最新

我开发了 dssrf，一个为 Node.js 应用构建的、安全可靠的 SSRF 防御库。 大多数现有的 SSRF 库依赖黑名单或正则表达式检查，这些都容易被绕过。dssrf 采用了不同的方法，基于规范化、DNS 解析、重定向验证和 IP 分类。 主要特性： - 兼容 RFC 的 URL 规范化 - DNS 解析 + IP 分类 - 重定向链验证 - IPv4/IPv6 安全性 - 重绑定检测 - 协议限制 - 包含 TypeScript 类型 其目标是消除整个类别的经典 SSRF 漏洞，并通过绕过而非修补单个 payload 来实现。 GitHub: https://github.com/HackingRepo/dssrf-js npm: https://www.npmjs.com/package/dssrf 欢迎社区提供反馈、边缘案例和贡献。

几周前，我在这里发布了我的一个副业项目（Spikelog，简单的指标追踪）。当时需要注册才能试用。<p>我不知道有多少人在注册这一步就放弃了，但我知道，当某些东西要求我提供电子邮件地址才能浏览时，我个人会直接关闭标签页。所以我最终添加了一个“无需注册即可试用”的流程。这是最初帖子中的一位评论者建议的：https://news.ycombinator.com/item?id=46085379<p>为了实现这个功能，当你点击“立即试用”时，我会创建一个访客用户，并给你一个“刷新”密钥。它会被保存在localStorage中。下次你访问时，我们会用一个新的JWT来替换它。如果你最终真正注册了，你的数据就会被转移过去。<p>我为访客和真实用户使用了不同的（与我的身份验证路由器分开的）JWT密钥对。这样做的目的是，如果有人入侵了后端，他们只能伪造访客令牌，而不能伪造真实用户的令牌。密钥经过哈希处理，访客创建受到速率限制（5个/小时/IP）。只有真实账户才能调用合并端点，这样访客就无法窃取彼此的数据。<p>这也有一些缺点。如果你清除了localStorage，你将失去访问权限。它只能在一台设备上使用。而且我最终需要一个清理任务来处理数据库中那些被遗弃的访客账户。<p>我对其他人处理这个问题的方法很感兴趣。我想做一些能反映我真实身份验证流程的东西，在那里一切都从一个有效的刷新令牌开始（真实的流程使用cookie）。<p>https://spikelog.com 如果你想试试。欢迎尝试破坏它，如果你做到了，或者我如何加强我的安全性，请告诉我。

大家好， 我正在经历 Stripe 的一次“震荡”，感觉有必要提醒其他人注意一下。 我们租赁车辆，并在 2017 年开始使用 Stripe。我们处理的交易量巨大，到目前为止在 Stripe 上花费了超过 10 亿美元。 我们喜欢 Stripe，喜欢他们的工具、软件等等。但最近，他们更像黑帮老大，而不是供应商，因为他们知道他们的客户已经被深度锁定。 随着时间的推移，我们的合作协议演变成了多年最低年度费用承诺，并享受“企业”定价。每次续约时，模式都是这样的： Stripe 提高最低年度费用。 如果我们自然无法达到最低消费额，他们就希望我们通过购买附加产品和“锦上添花”的功能来弥补差额，以满足承诺。 我们被警告说，如果我们找不到达到最低消费额的方法，他们可以直接从我们的收入中扣除全额。 在选择 Stripe 之前，我想到的几点建议： 1. 让你的集成具有可移植性。不要使用供应商提供的表单/卡片逻辑。 2. 使用一个可以轻松切换卡片提供商的发票平台。 3. 对每年小幅度的最低消费额提出异议，因为他们下次只会提高它，而不是专注于让你赚更多的钱，Stripe 专注于自身利益。 致所有在 Stripe 工作的人，你们打造了一个很棒的产品，只是希望你们能够保持让你们走到今天的文化。 祝好运

嗨，HN！ 我们刚刚在 Buildstash 上开放注册。这是一个用于管理和共享软件二进制文件的平台。 我曾在游戏开发、移动应用和代理机构工作过，发现每个团队都没有真正管理他们构建的二进制文件的系统。通常只是被丢进一个共享文件夹（如果有人记得的话！） 没有版本控制系统，无法跟踪谁在何时批准了什么，或者哪个确切的构建版本已交付给客户等等。 现有的用于管理构建产物的工具主要集中在软件包存储库管理上。但却忽略了所有其他未以这种方式部署的软件。 这就是我们为 Buildstash 看到的空白。它用于组织和分发针对任何和所有平台的软件二进制文件，无论它们是如何部署的。 我们非常注重用户体验，并确保设置非常简单——与 CI/CD 集成或捕获本地构建，即使是最小的团队也能轻松启动并运行。 对于移动应用程序，它将处理集成的 Beta 分发。对于游戏，它处理针对 PC、游戏机或 XR 的大型二进制文件也毫无问题。跟踪固件、应用程序和工具中的二进制文件的嵌入式团队非常适合使用。 我们于周一推出了该产品，并且本周每天都会发布另一个功能—— 今天，我们发布了 Portals——一个您可以在您的网站上托管的自定义品牌空间，并向您的用户发布版本或整个构建流。想想 GitHub Releases，但功能更强大。或者，想想您在开发人员网站上看到的任何自定义构建界面，用于按平台查找过去的构建、浏览夜间构建、过去的版本等——Buildstash Portals 可以为您开箱即用完成所有这些，只需几分钟即可自定义。 这是一个演示视频 - <a href="https://youtu.be/t4Fr6M_vIIc" rel="nofollow">https://youtu.be/t4Fr6M_vIIc</a> 以及发布周页面 - <a href="https://buildstash.com/launch-week" rel="nofollow">https://buildstash.com/launch-week</a>

我开发 DomainOptic 的起因是差点在生产环境中泄露我的 Stripe 密钥。<p>它在几秒钟内运行 6 项检查：<p>* SSL 证书 - 有效性、过期时间、协议 - DNS 健康状况 - SPF、DKIM、DMARC（电子邮件欺骗保护） * 安全标头 - CSP、HSTS、X-Frame-Options * 黑名单状态 - 垃圾邮件/恶意软件列表检查 * 密钥扫描器 - 在公共 JS 捆绑包中查找泄露的 API 密钥（AWS、Stripe、Firebase 等） * 幽灵 API 猎手 - 暴露的 Swagger 文档、GraphQL 端点、调试路由<p>每次扫描都会获得 A+ 到 F 的评分，并用通俗易懂的语言解释你为什么需要关注这些问题。<p>后两项是差异化优势，大多数 SSL 检查器都存在，但很少有工具被动扫描你的前端，以查找已泄露的密钥或被遗忘的 /api 端点。<p>希望获得关于误报率的反馈，以及哪些其他检查会很有用。