朋友发来一个 Bilibili CTF 的链接,点进去看了下。开赛已经几小时,进入比赛的按钮指向的是一个 10. 开头的内网IP地址。试着把这个IP换成当前页面的地址,成功进入了题目页面。又过了一阵子,这个进入比赛的链接终于被改成正确的地址了——我想,这应该只是个小失误吧。作为国内最大(去二次元化)二次元视频网站的哔哩哔哩,其举办的安全竞赛不说专业,但应该也会挺有意思的吧。
确实挺有意思的,不过有意思的并不是题目本身。
继续阅读“首届 Bilibili 安全挑战赛吐槽”2021-6-24 Chrome 91 中已重新加回 overlay-scrollbars。chrome://flags/#overlay-scrollbars
Chrome 的 Overlay Scrollbars(重叠式滚动条)我已用了好几年了。小小的透明灰条替代了原本占据一定宽度的粗滚动条,让视野干净不少,也消除了同一网站下网页切换时滚动条出现/消失时带来的页面抖动。
然而在 Chrome 78 中,这个滚动条的开关在 chrome://flags 页面消失了。之前若是已启用 Overlay Scrollbars,仍可以继续使用该特性。但如果碰上浏览器重装或是新装,就找不到这个功能的开关了。
过去一年并没有怎么打 CTF,不少比赛难度对我而言偏高,自己也没有特别拿手的题型。不过去年参加的 Hackergame 2018 倒是玩得很开心,题目设计较有趣,难易度分布也较均匀。同时,由于赛程安排较长,在比赛的过程中能够有时间学习、消化新知识。
今年的 Hackergame 算法题与数学题稍多,有些题目最后还是网上找到别人写好的算法来求解,更像是搜索能力竞赛(其实是我太菜了)。既然比赛难度循序渐进,本 write up 也会包含进几道简单却有趣的题目,难度由简单到中等循序渐进。至于为什么不整理较难的题…(原因刚才说过了)
本文由 Coxxs 原创,转载须注明原文链接:https://dev.moe/1282
Instant Apps 真是个可怕的东西。
闲着没事就点开了个愤怒的小鸟出品的 Dream Blast 试玩,玩了几分钟觉着有意思,就下了 70MB 的完整版游戏。于是乎,几个小时就玩没了…
手游嘛,开头吸引人,后期总是氪氪氪。虽然我支持正版,但内购却并不讨喜。这游戏又有内购联网验证。思前想后,不如直接改存档吧。几经尝试,找到了位于 sdcard/Android/data/com.ro**o.dream/files/users/[userid]/prefs.json 的游戏存档文件。打开一看,好好的一个 .json 文件,怎么里面全是乱码呢。好吧,找加密算法去吧。
凌晨,躺在床上迟迟无法入眠。也许是因为前些日子重温空轨熬了些许夜,此时的我还未充满倦意。但逼迫着我保持清醒的,则是心中难以散去的悲伤与愤怒。20小时前发生在京都动画的事件与各种思绪萦绕在脑海,打消了一切任何试图使自己入睡的理性的尝试。
好吧,我知道熬夜很不好,毕竟我已为熬夜付出了太多的代价。但这一次,我还是想写点啥,将心中的思绪整理与数字化。
继续阅读“Ice Cream”本文由 Coxxs 原创,转载须注明原文链接:https://dev.moe/1144
一加手机 7 Pro 刚刚开售,一如既往,一加手机依然可以轻松解锁 Bootloader。不过这次一加用的是 A/B 分区方式,Root 等操作的方式与以往不同,因此写一篇文章简单总结下。
继续阅读“OnePlus 7 Pro Magisk(Root) 教程”此前,我介绍过如何在 Ubuntu 下快速配置 LNMP(LEMP) 环境。通过 apt,省去了编译过程,可以在几十秒内轻松安装 Nginx、PHP、MySQL 等,完成网站环境的搭建。
但上述方式中,所使用的是 Ubuntu 提供的 apt 库,安装的软件版本也是与 Ubuntu 版本相关的。例如,在 Ubuntu 14.04 LTS 下,安装的是 PHP 5.5;而在 Ubuntu 16.04 LTS 下,默认安装的是 PHP 7.0。
为了能够用上最新版的软件,难道真的只能再次回到编译安装了吗?其实 MySQL 和 PHP 都有官方(或是官方开发者)所提供的最新编译版,只需添加对应的 apt 库,即可快速安装最新版本的 MySQL / PHP,享受新特性与性能提升。
继续阅读“Ubuntu 18.04 快速安装最新版 MySQL / PHP”本文由 Coxxs 原创,转载须注明原文链接:https://dev.moe/1049
常常有人跟我说,某个网站又上不去了。通常,当我确认网站确实正常,然后提示他检查网络的时候,他就会回应说,他用的是 666 Mbps 的豪华光纤!..哇,你竟然有 666 Mbps 的豪华光纤,好厉害!
高带宽不代表网络质量一定好,也不代表想上的网站一定上的去。网络如同一条河道,河道再宽,天天泥石流还咋川流不息啊。
好在,随着应用对网络越来越高的要求,用户也在逐渐意识到这一点。毕竟,看着X者荣耀上不断跳动的ping值和自己莫名死亡的角色,以及几秒一卡的网络直播,用户终能意识到,自己 666 Mbps 的豪华光纤或许并不那么的靠谱。
继续阅读“串流不息”一个对新手很友好的 CTF,一个很有趣的 CTF,也是让我烧了几天脑的 CTF..
有些题目令我印象深刻,于是决定在这里记录下自己的解题思路。
本次比赛官方也有发布完整的 write up:GitHub(应主办方邀请,有幸将本文投稿到了其中)
本文由 Coxxs 原创,转载请注明原文链接:https://dev.moe/838
这几天,看见有人提到部分 https 站点的 Cookies 可通过中间人攻击泄露。按正常理解 https 已经加密了大多数内容,为什么还会泄露呢?读完原文,发现是因为目标站点配置错误所造成的(Spoiler: Cookies 未添加 Secure 属性)。
反思自己运维的网站,发现我的某个生产站点,竟也存在该问题(= =##)。匆忙修复后,写下本文,谈谈攻击的原理、站长如何修复以及用户如何规避。
继续阅读“https 站点的 Cookies 泄露问题,以及如何应对”