最近一个多月,我的生活发生了很大的变动。2 月 15 日因为一直以来积攒的情绪,心情很差。那天深夜我提了离职,离开了从零开始一直干了两年多的公司。 后面又是因为一些不方便明说的原因,经营了两年多的 NekoBox 被迫关站。之后我会针对这个事情专门写一篇文章,说明背后到底发生了什么,以及分享这两年来的心得体会,同时给之前老用户提供数据存档取回的渠道。整件事情发生的挺突然的,对我而言也算是一种人生体
标签: 学习
CVE-2022-30781:一条普通的 Git 命令导致的 Gitea RCE
本文首发于跳跳糖 https://tttang.com/archive/1607/ 今年过年放假的时候,我就在挖 Go 相关开源项目的 Security Bounty。通过整理分析现有 Go 开源项目的历史 CVE,我大致摸索出了 Go 项目易出现漏洞的一些地方,以及开发人员经常会疏忽的问题。 前后提交的几个漏洞让我有了好几个 CVE,并且小赚了一笔,换算成人民币应该接近六位数了。😈 具体可以阅读
斗智斗勇!分享 asoul.video 网站背后的故事
A-SOUL 时代 我在今年六月份的时候被室友安利了关注了嘉然,进而得知了 A-SOUL。起初只是觉得这个粉色小东西的声音好听,不嗲不做作;动捕也十分强大,是个资本拿钱砸出来的 Vtuber。 后来我陆陆续续刷到了很多一个魂们整的典中典。突发恶疾的视频让我笑到断气,溜完视频后又直奔评论区看发病小作文。还有很多三句剪一句的二创,弹幕也各个是人才。我也学着评论里奇怪的说话方式,发着带有特殊意义的 em
Light Cube 六周年的碎碎念
大学里的最后一个国庆假期,这个小站也迎来了她的六周年生日。 我在高二那年写的文章里曾说:“下一次写文章应该是在大学里了吧。”,那么明年的七周年纪念文章,大学毕业后的我,又会在何处呢?目前看来也说不定呀。 过去的一年中,能够很明显的感觉到写博客的次数少了(刚数了下,居然只有 7 篇)。以前一个月写一到两篇的习惯已经不复存在了。😅 究其原因,一是因为平日里比较忙,二是因为难得找到一些值得写的东西。博客
记一次对「叨叨记账」App 的简单逆向
第一次接触到「叨叨记账」这个 App 是在今年年初。 当时我还在疯狂喜欢伊蕾娜(虽然现在也是),偶然跟室友聊起来说如果有个类似微软小冰的 AI 跟我聊天就好了。室友便给我安利了「叨叨记账」,说上面有一堆二次元角色可以选择,由用户贡献符合角色性格的语料,通过聊天的方式进行记账。 刚开始的几天我对这个 App 爱不释手,出去吃饭买完单后,马上就是打开叨叨记账记上一笔,对着屏幕上伊蕾娜给我回应傻笑。 后
道理我都懂,但 go embed 究竟该怎么用?
Go 1.16 发布! 就在前几天,Go 1.16 赶在二月的末尾发布了。 对于这个版本我期待了很久,因为官方终于从语言层面解决了静态文件嵌入的问题—— 加入了 go embed。从此,像 go-bindata、statik、togo 等库都将退出历史的舞台。 同时 Go 1.16 配套的加入了 io/fs 标准库,提供了实现文件系统的接口。同时对 http、embed、os 标准库都加入了对 f
Elaina —— 基于 Docker 的远程代码运行器
文章头图 PixivID: 85439235 @yuurei0 这几天过年,难得能闲下来做点自己的事情。前一阵子事情挺多的,博客更新也断了将近三个月。 之前在 LeanCloud 的官网看到他们有一个使用各种语言调用 SDK 的示例代码。 不过这些代码并不能实时运行。我又想起以前写 Apicon 时,曾有在 API 详细页加入可实时运行的示例代码的想法。那么说干就干,写一个实时代码运行器吧! 就这
一个实时协作文档的诞生
用户管理凡是企业都是需要的 一直以来,协会打比赛时所使用的协作文档都是 HackMD,这是一个使用 NodeJS 编写的可自主部署的在线 Markdown 协作应用。用了这么多年了,HackMD 的一些弊端和痛点也暴露了出来。 * 没有完备的用户管理 * 文档不能细致的分类分组 * 在线编辑器有时候光标显示错误 … 因此,我萌生了自己造轮子写一个协作文档的想法。这是今年暑假一拍脑袋做的
《黑客与画家》读书小记
一直以来有个看书的坏习惯,拿到一本书,刚开始三分钟热度一口气看了个三分之二,热度过去了,剩下三分之一就一直拖着了。去年夏天买了本《献给阿尔吉侬的花束》,剩下那么几节一直拖着没看完,自己倒也不纠结后面的内容,就这么坦然地拖着。 这次也是一样,上学期疫情返校后从学校图书馆借的一本《黑客与画家》,本想着暑假看完的,又是拖了最后那么几页。 最近逼着自己抽出时间看完了。不得不说这本书是谁看了谁就想立马创业,
写在这个小站五周年之际
最近挺忙的,不论是工作上的还是学业上的。 自己也是挺累的,一直没怎么能抽出时间来学些东西。因此整个九月份博客也是一篇没更。之后不能再这样了!😕 九月份一连着三场线下赛,结果也是有得有失。强网杯第一次打 AWD + RW 赛制,前面的大佬队伍全靠 RW 上分。其中有道 PHP Web,我的思路是利用网站 PDF 生成的地方,phar 反序列化,删install.lock实现重装,然后在配置文件里面写
聊聊 EventStream 服务器端推送
之前在写 Cardinal 平台的从 Docker 镜像部署靶机的功能时,打算在后台拉取镜像时,前端能有一个实时滚动的控制台日志给用户以反馈。 最初的想法是使用 WebSocket 实现后端和前端之间的持续通信,正准备写之前,我想到 Drone CI 在执行持续集成任务时,也有一个类似的实时日志的功能,遂打算先研究下 Drone CI 的实现,吸取下经验,结果接触到了 EventStream 这么
CyBRICS 2020 Web Writeup
有一段时间没打比赛了。前几天是 XCTF 联赛的 CyBRICS 2020,不得不说国外战队的比赛体验真的很好,平台好看,题目不说难度,至少看得出是花心思了的。最后协会也是拿了中国第三 世界第七的成绩 👍👍👍 这里记录一下 Web 题,当做日后备忘。总得来说 Web 不算太难,考得知识点也不是很广,感觉学不到太多东西。 Hunt 挺有创意的签到题。 F12 Console 建几个五个 reCAPT
GitHub Actions × Unity3D 持续交付实践
期末考完回到家了,很庆幸这学期又没有挂科。从今以后就是不挂科的大茄子了! 在校备考这段时间,收到一条关于 Asteroid 的 issue #3,说实话挺气的。开源无可避免地会遇到伸手党或者不愿自己尝试的人,作为开发者只能被动地把软件做得尽可能简单,来减少他们提问题的机会。 每当遇到不看文档不动手直接上来问的,我都会想起下面这则笑话: 软件工程师努力设计出最大最好的连白痴都会使用的程序;而宇宙在拼
