产品课13:创业的入场时机

天使大于地利,地利大于人和。

时机确实是非常重要的,入场太早和太晚都不行。入场时机是很难把握的。

如何判断时机

越重要的事情越难做判断。

  1. 如果你相信一件事情早晚会发生,你就每三年试一次。
  2. 只要你没有倒闭,那就是早入场比晚入场好。

大公司和小公司的难处

大公司: 内部人员需要追求晋升,所以都是追涨杀跌,业务如果没有进展就会被砍掉。

小公司: 如果一段时间没有进展,团队中的人会被挖人。会被自己质疑方向问题,缺乏信心。

所有伟大的需求都一定会用错误的方法或在错误的时间点试过很多次。

如果这个事情被很多人做过,但是没成,可能是多方面的原因,有可能是时间窗口没打开。

facebook的例子

facebook早起有个总裁叫Sean Parker,他早起做过社交网络,积累了重要的认知。所以如果不离开这个行业,就可以及时的捕捉到创业的趋势和正确的认知。

所以如果你看好一个行业,保证你公司不倒闭的情况下,入场越早你越能积累正确的认知,越可能把握浪潮。

产品课12: 高频与低频产品

高频替换低频的机会

互联网常见的策略是利用高频的产品打低频的产品,因为高频的APP具有优势。

高频的优势就是在用户获取成本和留存率上有很大的优势,如果在某个市场还有巨大的增量的话,那用高频打低频是非常合适的。低频的APP 很容易就可以被替换掉。

还有一种情况就是,大家换手机的频率大概是2年,然后很少有人会把所有的APP都装回来,这样高频的APP就很容易被先装回来,这就对低频的APP起了一个替换作用。

低频产品怎么样生存

低频的产品要保持竞争,需要深入产业链,把很多人不愿意做的东西给做了。还有一种方式就是和高频合作,让人有需求的时候可以顺手从入口进入。

互联网公司的三级火箭

创业公司,特别是互联网的创业公司,要能够生存得好,就需要三级火箭。

三级火箭是:

第一级,头部流量。

第二级,沉淀某类用户的商业场景。

第三级,完成商业闭环。

比如:

逻辑思维

  1. 免费脱口秀
  2. 得到APP
  3. 付费听课

小米公司

  1. 手机
  2. 零售场景
  3. 高利润产品

三级火箭中,第一级火箭一定是一个高频应用,三级递推,一定是高频推低频。

开始通过第一级火箭获得了大量的用户之后,可以快速展开一个可以沉淀用户的商业场景,然后通过高利润产品挣钱。

火箭是自己把自己推起来的,它的一级就是一个巨大的燃料堆,目的是给自己制造势能。但火箭的目的不是飞得越高越好,而是为了放卫星,是为了把一颗星星放到星空上

API渗透测试的一般步骤

针对API的渗透测试一般分为7个步骤,分别是:

  1. 前期交互
  2. 信息收集
  3. 威胁建模
  4. 漏洞发现
  5. 漏洞利用
  6. 后渗透或横向移动
  7. 报告撰写

这里主要介绍信息收集和漏洞发现。

API渗透的信息收集

信息收集是API渗透的入口,非常的重要。

1.自动化的收集

使用自动化工具收集相关对象的信息。 包括域名,子域名,IP,端口,DNS,路径,参数等等

2.手工收集

手工整理业务流程,组织架构和人员职能等

3.情报收集

通过其他渠道获取关键信息。

注意的事项:

API是否存在接口定义的规范描述文件?

  • 如果存在,遵循的规范是什么?
  • API 依赖什么语言实现?
  • API 运行所依赖的组件是什么版本?是否存在已知的漏洞
  • 互联网上是否存在其泄露的API key 或者证书
  • API 是否存在多个版本?多个接入端?

API 渗透的漏洞发现

1.自动化检测

和对象进行交互,根据应答的响应情况来判断是否存在漏洞。

特点: 耗时短,速度快,但是存在误报

2.手工挖掘

人工方式验证,使用辅助的工具

特点: 耗时长,速度慢,但准确性高

实际工作,往往两种方式混用。 先使用自动化监测工具全量扫一遍,再根据高风险业务场景进行人工测试或者复核。

注意的事项:

API渗透测试多为手工挖掘

  • 认证和授权。 对于API的认证鉴权机制,设计人员和研发往往认识不足,甚至缺少认证和授权机制。 比如 令牌,HTTP方法在进入服务器之前是否都经过了严重,OAuth协议使用的正确性,无认证和授权的API 是否可以任意调用。
  • 输入验证。 研发人员通常对输入缺少有效的验证,比如XML实体注入的类型攻击,不同的响应类型application/josn和application/xml
  • 数据编码。 包含JSON格式的数据,容易导致反序列化漏洞或者远程代码执行
  • API版本和影子API。 同一个API的不同版本活未在API规范文件描述的API更容易发现漏洞。