安全编码 on 办公AI智能小助手 https://blog.qife122.com/tags/%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81/ Recent content in 安全编码 on 办公AI智能小助手 Hugo zh-cn qife Thu, 04 Dec 2025 11:58:30 +0800 深度剖析:Basecamp Campfire 机器人身份验证缺陷导致的用户身份伪造漏洞 https://blog.qife122.com/p/%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90basecamp-campfire-%E6%9C%BA%E5%99%A8%E4%BA%BA%E8%BA%AB%E4%BB%BD%E9%AA%8C%E8%AF%81%E7%BC%BA%E9%99%B7%E5%AF%BC%E8%87%B4%E7%9A%84%E7%94%A8%E6%88%B7%E8%BA%AB%E4%BB%BD%E4%BC%AA%E9%80%A0%E6%BC%8F%E6%B4%9E/ Thu, 04 Dec 2025 11:58:30 +0800 https://blog.qife122.com/p/%E6%B7%B1%E5%BA%A6%E5%89%96%E6%9E%90basecamp-campfire-%E6%9C%BA%E5%99%A8%E4%BA%BA%E8%BA%AB%E4%BB%BD%E9%AA%8C%E8%AF%81%E7%BC%BA%E9%99%B7%E5%AF%BC%E8%87%B4%E7%9A%84%E7%94%A8%E6%88%B7%E8%BA%AB%E4%BB%BD%E4%BC%AA%E9%80%A0%E6%BC%8F%E6%B4%9E/ <h1 id="improper-bot-authentication-allows-to-impersonate-any-user-when-sending-messages-in-a-room">Improper bot-authentication allows to impersonate any user when sending messages in a room</h1> <p>Bots 被允许在聊天室中发送消息,但需要一个 <code>bot key</code> 进行身份验证。</p> <p>机器人密钥身份验证功能如下:</p> <div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span><span class="lnt">2 </span><span class="lnt">3 </span><span class="lnt">4 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-ruby" data-lang="ruby"><span class="line"><span class="cl"><span class="k">def</span> <span class="nf">authenticate_bot</span><span class="p">(</span><span class="n">bot_key</span><span class="p">)</span> </span></span><span class="line"><span class="cl"> <span class="n">bot_id</span><span class="p">,</span> <span class="n">bot_token</span> <span class="o">=</span> <span class="n">bot_key</span><span class="o">.</span><span class="n">split</span><span class="p">(</span><span class="s2">&#34;-&#34;</span><span class="p">)</span> </span></span><span class="line"><span class="cl"> <span class="n">active</span><span class="o">.</span><span class="n">find_by</span><span class="p">(</span><span class="nb">id</span><span class="p">:</span> <span class="n">bot_id</span><span class="p">,</span> <span class="ss">bot_token</span><span class="p">:</span> <span class="n">bot_token</span><span class="p">)</span> </span></span><span class="line"><span class="cl"><span class="k">end</span> </span></span></code></pre></td></tr></table> </div> </div><p>问题在于,如果 <code>bot_key</code> 没有右侧部分(例如:<code>1-</code>),那么 <code>bot_token</code> 将为 <code>nil</code>,而查询将会匹配一个 <code>User</code> 记录,前提是 <code>bot_id</code> 匹配一个有效的用户ID。