018-【CS253】【网络安全】【Web Security】【斯坦福大学】【中

1. API设计中的不良决策会导致安全问题和混淆的功能签名。

2. Node.js中的Buffer类存在一个问题，当传入的参数是数字时，会返回未初始化的内存。

3. 解决这个问题的方法是在使用Buffer之前将内存清零。

4. 一些流行的npm包也存在类似的问题，需要注意API设计的安全性。

5. 发现问题后，及时向维护者报告并修复是很重要的。

6. 在buffer中，将数字转换为字符串可以解决潜在的问题。

7. 使用JSON schema可以验证JSON的正确性，但无法检测额外的属性。

8. 定义一个类来处理JSON对象，可以确保正确的类型和数据。

9. buffer的设计存在问题，应该将不同功能的API分开。

10. 隐藏错误的详细信息和服务器的软件信息可以增加安全性。

11. 在计算机网络中，服务器的版本信息对于攻击者来说是一个重要的漏洞，攻击者可以通过扫描网站的头部信息来寻找运行着易受攻击版本的服务器。

12. 为了保护服务器的安全，可以在Nginx中关闭服务器版本信息的显示，并关闭后端应用程序的自我宣传。

13. 攻击者可以通过发送请求来识别服务器所运行的操作系统版本，即使关闭了服务器版本信息的显示。

14. 本地HTTP服务器的安全性是非常重要的，因为它可能会被不受信任的网站发送请求并触发代码执行。

15. Zoom视频会议软件曾存在一个安全漏洞，允许任意网站打开用户的摄像头并进行监视。这个漏洞是由于Zoom在用户计算机上运行一个本地HTTP服务器所导致的。

16. 本文介绍了Zoom会议软件存在的安全漏洞，包括任意网站可以发送GET请求到Zoom服务器并加入会议，以及Zoom的本地服务器易受攻击。

17. 本地服务器的漏洞使得任意网站可以在用户计算机上运行代码，导致用户计算机被完全控制。

18. 苹果公司通过自动卸载Zoom的本地服务器来解决了这个安全问题。

19. 作者提到了Google Project Zero，这是一个由谷歌安全研究人员发现漏洞并通知相关公司的项目。

20. 作者建议尽量避免编写本地服务器，因为它们容易受到攻击，导致用户的计算机被攻击者控制。

21. 本地应用程序可以伪装成Zoom发送请求，并设置请求头，从而绕过安全措施。

22. 预检请求是一种保护网站安全的机制，但仍然存在被攻击的风险。

23. DNS重绑定是一种攻击方式，可以让互联网上的任何网站伪装成与目标网站相同的来源。

24. DNS重绑定攻击只对本地服务器有效。

25. 即使经过上述防御措施，本地服务器仍然容易受到攻击。