的绑定手机。 ? 好啦,斗哥对于绕过验证的总结就到这里啦,对于绕过验证的修复斗哥有一点点建议: 1.所有验证在服务端进行,验证问题的答案不能以任何形式返回客户端中(如图片验证码答案、短信验证码、验证问题答案等)。
2.6K60发布于 2018-12-07 - 来自专栏猿天地
海量数据和高并发下的 Redis 业务优化实践
观众朋友们,我是来自掌阅的工程师钱文品,今天我带来的是分享主题是:Redis 在海量数据和高并发下的优化实践。 今天在这一个小时的时间我会围绕 Redis,分享在平时的日常业务开发中遇到的 9 个经典案例,希望通过此次分享可以帮助大家更好的将 Redis 的高级特性应用到日常的业务开发中来。 下面这段代码就是通用的缓存读取逻辑。 干等待就是 spinlock,这会烧 CPU,飙高 Redis 的QPS。睡觉就是先 sleep 一会再试,这会浪费线程资源,还会增加响应时长。 这个新用户的涌入不一定是业务系统的大规模铺开,也可能是因为来自外部的缓存穿透攻击。
82521发布于 2019-07-10 国产安全软件的骄傲:雷池WAF社区版技术解析与实战
根据个人使用情况,从动态防护、人机验证、身份认证及攻击阻断四大核心功能出发,结合与开源靶场(如WebGoat)的联动测试,深度解析雷池如何以“无规则”逻辑实现精准防御,并分享个人部署中的实战经验与优化技巧 • 未开启人机验证:脚本成功绕过基础防护,导致服务器负载激增;• 开启后:第3次请求触发验证挑战,后续请求被标记为恶意IP并封禁30分钟。 优化建议:• 阈值调整:根据业务流量特征,动态调整触发验证的频率阈值(默认30次/分钟)。• 自定义挑战页面:支持替换默认验证页面为企业品牌化界面,提升用户体验。 id=1%20UNION%20SELECT%20*%20FROM%20users,雷池拦截并返回**“请求包含潜在SQL注入行为”**;• XSS绕过尝试:使用<img src=x onerror=alert 6.2 性能调优建议• 硬件配置:推荐2核4G以上环境,避免高并发下检测延迟升高;• 防护策略分级:对低频接口启用“高强度防护”,对API接口采用“平衡模式”。
89610编辑于 2025-09-16MySQL兼容性实践挑战:为何迁移常遇性能适配瓶颈?
并非SQL报错、连接中断或功能缺失,而是查询响应变长、批量处理延时上升、高并发下平均延迟显著增加……这种“语法通、语义准、但执行效率未达预期”的隐性落差,正成为当前信创数据库迁移项目中最普遍、最易被低估 高并发查询响应波动加剧,选课/抢券类场景体验下滑福建武夷学院教务系统承载2万学生集中选课,MySQL源库在峰值5000+并发下平均响应<800ms。 复杂SQL执行路径发生偏移,执行计划稳定性下降中信银行出国金融系统涉及多层嵌套子查询、窗口函数及跨模式JOIN逻辑。 虽可通过显式添加事务方式绕过,但开发团队拒绝修改数百处业务代码;补丁包虽及时下发,却要求重启应用集群——而夜间运维突发问题,恰恰发生在灰度发布后的第3小时。 元数据接口兼容存在精度与时效性差异MySQL系统视图(如INFORMATION_SCHEMA.TABLES)中TABLE_ROWS字段通常为估算值;而国产数据库为保障统计准确性,默认启用采样分析并定期更新
15510编辑于 2026-03-02《分布式系统跨服务数据一致性Bug深度复盘:从现象到本质的排查与破局》
初步排查后,确定Bug根源不在“服务可用性”“配置”“网络丢包”,而在于“高并发下的异步处理逻辑”“数据同步机制”或“分布式事务执行流程”。接着将核心链路拆分为三个子模块深入定位异常节点。 检查RabbitMQ消费确认机制,发现使用“自动确认”,高并发下消息消费速度慢于投递速度时,RabbitMQ会重复投递未及时确认的消息,导致订单服务对同一订单发起两次全局事务。 ;三是消息消费机制不合理,订单服务使用RabbitMQ自动确认机制,高并发下导致消息重复消费。 完善消息消费时,将订单服务的RabbitMQ消费模式从“自动确认”改为“手动确认”,消费消息时先执行业务逻辑,待全局事务成功提交后再确认消息,失败则拒绝消息让RabbitMQ重新投递并设置合理重试次数; 消息消费需“手动确认+幂等”双保险,确保业务逻辑执行成功后再确认消息,业务层添加幂等校验应对不可抗因素导致的重复投递。
