OnePlus 7 Pro Magisk(Root) 教程

本文由 Coxxs 原创,转载须注明原文链接:https://coxxs.me/1144

2019-6-6 更新:撰文时还没有可以直接加载的 TWRP,但现在已经有了。本文也添加了使用 TWRP 刷入 Magisk 的方法,更方便。

一加手机 7 Pro 刚刚开售,一如既往,一加手机依然可以轻松解锁 Bootloader。不过这次一加用的是 A/B 分区方式,Root 等操作的方式与以往不同,因此写一篇文章简单总结下。

继续阅读OnePlus 7 Pro Magisk(Root) 教程

Ubuntu 18.04 快速安装最新版 MySQL / PHP

此前,我介绍过如何在 Ubuntu 下快速配置 LNMP(LEMP) 环境。通过 apt,省去了编译过程,可以在几十秒内轻松安装 Nginx、PHP、MySQL 等,完成网站环境的搭建。

但上述方式中,所使用的是 Ubuntu 提供的 apt 库,安装的软件版本也是与 Ubuntu 版本相关的。例如,在 Ubuntu 14.04 LTS 下,安装的是 PHP 5.5;而在 Ubuntu 16.04 LTS 下,默认安装的是 PHP 7.0

为了能够用上最新版的软件,难道真的只能再次回到编译安装了吗?其实 MySQL 和 PHP 都有官方(或是官方开发者)所提供的最新编译版,只需添加对应的 apt 库,即可快速安装最新版本的 MySQL / PHP,享受新特性与性能提升。

继续阅读Ubuntu 18.04 快速安装最新版 MySQL / PHP

串流不息

本文由 Coxxs 原创,转载须注明原文链接:https://coxxs.me/1049

常常有人跟我说,某个网站又上不去了。通常,当我确认网站确实正常,然后提示他检查网络的时候,他就会回应说,他用的是 666 Mbps 的豪华光纤!..哇,你竟然有 666 Mbps 的豪华光纤,好厉害!

高带宽不代表网络质量一定好,也不代表想上的网站一定上的去。网络如同一条河道,河道再宽,天天泥石流还咋川流不息啊。

好在,随着应用对网络越来越高的要求,用户也在逐渐意识到这一点。毕竟,看着X者荣耀上不断跳动的ping值和自己莫名死亡的角色,以及几秒一卡的网络直播,用户终能意识到,自己 666 Mbps 的豪华光纤或许并不那么的靠谱。

继续阅读串流不息

https 站点的 Cookies 泄露问题,以及如何应对

本文由 Coxxs 原创,转载请注明原文链接:https://coxxs.me/838

这几天,看见有人提到部分 https 站点的 Cookies 可通过中间人攻击泄露。按正常理解 https 已经加密了大多数内容,为什么还会泄露呢?读完原文,发现是因为目标站点配置错误所造成的(Spoiler: Cookies 未添加 Secure 属性)。

反思自己运维的网站,发现我的某个生产站点,竟也存在该问题(= =##)。匆忙修复后,写下本文,谈谈攻击的原理、站长如何修复以及用户如何规避。

继续阅读https 站点的 Cookies 泄露问题,以及如何应对

Twitter 帐号锁定体验

本文由 Coxxs 原创,转载请注明原文链接:https://coxxs.me/766

GDPR & Twitter

两个月前,GDPR(General Data Protection Regulation,通用数据保护条例)正式生效。GDPR 中规定,欧盟对于年龄小于 16 周岁的儿童(根据成员国法律,最低可调整为 13 周岁),必须经过其监护人同意,才可以为其提供社交网络服务、处理其个人数据。如果没有父母同意,处理其小于该年龄时所产生的数据亦是违反 GDPR 的。

例如,适用于 GDPR 的 Joe 在 12 岁时注册了 Twitter 并发布了一条推文。GDPR 生效时他早已 16 周岁了,但如果没有其监护人同意,且 Twitter 通过技术手段能够获得 Joe 的实际年龄,则 Twitter 处理其 12 岁时发布的推文依旧是违反 GDPR 的。(Reference)

继续阅读Twitter 帐号锁定体验

0CTF 2018 write up

去年被 0CTF 虐过了之后,有些恋恋不舍(并不),于是今年参加了 0CTF 2018。不算签到题,27 题解出了 3 题(还包括了一道水题),我好菜啊.. 不过有意思的是,Easy User Manage System 这道并不难的题在我首杀之后,比赛第一天内就没有其他队提交了,靠着这题的 1000 分,有幸在榜上逛了几分钟

继续阅读0CTF 2018 write up

2018 年 3 月安恒杯线上月赛 write up

呃.. 很尴尬的一次比赛.. 第一次使用 VPN 参加比赛,连进内网,感觉很安全的样子。然而平台却因为被攻击(据主办方说),频频无法访问。

本来打算是当作一次练习,结果阴差阳错拿了第二。看了看前面几次的月赛的 write up,感觉自己基本都不会做。只能认为是这次比赛参赛人数较少,而且有几道题正好自己之前做过类似的,拿了很多首杀加分 = =##

继续阅读2018 年 3 月安恒杯线上月赛 write up

Hello, HSTS Preload

本站今日起正式启用 HSTS,并已提交 HSTS Preload List。

此前也有给其他域名启用过 HSTS Preload,但基本都是实验性质的域名(项目)。本站算是我第一个提交 HSTS Preload 的正式网站。

HSTS Preload List 将越来越庞大。说不定,再过几年,https 将成为所有网站的标配。到那时,国内的浏览器们,会不会私藏几个散发着红色气息的根证书呢? ;)

继续阅读Hello, HSTS Preload

说说 Discuz! 网站安全 #2

本文由 Coxxs 原创,转载请注明原文链接:https://coxxs.me/604

上一篇文章中,我们提到了六个加强网站安全性的通用措施。在本文中,我们会针对性的对 Discuz! X 的一些遗留安全问题进行修复。在阅读本文前,我们假设你已经升级到了最新版的 Discuz! X(撰写本文时最新版本为 Discuz! X3.4 20180101)。

本文提及的所有的修复所对应的漏洞此前都已在互联网上公开。

请依次完成以下安全修复步骤:

继续阅读说说 Discuz! 网站安全 #2