如何优雅地写博客
分享我的写作经历。前言本文将以我个人写作方式的演变为主线,分三个不同的阶段讲述。请注意:文章的重点不在于 静态文档生成器,写作平台的选择。正文安逸的 PC 阶段初识 Hexo在大二刚开学的时候,我便萌生了建立个人博客的念头。当查阅很多资料后,发现了一款名叫Hexo的静态文档生成器广受好评,网上有关的文章也非常多,于是在大势所趋下,我走上了这漫长的建站之路。这里闲话两句:刚开始,我把大量的时间都用在网页交互上,现在回头一想,真是搞错了重点。对于一个博客来说,内容才是最重要的。CI 的增持在最初的写作流程很繁琐,主要分为下面几个步骤:调用Hexo命令新建文章启动Hexo的本地服务器编写好文章在本地服务器上检查是否有遗漏利用Hexo生成出站点网页将这些网页push到Github Page上很容易看出,在PC阶段..
更多
Apple 一家建筑公司
我与墙的故事。前言本文只从技术发展角度出发,资本层面不允置评。正文筑墙的公司如果一家公司有自研的操作系统,有完善的设备生态,并且还拥有一大批成千上万的粉丝用户,那么很可能会发生一个现象:墙的出现。我说的墙指的是,如果你想在我的圈子牟利,你必须遵守我的规矩,必须用我提供的工具,且必须维护我的利益。这样的一堵墙不仅束缚了开发者,无形中还阻碍了它自身的发展。Apple,正是一家喜欢筑墙的公司。我的经历这两天,我针对网站在平板上的显示问题,特地去调整了一下Tomotoes的样式。结果便陷入了与墙的对抗之中。第一堵墙我遇到的第一堵墙是Apple专有的浏览器内核。因为Tomototes在平板下存在层叠渲染 Bug,我单纯地以为只是Safari的问题,结果当下载了好多个浏览器之后,惊奇地发现:网站显示的问题居然一致。不..
更多
36c3 Web 学习记录
签到选手不请自来,经过了好几天的琢磨,终于把这次比赛的题目都弄得差不多了,这里记录一下本次比赛 Web 题目的解法。如果师傅们有更好更有意思的解法,欢迎多多与菜鸡交流。非常感谢 @rebirth @wonderkun @wupco 等师傅在我学习本次比赛赛题时候不厌其烦地指导我。File MagicianDifficulty estimate: easySolved:133/321Points: round(1000 · min(1, 10 / (9 + [133 solves]))) = 70 pointsDescription:Finally (again), a minimalistic, open-source file hosting solution.Download:file magicia..
更多
Help you understand HTTP Smuggling in one article
This year’s Defcon 27 and Black Hat both mentioned HTTP DESYNC ATTACKS. I wanted to take the time to study it a few months ago, but I haven’t had much time. I recently took a look at it.Sorry for my bad English. If you can read Chinese, I recommend you to read this in Chinese. The Chinese part is here 一篇文章带你读懂 HTTP Smuggling 攻击.When I researched the other..
更多
一篇文章带你读懂 HTTP Smuggling 攻击
今年的 Defcon 27 与 Black Hat 上都有提到 HTTP DESYNC ATTACKS ,前几个月就想抽时间来研究研究了,奈何一直没什么时间,最近抽时间专门看了一下。在前些天研究的时候,恰巧 [emailprotected]知道创宇404实验室 也发表了协议层的攻击——HTTP请求走私文章,也带给了自己更多的启示,师傅的文章写的非常的不错,墙裂建议阅读,这里我结合师傅的文章跟自己的一些理解进行一些整理,本文亦可理解为那篇文章的补充与更详细的描述。整篇文章由于自己时间问题,前前后后拖了两个月左右,中间时间间隔可能比较久,所以文章会有比较多的疏漏,还请师傅们看后直接指出斧正。写作不易,还请师傅们多多担待。最近也一直在关注这方面的安全问题,欢迎一起学习讨论: ) 联系方式:emVkZHl1Lmx..