33000编辑于 2025-08-25- 来自专栏CSDN技术头条
共享出行业务下的高并发场景
经历 在做公司用户端 app 过程中,经常会有这样的需求,比如运营想做个充值送活动、优惠券兑换活动等,如果没有考虑高并发下 的数据处理,那就 game over,很容易导致用户充值多送等各种超出正常业务的逻辑 3.2 并发下的数据处理 通过表设计添加唯一约束、数据处理逻辑,使用事务防止并发下的数据错乱问题,而 db 的唯一约束,程序层还需要处理 db 写入报错异常处理,否则在程序内循环可能导致程序中间终止; 通过服务端锁进程防止高并发下的错乱问题,这里主要讲述的是在并发请求下的数据逻辑处理接口,如何保证数据的一致性和完整性。 案例 2:通过程序防止错乱数据 需求:缓存数据到 cache 里,当缓存不存在的时候,从数据库中获取并保存在 cache 里。 所以不管什么行业业务,可以先找到可以借鉴的成熟方案去试错,再在业务发展过程中,去形成自己公司业务的架构方案。 毕竟技术方案是基于业务场景,光靠一篇文章也不可能写出高并发中出现的所有问题和解决方案。
1.2K60发布于 2018-07-30 - 来自专栏公共互联网反网络钓鱼(APCN)
恶意SVG附件突袭乌克兰:钓鱼攻击升级为“图形+压缩包+帮助文件”三重链
这场攻击不仅延续了近期全球范围内“武器化SVG”的趋势,更巧妙结合了加密压缩、旧式脚本宿主和用户心理诱导,形成一条隐蔽性强、绕过率高的多阶段攻击链。 专家警告:传统邮件安全策略对SVG、CHM等“灰色地带”文件类型防护不足,亟需升级检测逻辑与终端控制策略。SVG不是图片? 它可能是“数字特洛伊木马”攻击始于一封伪装成官方通知或业务文件的钓鱼邮件,主题常为“财务报告”“紧急事务”或“合作确认”,附件名为“Report.svg”“Invoice.svg”等。 一旦用户在浏览器或某些邮件客户端中打开该文件,其中隐藏的脚本便会自动执行,触发下一步攻击。“这不是一张图,而是一个可执行的‘迷你网页’。” 结语:攻击在进化,防御必须同步升级从PDF到LNK,从JS到SVG,再到如今的SVG+ZIP+CHM组合链,网络钓鱼的载体不断演变,但核心逻辑始终未变:利用人性弱点,绕过技术盲区。
23110编辑于 2025-11-05 - 来自专栏架构师高级俱乐部
聊聊高并发下库存加减那些事儿——“异步扣减库存”
,所以保证系统在高并发下不出异常非常关键,这其中棘手的便是如何在高并发下高效的处理库存数据。 今天就来聊聊高并发下库存加减那些事儿。 依然没有解决高并发下所有人必须强行排队导致的问题。那有没有那种又顺序执行又能相对的并行加减库存操作呢? 库存协调器的逻辑完全看各位自己业务模型来决定,你可以用雪花算法均匀分布也可使用ip或者用户标识取余去覆盖到每一个锁,总之实现方式看业务情况来决定,当然了很大几率会出现有的库存块内的库存总数消耗完了但有的还剩余 总结 其实解决高并发业务只要你遵循让一个变成多个的思路,很多都有解决办法等着你。
1.7K31编辑于 2022-04-27 - 来自专栏公共互联网反网络钓鱼(APCN)
黑产中的网络钓鱼:机制、演化与系统性危害
通过结合真实统计数据、攻击样本特征及可复现的技术细节,本文试图揭示钓鱼攻击如何成为连接黑产上游(工具开发、身份伪造)、中游(投递执行、绕过检测)与下游(变现、勒索、情报售卖)的核心枢纽,并评估其对企业数字资产 AI生成混淆代码:HTML内的JavaScript包含大量AI生成的无害函数和变量名,核心恶意逻辑仅占三行代码,且URL被Base64编码并拆分为多个片段分散存储。 then(res => res.blob()).then(blob => {var url = URL.createObjectURL(blob);window.location = url; // 触发下载 原因有三:高权限访问:工程师通常拥有对源代码库、CI/CD管道、云基础设施的访问权限。工作流动性高:频繁跳槽使得背景调查难度增加,便于伪造履历。 作者:芦笛(中国互联网络信息中心创新业务所)编辑:芦笛(公共互联网反网络钓鱼工作组)