</p> JavaScript安全编码十大实用技巧 https://blog.qife122.com/p/javascript%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E5%8D%81%E5%A4%A7%E5%AE%9E%E7%94%A8%E6%8A%80%E5%B7%A7/ Mon, 24 Nov 2025 18:26:32 +0800 https://blog.qife122.com/p/javascript%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E5%8D%81%E5%A4%A7%E5%AE%9E%E7%94%A8%E6%8A%80%E5%B7%A7/ <h1 id="javascript安全编码">JavaScript安全编码</h1> <p>JavaScript是整个互联网的前端。无论你是将TypeScript转译为JavaScript,创建快速的node.js脚本,还是构建调用更有趣API集合的漂亮但简单的前端,它几乎无处不在。由于JavaScript如此普及,它成为攻击者的主要目标。在本文中,我们将介绍编写更安全JavaScript的十个技巧。</p> JavaScript安全编码十大最佳实践 https://blog.qife122.com/p/javascript%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E5%8D%81%E5%A4%A7%E6%9C%80%E4%BD%B3%E5%AE%9E%E8%B7%B5/ Thu, 20 Nov 2025 06:34:53 +0800 https://blog.qife122.com/p/javascript%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E5%8D%81%E5%A4%A7%E6%9C%80%E4%BD%B3%E5%AE%9E%E8%B7%B5/ <h1 id="javascript安全编码十大最佳实践">JavaScript安全编码十大最佳实践</h1> <p>JavaScript是整个互联网的前端。因为JavaScript如此普及,它成为攻击者的主要目标。</p> <h2 id="1-跨站脚本">1. 跨站脚本</h2> <p>谈到JavaScript安全性时,首要讨论的总是跨站脚本(XSS)。跨站脚本是一种注入形式;它意味着攻击者已混淆您的应用程序,使其解释或执行其恶意代码,而不是将其视为数据。用户输入应始终被视为数据,但不幸的是,如果我们不小心,计算机可能会被欺骗。</p> JavaScript安全编码十大最佳实践 https://blog.qife122.com/p/javascript%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E5%8D%81%E5%A4%A7%E6%9C%80%E4%BD%B3%E5%AE%9E%E8%B7%B5/ Mon, 10 Nov 2025 16:02:45 +0800 https://blog.qife122.com/p/javascript%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E5%8D%81%E5%A4%A7%E6%9C%80%E4%BD%B3%E5%AE%9E%E8%B7%B5/ <h1 id="javascript安全编码">JavaScript安全编码</h1> <p>JavaScript是整个互联网的前端。无论您是将TypeScript转译为JavaScript,创建快速的node.js脚本,还是构建调用更有趣API集合的漂亮但简单的前端,它几乎无处不在。由于JavaScript如此普及,它成为攻击者的主要目标。在本文中,我们将介绍编写更安全JavaScript的十个技巧。</p> JavaScript安全编码十大实用技巧 https://blog.qife122.com/p/javascript%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E5%8D%81%E5%A4%A7%E5%AE%9E%E7%94%A8%E6%8A%80%E5%B7%A7/ Sun, 26 Oct 2025 04:20:21 +0800 https://blog.qife122.com/p/javascript%E5%AE%89%E5%85%A8%E7%BC%96%E7%A0%81%E5%8D%81%E5%A4%A7%E5%AE%9E%E7%94%A8%E6%8A%80%E5%B7%A7/ <h1 id="javascript安全编码">JavaScript安全编码</h1> <p>JavaScript是整个互联网的前端。无论你是将TypeScript转译为JavaScript,创建快速的node.js脚本,还是构建调用更有趣API集合的漂亮但简单的前端,它几乎无处不在。由于JavaScript如此普及,它成为攻击者的主要目标。在本文中,我们将介绍编写更安全JavaScript的十个技巧。</p> 基于随机混洗的语义安全通信技术 https://blog.qife122.com/p/%E5%9F%BA%E4%BA%8E%E9%9A%8F%E6%9C%BA%E6%B7%B7%E6%B4%97%E7%9A%84%E8%AF%AD%E4%B9%89%E5%AE%89%E5%85%A8%E9%80%9A%E4%BF%A1%E6%8A%80%E6%9C%AF/ Sun, 07 Sep 2025 16:51:45 +0800 https://blog.qife122.com/p/%E5%9F%BA%E4%BA%8E%E9%9A%8F%E6%9C%BA%E6%B7%B7%E6%B4%97%E7%9A%84%E8%AF%AD%E4%B9%89%E5%AE%89%E5%85%A8%E9%80%9A%E4%BF%A1%E6%8A%80%E6%9C%AF/ <h1 id="基于随机混洗的语义安全通信技术">基于随机混洗的语义安全通信技术</h1> <p>深度学习极大地受益于语义通信的最新进展。本文旨在从一个新颖的混洗角度审视这一尖端技术的安全性。我们的目标是改进传统的安全编码方案,在传输速率和泄漏速率之间达成理想的权衡。具体而言,对于窃听信道,我们寻求在给定泄漏率约束下最大化传输速率同时最小化语义错误概率。</p>