更多
XCTF Final NOXSS Write Up
这是本次比赛做起来最有跪感的一题了,当时比赛的时候怎么都弄不出来…赛后问了一下,主要还是差了一篇文章 Wykradanie danych w świetnym stylu – czyli jak wykorzystać CSS-y do ataków na webaplikację,这个标题是个波兰语,中文翻译过来就是使用 CSS 攻击 Web 应用程序,从文章内容也看到了 RPO 的攻击引述,也正是之前 noxss 2017 的解法。[TOC]Preparation所做的实验测试均在 Chrome 78.0.3904.97 版本上,Firefox 有一些场景未测试成功。我们需要的有 fontforge / nodejs / npm|yarn ,安装 fontforge on ubuntu,安装 node..
更多
XCTF Final 2019 Web Write Up
我们 SU 这次一共做出了3个 Web ,由于今年 XCTF Final 的时间不是特别好,我们队其他师傅有考试的考试,基本就现场的两个 Web 手在做,最后 LFI2019 比较可惜,如果多个几 min 我们就可以出了,实在可惜。下面就写写本次的 Web Write Up。[TOC]Webbabyblog界面跟 Byte CTF 的 babyblog 一致,有些功能还保留着,很有误导性…以为是个升级版,前者是一道二次注入后用 php 正则/e特性来执行命令的,所以我们一开始也就一直在日注入了…后来我发现/user个人界面有 ip 记录,于是尝试 XFF 注入无果,但是可以把 XFF 直接回显到页面上。发现/server_status,发现有大家的访问记录。陷入思考ing…队友突然看到有一个访问记录/us..
更多
[开源福利]Scrcpy-GUI
高效控制你的 Android 设备。前言💡简介 是由流行的Android模拟器Genymotion背后的团队创建的,但它本身并不是Android模拟器,它显示和控制通过USB(或通过TCP/IP)连接的Android设备,它不需要任何root访问权限,它适用于GNU/Linux、Windows和MacOS。Scrcpy的工作原理是在你的Android设备上运行服务器,桌面应用程序使用USB(或使用ADB隧道无线)进行通信。服务器流式传输设备屏幕的H.264视频。 客户端解码视频帧并显示它们。客户端捕获输入(键盘和鼠标)事件,将它们发送到服务器,服务器将它们注入设备。文档提供了更多详细信息。如果你想在桌面上看到你的Android屏幕与应用程序或内容进行交互,记录你的手机屏幕或执行其他基本任务,那Scrcp..
更多Go 开发中的十大常见陷阱[译]
Golang 中要注意的陷阱和常见错误。前言原文: The Top 10 Most Common Mistakes I’ve Seen in Go Projects作者: Teiva Harsanyi翻译许可: image-20210118234116954 img 我在 Go 开发中遇到的十大常见错误。顺序无关紧要。正文未知的枚举值让我们看一个简单的例子:1234567type Status uint32const ( StatusOpen Status = iota StatusClosed StatusUnknown)在这里,我们使用 iota 创建了一个枚举,其结果如下:123StatusOpen = 0StatusClosed = 1StatusUnknown = 2现在,让我们..
更多
为 Windows PowerShell 设置 User Alias (命令别名)
直接看步骤的话,在最下方。背景Windows Terminal 虽然还处于预览阶段,但是也出来很长一段时间了。它的历史使命,也许就是让原生 Windows 也能有一个像样的命令行环境。以前我一直在用 Cmder,但是 Cmder 的启动速度确实不敢恭维,而 Windows Terminal 启动确实很快。相比 Cmder, Windows Terminal 还缺少很多功能,不过以后应该很快也会补上。我想尝试使用 Windows Termimal 进行开发。Windows Terminal 默认可以使用 PowerShell、cmd、wsl bash作为脚本工具。既然是在 Windows 环境下嘛,还是得尊敬一下 Windows PoweShell 的。初次使用,我觉得 PowerShell 跟 Cmder..
更多