41010编辑于 2025-11-20 - 来自专栏爬虫资料
生产级Go高并发爬虫实战:突破 nethttp 长连接与隧道代理IP切换陷阱
策略2:利用服务商扩展头(推荐,高并发下的精准控制)爬虫代理网络支持通过特定的HTTPHeaderProxy-Tunnel来接管隧道的生命周期。相同的Tunnel值会被路由至同一个出口IP。 陷阱二:http.Transport连接池的隐式劫持业务现象在复杂的爬虫架构中,即便在代码逻辑层为每次请求动态构造了不同的代理配置甚至是全新的代理URL,发往相同目标站点的请求依然使用着旧的出口IP。 当业务程序随后发起发往同一个Host的新请求时,Transport会直接捞取池中的空闲连接复用。这一过程完全绕过了新建代理握手的阶段。最终导致代码层面更新的代理配置沦为摆设。 策略2:动态清空连接池(平衡性能与灵活性的最优解)保留连接池带来的吞吐量优势,但在业务逻辑判定需要更换IP(如遭遇HTTP403或验证码阻击)时,主动发起清理动作。 MaxIdleConns:50,MaxIdleConnsPerHost:10,}client:=&http.Client{Transport:tr}//发起请求...resp,err:=client.Do(req)//业务逻辑判定
9010编辑于 2026-04-13 Java Spring Boot 中 Redis 缓存穿透问题排查与解决方案
在最近的一个项目中,我遇到了一个Redis缓存穿透的问题,导致系统在高并发下性能急剧下降,甚至出现服务响应超时的情况。 初步观察发现,当请求某些不存在的订单ID时,接口返回了错误信息,并且这些请求直接绕过了Redis,直接访问了数据库。 排查步骤步骤一:验证缓存行为我首先在本地启动了SpringBoot应用,并模拟了多个请求,测试Redis是否真的能正确缓存数据。 步骤四:增加请求过滤机制为了进一步减少无效请求,我还增加了请求参数校验逻辑,确保传入的订单ID符合业务规则。 此外,我也意识到,在高并发环境下,合理的缓存策略和防御机制是保障系统健壮性的关键。
18110编辑于 2025-08-31Golang 硬核实战:用天远银行卡黑名单接口打造毫秒级响应的银行卡反欺诈微服务
Go语言天生的高并发特性使其成为构建实时风控中台的首选。结合天远银行卡黑名单接口,我们可以在不牺牲性能的前提下,对每一笔出入金交易进行实时的“涉案”与“欺诈”筛查,确保资金流向合规安全。 4.场景应用:高并发下的资金守护4.1交易前置拦截(Middleware)在支付微服务网关层,可以引入该检测作为中间件。 逻辑:当/api/payout接口被调用时,利用Go的并发特性,在处理业务逻辑的同时异步发起黑名单查询。 请勿尝试绕过加密机制直接发送明文数据,以防止中间人攻击。个人隐私与合规:合法授权:在调用本接口查询用户黑名单状态前,必须获得用户的明确授权。 数据最小化:仅在业务必要时调用接口。建议对接口返回的敏感结果(如涉案标签)进行脱敏存储,并设置严格的数据访问权限。
21310编辑于 2025-12-03- 来自专栏WeTest质量开放平台团队的专栏
保障产品质量之路---从蒙牛“创造营”活动看腾讯WeTest小程序解决方案
