

使用阿里云 ECS 搭建廉价的高性能云桌面
要想读懂本文,你需要:了解阿里云等云服务的基本 WEB 界面操作;了解 Windows 操作系统的中阶操作;了解基础的软件开发术语。前言本文面向的是需要使用高性能计算设备,但是身边只有低性能PC机的群体。最近由于 NCP 疫情,出不了门,返回不了工作地,想必不少人的高性能计算设备(好电脑)没带回家,但是,肯定也有人跟我一样,受不了笔记本电脑的龟速。我的配置需求是,能够流畅运行安装多个插件的 VSCode、能够同时打开数十个 Firefox 标签页、能够快速完成 node 项目构建。但是我身边只有一台五年前的 intel NUC (i3-4010U, 4GB RAM)。在详细了解了各大云服务商的云计算平台后,个人排除了华为云(弹性计算服务价格较高、云桌面售罄)、腾讯云(云计算服务类别过少)、天翼云(云桌面需..
更多

如何优雅地写博客
分享我的写作经历。前言本文将以我个人写作方式的演变为主线,分三个不同的阶段讲述。请注意:文章的重点不在于 静态文档生成器,写作平台的选择。正文安逸的 PC 阶段初识 Hexo在大二刚开学的时候,我便萌生了建立个人博客的念头。当查阅很多资料后,发现了一款名叫Hexo的静态文档生成器广受好评,网上有关的文章也非常多,于是在大势所趋下,我走上了这漫长的建站之路。这里闲话两句:刚开始,我把大量的时间都用在网页交互上,现在回头一想,真是搞错了重点。对于一个博客来说,内容才是最重要的。CI 的增持在最初的写作流程很繁琐,主要分为下面几个步骤:调用Hexo命令新建文章启动Hexo的本地服务器编写好文章在本地服务器上检查是否有遗漏利用Hexo生成出站点网页将这些网页push到Github Page上很容易看出,在PC阶段..
更多

Apple 一家建筑公司
我与墙的故事。前言本文只从技术发展角度出发,资本层面不允置评。正文筑墙的公司如果一家公司有自研的操作系统,有完善的设备生态,并且还拥有一大批成千上万的粉丝用户,那么很可能会发生一个现象:墙的出现。我说的墙指的是,如果你想在我的圈子牟利,你必须遵守我的规矩,必须用我提供的工具,且必须维护我的利益。这样的一堵墙不仅束缚了开发者,无形中还阻碍了它自身的发展。Apple,正是一家喜欢筑墙的公司。我的经历这两天,我针对网站在平板上的显示问题,特地去调整了一下Tomotoes的样式。结果便陷入了与墙的对抗之中。第一堵墙我遇到的第一堵墙是Apple专有的浏览器内核。因为Tomototes在平板下存在层叠渲染 Bug,我单纯地以为只是Safari的问题,结果当下载了好多个浏览器之后,惊奇地发现:网站显示的问题居然一致。不..
更多

36c3 Web 学习记录
签到选手不请自来,经过了好几天的琢磨,终于把这次比赛的题目都弄得差不多了,这里记录一下本次比赛 Web 题目的解法。如果师傅们有更好更有意思的解法,欢迎多多与菜鸡交流。非常感谢 @rebirth @wonderkun @wupco 等师傅在我学习本次比赛赛题时候不厌其烦地指导我。File MagicianDifficulty estimate: easySolved:133/321Points: round(1000 · min(1, 10 / (9 + [133 solves]))) = 70 pointsDescription:Finally (again), a minimalistic, open-source file hosting solution.Download:file magicia..
更多

Help you understand HTTP Smuggling in one article
This year’s Defcon 27 and Black Hat both mentioned HTTP DESYNC ATTACKS. I wanted to take the time to study it a few months ago, but I haven’t had much time. I recently took a look at it.Sorry for my bad English. If you can read Chinese, I recommend you to read this in Chinese. The Chinese part is here 一篇文章带你读懂 HTTP Smuggling 攻击.When I researched the other..
更多

