网络安全指北之Sensitive Data Exposure:敏感数据暴露
Posted on 一 02 3月 2026 in Tech • Tagged with tech, blog, security, privacy
敏感数据暴露从来不是黑客多聪明,而是我们自己太大意:日志、报错、对象存储、备份、调试接口——每个环节都可能把数据"顺手递出去"。这篇文章给你一份可直接照抄的"数据防裸奔"清单。
Continue reading
Posted on 一 02 3月 2026 in Tech • Tagged with tech, blog, security, privacy
敏感数据暴露从来不是黑客多聪明,而是我们自己太大意:日志、报错、对象存储、备份、调试接口——每个环节都可能把数据"顺手递出去"。这篇文章给你一份可直接照抄的"数据防裸奔"清单。
Posted on 六 28 2月 2026 in Tech • Tagged with security, xss, owasp, 安全, web
XSS(Cross-Site Scripting,跨站脚本攻击)是 Web 安全里最常见的注入类漏洞之一。本文用通俗类比从 What/Why/How 说起,面向小白讲清楚 XSS 是什么、为什么危险、怎么防,给出 Java/Go/Python 三语言正反示例与常用框架,最后收束成防御套路与自检清单。
Posted on 六 28 2月 2026 in Tech • Tagged with security, owasp, access-control, bac, 安全, 访问控制
OWASP Top 10 每隔几年更新一次,榜首却从未换过——BAC(Broken Access Control,访问控制失效)连续霸榜。本文从这个现象出发,用酒店房卡类比说清楚 BAC 是什么、为何难做对、典型场景和缓解措施,并给出 Java/Go/Python 三语言正反示例、常用框架、最佳实践和自检清单。
Posted on 三 25 2月 2026 in Tech • Tagged with go, security, tls, cve
CVE-2025-68121 涉及 Go crypto/tls 的两个会话恢复(session resumption)问题:Config.Clone 复制了自动生成的 session ticket keys,导致不同 tls.Config 之间意外共享会话票据;以及服务端在判断会话是否可恢复时,只检查 leaf 证书过期而忽略完整证书链,可能让过期链条下的会话继续被恢复。
Posted on 四 12 2月 2026 in Tech • Tagged with security, timing-attack, constant-time, authentication, crypto
用 == 或 strings.Compare 比较密钥、密码或 HMAC 时,比较时间会随 "猜对多少" 变化,攻击者可以按响应时间逐字节猜出秘密;一文说清原理与常数时间比较的用法。
Posted on 四 12 2月 2026 in Tech • Tagged with microservices, security, service-mesh, privilege-escalation, injection, SSRF
Posted on 日 25 1月 2026 in Tech • Tagged with Kubernetes, EKS, AWS, IAM, IRSA, OIDC, security, STS
Node Role 像一把“万能钥匙”。IRSA 让你把权限精确绑定到 Pod:用 Kubernetes 的 ServiceAccount token 走 OIDC 联邦,去 STS 换临时凭证。
Posted on 日 14 9月 2025 in Tech • Tagged with journal, blog, security, encryption, aes-gcm, envelope-encryption