内蒙古蒙牛乳业(集团)股份有限公司始建于1999年,是中国领先的乳制品供应商企业,蒙牛致力“以消费者为中心,成为创新引领的百年营养健康食品公司”,并着力提升品牌体系内的各项综合能力,推动高质量、高水平发展 在小程序层面,测试团队需要关注诸多严格的业务交互逻辑、安全性逻辑。 通常包括热门活动高并发状态下用户无法登陆、活动界面下单无法跳转、业务逻辑存在安全漏洞等问题,如果不能进行有效的优化管理往往会导致用户口碑下降,商家利益受损,从而造成无法挽回的损失。 抽奖、撑腰、个人账号等功能系统进行安全渗透测试,测试团队设计了包括验证小程序与微信交互安全,小程序与第三方服务器的业务逻辑交互安全,第三方服务器上的内容安全等测试方案。 优化效果 WeTest安全项目团队共计发现包括JS代码信息泄露风险,绕过限制风险等在内的5个安全漏洞,其中包含3个高危漏洞、2个中危漏洞,帮助项目组规避了潜在风险,保障了小程序的安全。
98641发布于 2020-09-11 从 MVP 到千万级并发:AI 在前后端开发中的差异化落地指南
清晰:依赖协议、数据结构、业务规则。AI擅长处理有明确输入输出的逻辑,不擅长处理主观审美。验证闭环长周期:需人工视觉检视、兼容性测试、A/B测试。短周期:单元测试、集成测试、API响应验证。 2.中DAU项目(1万–100万):业务增长期核心目标:稳定性与效率平衡后端:复杂业务逻辑的精准生成当业务涉及异步任务、消息队列等复杂逻辑时,AI依然表现出色。 3.高DAU项目(>100万):高并发架构期核心目标:性能极限与智能化运维后端进阶:AI驱动的性能优化在高并发下,简单的逻辑可能引发雪崩。AI可以根据Prompt智能优化代码结构。 场景:优化高并发下的数据库查询。 用户原始代码:展开代码语言:PythonAI代码解释#N+1查询问题,高并发下会打垮数据库defget_user_posts(user_ids):posts=[]foruidinuser_ids:posts.extend
50620编辑于 2026-03-17企业级 OpenClaw:构建端云协同的跨平台数据采集与自动化架构
本文将从业务架构视角出发,探讨如何利用“实在Agent”等自动化组件,构建一套高可靠、可扩展的企业级数据自动化链路。 数据中转层:利用RocketMQ(或东方通TongLink_Q)实现高并发下的数据削峰填谷。存储与分析层:数据落库至PostgreSQL或国产达梦数据库,并进行ETL处理。 步骤2:配置自动化逻辑(伪代码示例)以下是一个结合实在Agent处理复杂登录并抓取动态数据的逻辑配置片段(以JSON格式描述):展开代码语言:JSONAI代码解释{"task_name":"Competitive_Price_Monitor 排查思路:建立监控哨兵,利用xxl-job的超时剔除机制,定期重启实在Agent的执行引擎进程,并清理临时缓存。 解决方法:利用实在Agent的视觉识别模式替代DOM树定位,通过图像特征匹配目标元素,从而绕过复杂的CSS层级。
26210编辑于 2026-03-27高并发后台系统设计要点:从流量削峰到低延迟的实战指南
”;控制低延迟:核心接口响应时间需满足业务需求(如商品详情页 P99<50ms,下单接口 P99<100ms),避免用户感知卡顿;保障数据准:高并发下不出现 “超卖”“少付”“数据丢失” 等一致性问题( 例如:直播带货场景:用户点击 “下单” 后,前端先显示 “排队中(1234 位)”,按每秒 1000 人的速度向后端发送请求;后端用令牌桶算法(每秒生成 1000 个令牌),只有拿到令牌的请求才进入业务逻辑 一致性保障:高并发下不丢数据、不错数据高并发下,“数据一致性” 容易被忽略(如秒杀超卖、订单少付),需针对核心场景设计一致性方案:(1)库存防超卖:核心是 “原子操作 + 最终校验”秒杀场景中,“超卖” (2)异步消息可靠性:避免 “消息丢失导致数据不一致”高并发下大量使用异步消息,但消息丢失(如队列崩溃、网络抖动)会导致业务中断(如订单创建后,消息丢失导致库存未扣减),需保证消息 “不丢、不重、不乱序 四、实战案例:电商秒杀系统设计(全链路梳理)以 “电商秒杀系统” 为例,整合上述设计要点,看高并发系统如何落地:流量接入层:NGINX 过滤重复请求,API 网关用令牌桶限流(10 万 / 秒),并验证用户预约资格
