在新西兰
狗都不买
评论
全世界最大的套路就是本主题需向作者支付 10 人气 才能浏览!
评论
app上看了,谢谢
评论
也就只有那个漏洞可看了,嘘!希望天维网修复!
评论
app看完。无感
不如买入剑客牌mf基金保平安。
大萧条,大崩盘提上日程了
补充内容 (2025-2-19 16:29):
http://China2au/forum.php ... &extra=page%3D2
评论
1. APP 客户端绕过了权限验证
- 未正确调用权限检查:APP 可能直接请求了帖子内容,而没有进行付费验证,或前端代码没有正确屏蔽未付费用户。
- 逻辑漏洞:比如,前端只是在网页端限制了访问,而 APP 直接通过 API 获取了完整内容。
- 服务端 API 漏洞:如果 API 没有验证用户是否付费就返回了完整内容,APP 可能直接调用这个接口获取帖子内容。
- 不同的访问路径:APP 可能调用了一个不需要付费验证的 API,而网页版则调用了带验证的 API。
- 默认权限问题:可能 APP 端登录后,系统默认给了更高的访问权限,例如管理员权限,绕过了限制。
- 缓存问题:APP 可能缓存了之前查看的帖子,导致即使未付费,也能继续查看。
- 前端隐藏式防护失效:如果帖子内容实际上是前端直接加载的,而只是用 CSS 或 JavaScript 隐藏未付费用户的部分,那么 APP 可能直接解析完整 HTML 并显示帖子内容。
- 检查 API 权限:确保 API 返回数据前,必须验证用户是否付费,而不是仅仅依赖前端控制。
- 统一权限验证:无论是网页端还是 APP,都应该调用同样的权限验证逻辑,防止绕过限制。
- 日志监控:记录 APP 访问帖子内容的日志,检查是否有绕过验证的情况。
- 避免前端暴露数据:如果前端直接加载了完整数据再做隐藏,改成后端根据权限返回不同内容。
如果是开发者,可以调试 APP 的网络请求(如使用抓包工具 Fiddler、Charles),看看是不是调用了未受保护的 API,或者直接获取了完整帖子数据。
评论
1. Check and Fix API Permission Validation
Problem:
- The backend API may not properly check whether the user has paid before returning the post content.
- The app might be calling an unprotected API endpoint to fetch post data.
Fix:
Ensure that all API endpoints (for both web and app) verify payment status before returning post content.
Do not rely solely on frontend validation; enforce permission checks on the backend.
Example code (assuming a Python Flask backend):
@app.route('/post/<post_id>', methods=['GET'])
def get_post(post_id):
user_id = get_current_user_id() # Get the current user ID
if not has_paid(user_id, post_id): # Check if the user has paid
return jsonify({"error": "Payment required to view this post"}), 403
post = get_post_from_db(post_id) # Retrieve post data
return jsonify(post)
- If using a RESTful API, ensure all requests undergo backend validation.
- If using GraphQL, require authorization checks before resolving queries.
2. Ensure Web and App Use the Same Access Control
Problem:
- The web version and app may be using different API endpoints, and the app’s API lacks access restrictions.
Fix:
- Ensure both web and app access the same API endpoints, and enforce permissions at the backend.
- Make sure the app does not access the database directly or bypass the API logic.
3. Fix How Content is Loaded on the Frontend
Problem:
- The]Fix:
Ensure the backend does not return full content to unpaid users.
Avoid embedding full content in the frontend, even if hidden via CSS or JavaScript.
<div id="post-content" style="display: none;">Full post content</div>
<script>
if (userHasPaid) {
document.getElementById("post-content").style.display = "block";
}
</script>
The app can easily extract this hidden content.
Correct approach: Let the backend decide what to return
html
{% if user_has_paid %} <div id="post-content">{{ post.content }}</div>{% else %} <div>You need to pay to view this post.</div>{% endif %}
4. Check if the App is Bypassing ValidationProblem:
- The app might use tools like Charles or Fiddler to inspect network traffic and access hidden APIs.
Fix:
- Block unauthorized API access: Use tokens or cookies to validate user identity and payment status.
- Enable CSRF protection: Prevent the app from forging requests.
- Monitor API request logs: Detect unauthorized access attempts
import logginglogger = logging.getLogger(__name__)@app.route('/post/<post_id>', methods=['GET'])def get_post(post_id): user_id = get_current_user_id() if not has_paid(user_id, post_id): logger.warning(f"User {user_id} attempted to access {post_id} without payment") return jsonify({"error": "Payment required"}), 403 return jsonify(get_post_from_db(post_id))
5. Prevent Client-Side ManipulationProblem:
- The app might alter local storage, modify JavaScript variables, or intercept API responses to fake a paid status.
Fix:
- Do not store payment status locally; validate it with the server on every request.
- Ensure the backend enforces access control for critical data instead of relying on frontend restrictions.
- For mobile apps (iOS/Android), use SSL Pinning to prevent network interception.
6. Use Dynamic Content LoadingProblem:
- The app may directly access and parse the HTML page to extract full content.
Fix:
- Use dynamic content loading, ensuring the backend only serves content to authorized users.
- Example (ensure post content is fetched only for paid users):
fetch('/api/post/123') .then(response => response.json()) .then(data => { if (data.error) { document.getElementById("post-content").innerText = "Payment required"; } else { document.getElementById("post-content").innerHTML = data.content; } });
7. Conduct Code Audits & TestingProblem:
- Hidden logic bugs may allow the app to bypass payment checks.
