北京之旅

这次借着参与乌云峰会白帽子大会的机会,顺带逛了逛帝都。不得不说帝都的空气十分糟糕,在下飞机抵达北京之后,咽喉干哑,干的几乎喝再多水也没办法弥补那种无力的感觉。

7月7号下午抵达北京之后,在北京当地吃了一顿比较有特色的午饭之后,下午开始在北京城瞎逛。

因为当地还是蛮大雾霾的,所以基本想看蓝天成了奢望了。

第一个去的,当然还是天安门:

IMG_2308 继续阅读

Tampermonkey–一款优雅的chrome扩展

Tampermonkey是一款基于js开发的chrome扩展程序,安装了Tampermonkey,相当于你拥有了第二个chrome商店(无需再次翻墙,便能体验到大量js功能给你带来的好处)。

官网:http://tampermonkey.net/

官网介绍(摘自部分介绍):

Tampermonkey 是一款免费的浏览器插件和最为流行的用户脚本管理器,它适用于基于 Blink 和 WebKit 的浏览器,像是 Chrome, Opera NextSafari继续阅读

小技巧–通过搜索来显示正常的新浪微博排序

不知道从什么时候开始,新浪微博客户端不再是和以前那样,按照时间线的顺序来排序微博了,用起来非常郁闷。经常刷了好几次微博依然都是几个小时甚至是几天以前的。能否通过一些技巧来重新让以前的排序回到我们的微博呢?目前从微博上了解到是可以的。

以我iphone客户端为例,先点击发现(其实就是搜索)

sousuo

 

点击之后,通过输入… : 继续阅读

csp与bypass的探讨(译文)

这篇文章是对http://blog.innerht.ml/csp-2015/ 的翻译,因为最近在想对抗csp策略的一些绕过方式,而该文章给了我不少的tips,个人认为还是值得和大家分享一下。

2015年。事情已经发生了很多变化,我们目睹了ECMAScript的版本在2015升级到了第5版本。它使得前端技术具有快速的变化,也有像资源的完整性和客户端的保护机制。许多新的建议被提到网站安全的防范上。

CSP,安全机制,试图涵盖在客户端的广泛的攻击面,也升级到第二阶段。在这篇文章里,我想简单用一个我用在推特的bug绕过csp的例子,讨论了它的有效性和存在的不足。 继续阅读

谈谈Xcode与毒苹果

apple
最近苹果接二连三的爆出了很多漏洞,以及相关的安全问题,这里有一篇乌云君的总结: 从黑客角度看,iOS 9到底该不该升

对于最近发生的Xcode投毒,相信大家也是比较触目惊心,那么多中毒的app应用,普通用户怎么去面对此类问题并且做出防范?

今天有幸看到wulujia老师在微信号公布的一些个人经验,个人觉得很有实用价值,做起来也不麻烦,遂和大家分享一下:(原文来自:关于「毒苹果」,iPhone 用户只需要知道这些就够了,转载文字标红) 继续阅读