68310编辑于 2025-10-18- 来自专栏拓端tecdat
数据分享|R语言用主成分PCA、 逻辑回归、决策树、随机森林分析心脏病数据并高维可视化|附代码数据
点击标题查阅往期内容 数据分享|R语言逻辑回归、Naive Bayes贝叶斯、决策树、随机森林算法预测心脏病 左右滑动查看更多 01 02 03 04 是否存活= 是否存活=="存活")*1 给定前两个分量平面上的两个坐标,给定我们的变换矩阵、归一化分量和一个分类器(这里是基于逻辑回归),我们可以回到原始空间,并对新数据进行分类。 d1,d2,Mat,reg){ z=Mat %*% c(d1,d2,rep(0,ncol(X)-2)) newd=data.frame(t(z*s+m)) pred(reg, newd } 逻辑回归 现在考虑一个逻辑回归。
45500编辑于 2022-12-29 - 来自专栏拓端tecdat
数据分享|R语言用主成分PCA、 逻辑回归、决策树、随机森林分析心脏病数据并高维可视化|附代码数据
---- 点击标题查阅往期内容 数据分享|R语言逻辑回归、Naive Bayes贝叶斯、决策树、随机森林算法预测心脏病 左右滑动查看更多 01 02 03 04 是否存活= 是否存活=="存活 给定前两个分量平面上的两个坐标,给定我们的变换矩阵、归一化分量和一个分类器(这里是基于逻辑回归),我们可以回到原始空间,并对新数据进行分类。 现在考虑一个逻辑回归。 sup=8,graph=TRUE)> image(xgrid,ygrid,Zgrid,add=TRUE,> contour(xgrid,ygrid,zgridF, 本文选自《R语言用主成分PCA、 逻辑回归 、决策树、随机森林分析心脏病数据并高维可视化》。
59700编辑于 2022-11-03 - 来自专栏漫谈测试
聊一聊为什么要进行接口测试及何时介入
接口测试是软件测试中的重要环节,主要针对系统内部或系统之间的接口(API)进行验证,确保数据传输、功能逻辑和系统交互的正确性。 一、发现早期缺陷,降低修复成本接口是系统核心逻辑的入口:相比UI层测试,接口测试更贴近代码底层,能在开发早期发现参数校验、业务逻辑、数据转换等问题,避免问题遗留到后期导致更高的修复成本。 问题前置:接口是系统模块间的“纽带”,在开发早期进行测试可暴露设计缺陷(如参数错误、逻辑漏洞),避免问题在集成或上线后爆发。示例:未校验必填字段的接口可能在UI层被掩盖,但直接测试接口可快速定位问题。 性能瓶颈定位:通过接口压测(如JMeter)快速发现慢查询、高并发下的资源竞争问题。四、提升测试效率,支持持续交付绕过UI依赖:无需等待前端开发完成即可测试后端逻辑,缩短测试周期。 八、提升用户体验与业务连续性关键路径保障:用户登录、支付等核心功能的接口稳定性直接影响用户体验,接口测试可提前发现性能瓶颈或逻辑错误。
36720编辑于 2025-04-27 Go无锁编程:解锁高并发服务的性能密码
结合我实际的项目经验,在这里就系统的拆解原子操作、channel通信、sync.Map、sync.Pool这四大核心方案,分享一下高并发下的性能优化技巧。 其本质是将同步逻辑封装在语言层面,开发者无需关注底层实现,只需聚焦业务逻辑。 三、sync.Map:读多写少场景的并发安全映射 原生map在并发读写时会直接触发panic,传统解决方案是用互斥锁包装,但高并发下锁竞争会导致性能骤降。 sync.Pool作为Go runtime提供的临时对象池,通过缓存并复用对象,减少内存分配与GC开销,本质是通过资源复用实现“无锁”优化。 若业务逻辑复杂,互斥锁的可读性优势可能超过性能损耗,不要为了极致性能牺牲代码可维护性。 Go 无锁编程的本质,是用语言特性与 CPU 指令替代手动加锁,减少竞争开销。
22010编辑于 2025-12-29
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号