当你付了费,却拿不到你买的东西 2024年一个Reddit用户发帖抱怨:他订阅了Netflix高级套餐,拥有支持4K HDR的显示器和显卡,但在Chrome浏览器上只能看720p。Netflix客服告诉他:“请使用Edge浏览器或购买支持HDCP 2.2的智能电视。“这不是个例。在Linux上,Netflix的4K内容几乎不可能播放;在某些显示器上,HDCP握手失败会让你瞬间跌回480p。 ...
1982年8月,Jon Postel发布了RFC 821,定义了简单邮件传输协议(SMTP)。这份文档奠定了一个影响至今的设计假设:网络上的所有用户都是可信的。四十多年后的今天,这个假设已经酿成了一场全球性的信任危机——商业邮件欺诈(BEC)在2024年造成了超过27亿美元的损失,而部署了完整邮件认证体系的域名仅占全球域名的10.7%。 ...
1998年12月25日,一位化名"Rain Forest Puppy"的安全研究员Jeff Forristal在黑客杂志《Phrack》上发表了一篇关于MS SQL Server 6.5漏洞的文章。他没有意识到,自己正在记录一种将困扰互联网四分之一个世纪的安全威胁——SQL注入。 ...
你正在咖啡馆里用笔记本远程办公,突然需要访问公司内网的一个数据库。这个数据库只监听在服务器的 127.0.0.1:5432 上,没有暴露公网端口,防火墙也严密封锁了直接访问。你该怎么办? ...
1995年,赫尔辛基理工大学的研究员Tatu Ylönen在学校的网络上发现了一次密码嗅探攻击。当时的远程登录协议——Telnet、rlogin、rsh——都是明文传输,攻击者可以轻易截获所有凭据。这次事件催生了SSH协议。 ...
2019年,GitHub收到了一个看似普通的GraphQL查询。这个查询只有几十行,结构清晰,语法正确。但GitHub的工程师很快发现,执行这个查询会导致服务器资源消耗呈指数级增长——理论上的最大返回数据量超过200亿条记录。这不是编码错误,而是GraphQL设计哲学中固有的安全困境。 ...
一个URL能被解析出多少种不同的结果?答案可能会让你感到意外。 2022年,安全研究人员Joshua Reynolds等人发表了一篇题为《Equivocal URLs: Understanding the Fragmented Space of URL Parser Implementations》的学术论文。他们对15个主流URL解析器进行了系统测试,发现了一个令人震惊的事实:针对同一个URL,不同解析器给出的主机名竟然可以完全不同。更严重的是,某些情况下这种差异会被攻击者利用,绕过Google Safe Browsing和VirusTotal等安全检测系统。 ...