Fix:
- Conduct code audits: Review all permission-related code to identify vulnerabilities.
- Perform black-box testing: Use tools like Charles or Fiddler to simulate app behavior and detect bypasses.
- Use security scanners: Tools like OWASP ZAP can help identify unauthorized access issues.
SummaryProblemFix
API lacks permission validationEnforce backend permission checks before returning content
Web and app have different access rulesEnsure both use the same API with the same validation logic
Frontend exposes hidden contentPrevent full content from being loaded on the frontend for unpaid users
App bypasses payment validationMonitor API logs, enable CSRF protection, block unauthorized API access
Client manipulates payment statusValidate payment status on the server instead of storing it locally
App extracts HTML contentUse dynamic loading to prevent unauthorized access
By implementing these fixes, you can effectively prevent the app from bypassing the paywall and viewing restricted content.
评论
卧槽,屎盖还有API啊,能开源嘛?
评论
这是解决方案之一,至于屎盖用不用API P,俺不清楚哈!
评论
听说过Dave Ramsay没
他就是科普贷款的危害的美国头部网红
其实就是这样子。
评论
发现我油管也订阅了他的一个频道了,但是没怎么看过视频。应该是一个大网红。订阅数很高
评论
他本职是做房地产的,做得挺成功,后面去做了财经talk back,现在上网了。讲话以刻薄闻名,哪里痛戳哪里~哈哈 名气很大
补充内容 (2025-2-20 22:51):
他的视频可以当脱口秀来看,有很多挺搞笑的
评论
这个文章的作者不如直接说租房不要钱?以30年来讲中性利率同一套房子大概率是前10年利息大于租金支出,后20年利息小于租金支出。
当然对于投资天才来说租房也不要租了,租个车库住就好,其他收入全部拿来杠杆梭哈,两年就能财富自由
评论
言之有理。
最终取决于无论自己多大或多小的资金,最大化的效率或最精细化使用效率的一个问题。
使用得当的情况下,3 - 5年内全款买房(不像银行借一分钱),NO Problem 啦,另一种情况,使用不当的情况下,折损20% 至 35%的本金也是正常的数值!
补充内容 (2025-2-21 11:20):
我指的不仅仅是投资市场,其它投资行业也是差不多的!
评论
嗯,说到这个份上,其实还结什么婚,有需要就去找小姐就好了,生孩子这些亏本生意为啥要做。
评论
饥渴找小姐,饿了8.8盒饭,没钱找winz,死了树葬,这就是新西兰华人的未来
评论
狗都不买他的帖子
评论
这个嘛, 道理是相通的, 只是你把它推理到不同的方面。就不知道作者知不知道有人类层次需求的理论,Maslow's hierarchy of needs .
评论
Dave Ramsey 的理财理念并不是最近才流行的,而是从 1990年代 开始就影响美国大众了。
Dave Ramsey的影响力发展
1992年:出版第一本书《Financial Peace》,讲述自己因债务破产的经历,并推广“零债务”理念。1992年:开始主持广播节目 《The Dave Ramsey Show》,逐渐成为美国最受欢迎的理财节目之一。2003年:出版畅销书 《The Total Money Makeover》,正式提出“七步理财法”(Baby Steps),成为理财畅销书之一。2010年代:YouTube、播客、社交媒体的兴起让他的理念传播更广,吸引年轻人关注。2020年后:TikTok 和 YouTube Shorts 进一步推动他的观点,使他成为美国理财领域的头部网红之一。
所以,他科普贷款危害的观点可以追溯到 1990年代,但真正成为社交媒体上的现象级影响力,主要是在 2010年代至今。
他的看法不完全错,但也不是唯一正确的理财方式。
他的方法适用于避免债务陷阱,但对利用好债务创造财富的人来说,并非最佳策略。
他的极端“无债”理念,在低利率+资产上涨的时代,确实会让人错失机会。
2020年后,随着利率上升,他的反债务理念又开始更有道理,因为高利率下贷款成本大幅增加。
如果在低利率时代(2008-2021)完全遵循他的建议,可能会错失房产增值机会。但在高利率时期(2022后),减少债务压力确实很重要。
至于从2020年至2050年的周期来看,长期房价应该是涨的,不过它可能跑不赢我的那个帖子!
评论
主贴显示14人购买了
评论
银行的钱从哪里来的?这是个关键问题
评论
他其实不是一味反贷款,他是支持贷款买房的,只是还贷额度15年的基础上不要超过收入的25-30%,并且在条件允许的情况下尽量还清。
我觉得从精神健康角度来看是非常合理的,尤其是美国又是信用卡债务大国,急需这样的反贷款声音。当然中国人喜欢赌暴富,崩盘,大起大落,抄底嘛,自然不适合看他了,哈哈~
评论
https://news.china2au.com/na/zh/2025-02-25/519966.shtml
纯干货!在新西兰,买房划算还是租房划算?专家:因人而异
评论
我记得 以前那个著名的租房经济学家后来买房了
评论
https://www.stuff.co.nz/business ... ght-a-house-at-last
补充内容 (2025-2-26 14:22):
https://www.nzherald.co.nz/busin ... 4XY75NXXR7ADLDM7FI/
评论
https://www.nzherald.co.nz/busin ... 4XY75NXXR7ADLDM7FI/
Rent, don't buy, says economist
评论
Property: Auckland market 'ponzi scheme' - economist
评论
Economist Shamubeel Eaqub on what's going on in the housing market and why he's now optimistic about housing
评论
印度爱买鞋的专家,娶了华人媳妇,生娃的时候买房了