- 简介
- 目录大纲
- 最新文档
11GraphQL
GraphQL API 漏洞是指由于 GraphQL 的设计特性(如灵活查询、自省机制、类型系统等)被不当使用或实现缺陷,导致的安全风险。 这些漏洞可能被攻击者利用来窃取敏感数据、执行未授权操作、消耗服务器资源或绕过访问控制。 一、定义 GraphQL 是一种用于 API 的查询语言和运行时环境,由 Facebook 于 2012 年内部开发,2015 年开源,目前由 GraphQL 基金...……
毛林 - 2025年10月27日 20:23
14API文档
概述 API 文档(Application Programming Interface Documentation) 是一份技术性内容交付物,其核心作用是说明如何有效地使用和集成某个 API。 可以理解为: 产品的说明书:就像你买家电会附赠说明书一样,API 文档告诉开发者这个“软件组件”有哪些功能、如何操作、注意事项是什么。 开发者之间的合同(或协议):它明确规定了软件组件(服务端)对外...……
毛林 - 2025年10月27日 20:23
13服务器端参数污染
一、概述 服务器端参数污染(Server-Side Parameter Pollution,SSPP) 是一种因服务器对输入参数的解析逻辑存在缺陷,导致攻击者可通过构造特殊参数篡改服务器处理逻辑的安全漏洞。 其核心是利用服务器对 “参数重复、参数名冲突、参数嵌套” 等场景的解析规则漏洞,使服务器错误解析参数,最终执行非预期操作(如越权、数据泄露、功能滥用等)。 1.1 核心原理 API ...……
毛林 - 2025年10月27日 20:21
10OAuth 2.0身份验证
一、定位 OAuth 2.0 是一个开放授权框架(Open Authorization Framework)(而非原生的身份验证协议),核心目标是解决 “第三方应用如何在用户授权下安全访问用户资源” 的问题。 它的核心价值是 “授权”(明确 “允许访问什么资源”),而非直接的 “身份验证”(确认 “用户是谁”)。 例如:当你用 QQ 账号登录某音乐 APP 时,APP 不会获取你的 QQ 密...……
毛林 - 2025年10月27日 19:30
09JWT
一、JWT 是什么 JWT(JSON Web Token) 是一种基于 JSON 格式的令牌(Token),用于在双方之间以安全、可验证、可紧凑的方式传递信息。 它通常用于 身份认证(Authentication) 和 信息交换(Information Exchange)。 它的关键特性: 自包含(self-contained):Token 内包含了所有必要的信息,不需要额外的数据库查询(...……
毛林 - 2025年10月27日 19:24