使用 ZoomEye 找到未启用身份验证的 Jupyter 服务器

在使用Jupyter Notebook和JupyterLab 的过程中，有些用户缺乏安全意识，未启用身份验证功能，导致任何用户都可以直接访问自己的Jupyter服务器，并查看其服务器上的代码和文档。

我们使用ZoomEye 网络空间搜索引擎，通过特定搜索关键词，可以找到互联网上那些未启用身份验证的Jupyter服务器。这些服务器上泄露的代码和文档，若被不法分子利用，可能会造成数据泄露和资产损失。

我们建议全部Jupyter用户，在启动Jupyter服务的时候，遵循官方安全建议，设置成必须通过token或者password登录。

公司接口裸奔10年了，有必要用API接口签名验证吗？

请求身份
为开发者分配AccessKey（开发者标识，确保唯一）和SecretKey（用于接口加密，确保不易被穷举，生成算法不易被猜测）。

基于 Kotlin 特性实现的验证框架

本文介绍了一个基于 Kotlin 特性的验证框架，这些特性包括范型、DSL、扩展函数、带接收者的函数类型等等。因此，它使用起来简洁，也有具有很好的可读性。

基于日志服务的GrowthHacking(1):数据埋点和采集(APP、Web、邮件、短信、二维码埋点技术)

在上文中，我们介绍了GrowthHacking的整体架构，其中数据采集是整个数据分析的基础，只有有了数据，才能进行有价值的分析；只有高质量的数据，才能驱动高质量的运营分析.可以说,数据质量决定了运营质量。

不就是个短信登录API嘛，有这么复杂吗？

一个短信登录API背后，还能牵扯出这么多事儿。

上联：这个需求很简单

下联：怎么实现我不管

横批：今晚上线

使用 gorilla/mux 进行 HTTP 请求路由和验证

gorilla/mux 包以直观的 API 提供了 HTTP 请求路由、验证和其它服务。

Go 网络库包括 http.ServeMux 结构类型，它支持 HTTP 请求多路复用（路由）：Web 服务器将托管资源的 HTTP 请求与诸如 /sales4today 之类的 URI 路由到代码处理程序；处理程序在发送 HTTP 响应（通常是 HTML 页面）之前执行适当的逻辑。

Auth0云服务身份验证平台爆出身份验证绕过漏洞CVE-2018-6873/74

攻击者仅需要知道用户的user ID或者email地址，就可以登录该用户任何使用Auth0验证的应用。身份即服务网络身份认证公司Auth0曾获得1500 万美元 B 轮融资。

有关数据验证的原则

今天下午和小伙伴们开会想到的，在会上也和伙伴们简单沟通一下。在这里详细和大家分享一下对于这个话题的认知。如果要简单概括一下我的想法，那就是：对于数据验证而言，前端验证很有必要，但后端验证必须要存在。

聊聊短信接口攻击的防范方案

从Web2.0到移动互联网时代后，越来越多的产品功能开始使用短信验证功能，注册/登录/密码找回/支付.. ，可以说短信服务（接口）已经成为最重要的技术基础设施之一。也正是因为重要，越来越多的恶意攻击事件开始围绕着短信接口进行，很多团队也因此踩过坑。所以，今天梳理一下常用的短信攻击防范措施，供大家参考。

golang 如何验证struct字段的数据格式