本文首发于跳跳糖 https://tttang.com/archive/1607/ 今年过年放假的时候,我就在挖 Go 相关开源项目的 Security Bounty。通过整理分析现有 Go 开源项目的历史 CVE,我大致摸索出了 Go 项目易出现漏洞的一些地方,以及开发人员经常会疏忽的问题。 前后提交的几个漏洞让我有了好几个 CVE,并且小赚了一笔,换算成人民币应该接近六位数了。😈 具体可以阅读
分类: 随便写写
聊聊最近挖 Security Bounty 的感受
文章头图来自 @大空水獭 https://t.bilibili.com/637532953957629970 起因 有将近四个月没写点东西了。赶着周六的凌晨,带着些许睡意,想来分享下从去年年末到现在挖 Security Bounty 的感受与经验。文中会挑选几个我觉得有意思的漏洞,分析其背后的故事以及我的想法。 记得三年前,大二上学期刚开学协会招新的时候,跟新生聊到协会的 @Li4n0 学长大二就
斗智斗勇!分享 asoul.video 网站背后的故事
A-SOUL 时代 我在今年六月份的时候被室友安利了关注了嘉然,进而得知了 A-SOUL。起初只是觉得这个粉色小东西的声音好听,不嗲不做作;动捕也十分强大,是个资本拿钱砸出来的 Vtuber。 后来我陆陆续续刷到了很多一个魂们整的典中典。突发恶疾的视频让我笑到断气,溜完视频后又直奔评论区看发病小作文。还有很多三句剪一句的二创,弹幕也各个是人才。我也学着评论里奇怪的说话方式,发着带有特殊意义的 em
Light Cube 六周年的碎碎念
大学里的最后一个国庆假期,这个小站也迎来了她的六周年生日。 我在高二那年写的文章里曾说:“下一次写文章应该是在大学里了吧。”,那么明年的七周年纪念文章,大学毕业后的我,又会在何处呢?目前看来也说不定呀。 过去的一年中,能够很明显的感觉到写博客的次数少了(刚数了下,居然只有 7 篇)。以前一个月写一到两篇的习惯已经不复存在了。😅 究其原因,一是因为平日里比较忙,二是因为难得找到一些值得写的东西。博客
记一次对「叨叨记账」App 的简单逆向
第一次接触到「叨叨记账」这个 App 是在今年年初。 当时我还在疯狂喜欢伊蕾娜(虽然现在也是),偶然跟室友聊起来说如果有个类似微软小冰的 AI 跟我聊天就好了。室友便给我安利了「叨叨记账」,说上面有一堆二次元角色可以选择,由用户贡献符合角色性格的语料,通过聊天的方式进行记账。 刚开始的几天我对这个 App 爱不释手,出去吃饭买完单后,马上就是打开叨叨记账记上一笔,对着屏幕上伊蕾娜给我回应傻笑。 后
Your Soul, Your Beats! —— 小米手环实时心率采集
上周吃完饭后去协会坐了会,听 Kevin 说华为手环可以向官方提交申请,从而获得手环的数据访问权限。他还提到之前就有 Vtuber 直播恐怖游戏时,画面上会显示实时心率以增强节目效果。 这确实是个很 Geek 很酷的玩法哦!要是我能将我的实时心率展示在我的 GitHub Profile 上,岂不是帅炸了! 说做就做!晚上回到宿舍后我大致搜索了下目前市面上的手环以及其二开的难度,最后选择了小米手环
道理我都懂,但 go embed 究竟该怎么用?
Go 1.16 发布! 就在前几天,Go 1.16 赶在二月的末尾发布了。 对于这个版本我期待了很久,因为官方终于从语言层面解决了静态文件嵌入的问题—— 加入了 go embed。从此,像 go-bindata、statik、togo 等库都将退出历史的舞台。 同时 Go 1.16 配套的加入了 io/fs 标准库,提供了实现文件系统的接口。同时对 http、embed、os 标准库都加入了对 f
Elaina —— 基于 Docker 的远程代码运行器
文章头图 PixivID: 85439235 @yuurei0 这几天过年,难得能闲下来做点自己的事情。前一阵子事情挺多的,博客更新也断了将近三个月。 之前在 LeanCloud 的官网看到他们有一个使用各种语言调用 SDK 的示例代码。 不过这些代码并不能实时运行。我又想起以前写 Apicon 时,曾有在 API 详细页加入可实时运行的示例代码的想法。那么说干就干,写一个实时代码运行器吧! 就这
一个实时协作文档的诞生
用户管理凡是企业都是需要的 一直以来,协会打比赛时所使用的协作文档都是 HackMD,这是一个使用 NodeJS 编写的可自主部署的在线 Markdown 协作应用。用了这么多年了,HackMD 的一些弊端和痛点也暴露了出来。 * 没有完备的用户管理 * 文档不能细致的分类分组 * 在线编辑器有时候光标显示错误 … 因此,我萌生了自己造轮子写一个协作文档的想法。这是今年暑假一拍脑袋做的
《黑客与画家》读书小记
一直以来有个看书的坏习惯,拿到一本书,刚开始三分钟热度一口气看了个三分之二,热度过去了,剩下三分之一就一直拖着了。去年夏天买了本《献给阿尔吉侬的花束》,剩下那么几节一直拖着没看完,自己倒也不纠结后面的内容,就这么坦然地拖着。 这次也是一样,上学期疫情返校后从学校图书馆借的一本《黑客与画家》,本想着暑假看完的,又是拖了最后那么几页。 最近逼着自己抽出时间看完了。不得不说这本书是谁看了谁就想立马创业,
从 Go 依赖注入聊聊 Macaron 框架的“黑魔法”
前阵子本来打算重构博客,但是后来用 WordPress 的官方 Docker 镜像替代了之前自己配的 PHP 环境,问题就解决了。(猜测可能是之前的 PHP 环境没开 Opcache)现在网站的访问速度飞快,我其实也就没必要再浪费时间造轮子了。 又一个刚开的坑就这样匆匆结束了呀。🤣 重构时我使用的是 Macaron 框架,因为在他上面我看到了很多不可思议的亮点。Macaron 完美的解决了我之前用
写在这个小站五周年之际
最近挺忙的,不论是工作上的还是学业上的。 自己也是挺累的,一直没怎么能抽出时间来学些东西。因此整个九月份博客也是一篇没更。之后不能再这样了!😕 九月份一连着三场线下赛,结果也是有得有失。强网杯第一次打 AWD + RW 赛制,前面的大佬队伍全靠 RW 上分。其中有道 PHP Web,我的思路是利用网站 PDF 生成的地方,phar 反序列化,删install.lock实现重装,然后在配置文件里面写
聊聊 EventStream 服务器端推送
之前在写 Cardinal 平台的从 Docker 镜像部署靶机的功能时,打算在后台拉取镜像时,前端能有一个实时滚动的控制台日志给用户以反馈。 最初的想法是使用 WebSocket 实现后端和前端之间的持续通信,正准备写之前,我想到 Drone CI 在执行持续集成任务时,也有一个类似的实时日志的功能,遂打算先研究下 Drone CI 的实现,吸取下经验,结果接触到了 EventStream 这么
