Twitter 帐号锁定体验

本文由 Coxxs 原创,转载请注明原文链接:https://dev.moe/766

GDPR & Twitter

两个月前,GDPR(General Data Protection Regulation,通用数据保护条例)正式生效。GDPR 中规定,欧盟对于年龄小于 16 周岁的儿童(根据成员国法律,最低可调整为 13 周岁),必须经过其监护人同意,才可以为其提供社交网络服务、处理其个人数据。如果没有父母同意,处理其小于该年龄时所产生的数据亦是违反 GDPR 的。

例如,适用于 GDPR 的 Joe 在 12 岁时注册了 Twitter 并发布了一条推文。GDPR 生效时他早已 16 周岁了,但如果没有其监护人同意,且 Twitter 通过技术手段能够获得 Joe 的实际年龄,则 Twitter 处理其 12 岁时发布的推文依旧是违反 GDPR 的。(Reference)

继续阅读“Twitter 帐号锁定体验”

0CTF 2018 write up

去年被 0CTF 虐过了之后,有些恋恋不舍(并不),于是今年参加了 0CTF 2018。不算签到题,27 题解出了 3 题(还包括了一道水题),我好菜啊.. 不过有意思的是,Easy User Manage System 这道并不难的题在我首杀之后,比赛第一天内就没有其他队提交了,靠着这题的 1000 分,有幸在榜上逛了几分钟

继续阅读“0CTF 2018 write up”

2018 年 3 月安恒杯线上月赛 write up

呃.. 很尴尬的一次比赛.. 第一次使用 VPN 参加比赛,连进内网,感觉很安全的样子。然而平台却因为被攻击(据主办方说),频频无法访问。

本来打算是当作一次练习,结果阴差阳错拿了第二。看了看前面几次的月赛的 write up,感觉自己基本都不会做。只能认为是这次比赛参赛人数较少,而且有几道题正好自己之前做过类似的,拿了很多首杀加分 = =##

继续阅读“2018 年 3 月安恒杯线上月赛 write up”

说说 Discuz! 网站安全 #2

本文由 Coxxs 原创,转载请注明原文链接:https://dev.moe/604

上一篇文章中,我们提到了六个加强网站安全性的通用措施。在本文中,我们会针对性的对 Discuz! X 的一些遗留安全问题进行修复。在阅读本文前,我们假设你已经升级到了最新版的 Discuz! X(撰写本文时最新版本为 Discuz! X3.4 20180101)。

本文提及的所有的修复所对应的漏洞此前都已在互联网上公开。

请依次完成以下安全修复步骤:

继续阅读“说说 Discuz! 网站安全 #2”

说说 Discuz! 网站安全 #1

本文由 Coxxs 原创,转载请注明原文链接:https://dev.moe/582

十年前,PC 还是主流,BBS 占据了中国互联网很大一部分。Dvbbs、phpwind 和 Discuz! 三分论坛程序市场。

十年后,移动设备成为了大多数人主要的联网方式,QQ、微信、微博成为了大多数人的日常。昔日繁荣的论坛,有的努力转型,争取移动用户;有的则是随着时代的发展,逐渐没落。

不少逐渐没落的论坛,并没有被站长完全放弃。站长依然努力保持着最低限度的维护,许多会员依然会时不时想起这个论坛,上去发几篇帖子。论坛里大量用户产生的内容,也成为了互联网历史中的宝贵财富。但恐怕,这样的场面,并不能持续太久。

Tom Scott 的一段演讲令我印象深刻:

许多用了多年的网络留言版,一旦管理员的密码(或论坛程序本身)被黑客攻破,就基本等同于网站的永久关闭。因为大多数小网站根本没有备份,能在受攻击后恢复的网站并不多。

继续阅读“说说 Discuz! 网站安全 #1”

Discuz! X 3.4 用 20 万个请求,绕过注册邀请码

本文由 Coxxs 原创,转载请注明原文链接:https://dev.moe/528

2017-8-11 此漏洞修复方案已提交至 Discuz! 官方

2017-8-21 官方修复此问题,并发布 Discuz! X3.4 Release 20170820

背景

在 Discuz! X 发布前,Discuz! 就有邀请注册功能。管理员可以通过开启邀请注册,让游客需要邀请码注册。根据论坛运营的性质,游客需要通过他人邀请,或者通过购买等获取邀请码。

继续阅读“Discuz! X 3.4 用 20 万个请求,绕过注册邀请码”

0CTF 2017 write up

又一次偶然的机会,有(ziji)幸(baoming)参加了 0CTF 2017。发挥出所有能力,22 道题解出 4 道(不算签到题),再一次感受到我与菊苣的差距..

Welcome

Welcome to 0CTF 2017~
irc: irc.freenode.net #0ctf2017

很标准的一道签到题,打开 https://webchat.freenode.net/(有 Google reCAPTCHA,需连接外网),进入 #0ctf2017 频道,公告栏获得 flag。

继续阅读“0CTF 2017 write up”

Discuz! X 附件免积分下载(2016)原理及修复方案

2017-3-9 此问题已提交 Discuz! 官方,并在 Discuz! X3.4 中得到修复。

事实上,在2014年,我发现过 Discuz! 的一个附件越权下载漏洞(顺便可以免积分),当时也有不少利用工具出现。今天看到一位高手(ID: 快乐的小2B)发布了一个新版的免积分工具(感谢作者发布及朋友告知),测试下来发现确实可以使用,带着好奇分析了下具体实现原理。

继续阅读“Discuz! X 附件免积分下载(2016)原理及修复方案”

Ubuntu 18.04 快速配置 LNMP(LEMP) 环境

从接触 Linux 服务器(vps)配置 Web 服务开始,用过 lnmp.org 的一键安装包,也学过自己编译安装。虽说编译安装自定义性较高,但是也容易遇到各种问题,而且费时费力,后期还不易维护。

在朋友和相关文章的指导下,了解了 apt 的神奇魅力。乘着 Ubuntu LTS 更新之际,来学学用 apt 来快速配置一个干净易维护 LNMP 环境。

本文目前适用于 Ubuntu 18.04、16.04。如果环境为 Ubuntu 16.04,请将以下各处 PHP 版本中的 7.2 替换为 7.0。

继续阅读“Ubuntu 18.04 快速配置 LNMP(LEMP) 环境”

Discuz! F1.0(20160119) 新触屏版无法使用QQ登录问题修复

本文由Coxxs原创,转载请注明原地址:https://dev.moe/389

更新:本问题已提交至 Discuz! F 官方,并已在新版得到官方修复。

更新了 Discuz F1.0,试了试“新”触屏版(其实就是微社区搬来的啊喂!),结果发现这搬得相当不完整,有很多功能异常及缺失。摸索了一个晚上,修复了最重要的QQ登录无法使用的问题,在此记录。

首先,要使用“触屏版”的QQ登录,需要在后台启用“微信登录”插件。

继续阅读“Discuz! F1.0(20160119) 新触屏版无法使用QQ登录问题修复”