一篇文章带你读懂 HTTP Smuggling 攻击
今年的 Defcon 27 与 Black Hat 上都有提到 HTTP DESYNC ATTACKS ,前几个月就想抽时间来研究研究了,奈何一直没什么时间,最近抽时间专门看了一下。在前些天研究的时候,恰巧 [emailprotected]知道创宇404实验室 也发表了协议层的攻击——HTTP请求走私文章,也带给了自己更多的启示,师傅的文章写的非常的不错,墙裂建议阅读,这里我结合师傅的文章跟自己的一些理解进行一些整理,本文亦可理解为那篇文章的补充与更详细的描述。整篇文章由于自己时间问题,前前后后拖了两个月左右,中间时间间隔可能比较久,所以文章会有比较多的疏漏,还请师傅们看后直接指出斧正。写作不易,还请师傅们多多担待。最近也一直在关注这方面的安全问题,欢迎一起学习讨论: ) 联系方式:emVkZHl1Lmx..
更多

XCTF Final NOXSS Write Up
这是本次比赛做起来最有跪感的一题了,当时比赛的时候怎么都弄不出来…赛后问了一下,主要还是差了一篇文章 Wykradanie danych w świetnym stylu – czyli jak wykorzystać CSS-y do ataków na webaplikację,这个标题是个波兰语,中文翻译过来就是使用 CSS 攻击 Web 应用程序,从文章内容也看到了 RPO 的攻击引述,也正是之前 noxss 2017 的解法。[TOC]Preparation所做的实验测试均在 Chrome 78.0.3904.97 版本上,Firefox 有一些场景未测试成功。我们需要的有 fontforge / nodejs / npm|yarn ,安装 fontforge on ubuntu,安装 node..
更多

XCTF Final 2019 Web Write Up
我们 SU 这次一共做出了3个 Web ,由于今年 XCTF Final 的时间不是特别好,我们队其他师傅有考试的考试,基本就现场的两个 Web 手在做,最后 LFI2019 比较可惜,如果多个几 min 我们就可以出了,实在可惜。下面就写写本次的 Web Write Up。[TOC]Webbabyblog界面跟 Byte CTF 的 babyblog 一致,有些功能还保留着,很有误导性…以为是个升级版,前者是一道二次注入后用 php 正则/e特性来执行命令的,所以我们一开始也就一直在日注入了…后来我发现/user个人界面有 ip 记录,于是尝试 XFF 注入无果,但是可以把 XFF 直接回显到页面上。发现/server_status,发现有大家的访问记录。陷入思考ing…队友突然看到有一个访问记录/us..
更多

[开源福利]Scrcpy-GUI
高效控制你的 Android 设备。前言💡简介 是由流行的Android模拟器Genymotion背后的团队创建的,但它本身并不是Android模拟器,它显示和控制通过USB(或通过TCP/IP)连接的Android设备,它不需要任何root访问权限,它适用于GNU/Linux、Windows和MacOS。Scrcpy的工作原理是在你的Android设备上运行服务器,桌面应用程序使用USB(或使用ADB隧道无线)进行通信。服务器流式传输设备屏幕的H.264视频。 客户端解码视频帧并显示它们。客户端捕获输入(键盘和鼠标)事件,将它们发送到服务器,服务器将它们注入设备。文档提供了更多详细信息。如果你想在桌面上看到你的Android屏幕与应用程序或内容进行交互,记录你的手机屏幕或执行其他基本任务,那Scrcp..
更多

Go 开发中的十大常见陷阱[译]
Golang 中要注意的陷阱和常见错误。前言原文: The Top 10 Most Common Mistakes I’ve Seen in Go Projects作者: Teiva Harsanyi翻译许可: image-20210118234116954 img 我在 Go 开发中遇到的十大常见错误。顺序无关紧要。正文未知的枚举值让我们看一个简单的例子:1234567type Status uint32const ( StatusOpen Status = iota StatusClosed StatusUnknown)在这里,我们使用 iota 创建了一个枚举,其结果如下:123StatusOpen = 0StatusClosed = 1StatusUnknown = 2现在,让我们..
更多