0%

温故而知新,一年前的现在写的文章有点旧,而且不够准确,于是新开一篇介绍一下。

前段时间在搞应急,从一个啥都不会的小白学了一些XXE的简单poc构造和防御手段,网上攻击的poc很多,就不多说了,防御方法五花八门,而且有些防御根本就是无效的!!写篇文章分享一下,如何用Java彻底防御XXE。

Read more »

之前写过一篇 XXE 的防御,想来过去一年了,只验证可行性和防御措施,实际攻击还没有尝试过,尝试过程遇到无数个坑,这里做一个详细的总结。9102 年了,Java 里的 XXE 危害降低了不少。

Read more »

前些天iPhoneSE正式退役,换了一台安卓机做主力机,三星 A60 元气版,刷微博的时候总是刷到非常低俗恶心的广告,网上经常看到去广告版的微博,全都是被加固过,怕被人暗算,不敢用,周末就自己搞了一下。之前微博平白无故把老子的号给封了,这是第二篇杠微博的文章。

额外多说几句,本文首发于2019.6.11,网上的去广告版有些被加固过,不知道作者有没有夹杂私货,我是不敢用,不建议使用。

Read more »

最近帮他们查了一下线上出现了一个神奇的 bug,先加载A库再加载 B 库 和 先加载 B 库再加载 A 库,会有不一致的行为,看起来不一致的行为是环境变量引起的,仔细排查了发现是strtok引起的,运行时会偷偷抹掉原本的字符串,稍微科普一下。

Read more »

从小老师就教育我们,从c到exe经历了编译、连接,试卷上可能会出现;这么多年过去了,我也只知道这句话,最近有幸研究了一下 obj 的文件格式,对重定位有了一定的了解,写篇文章造福一下后人。

Read more »

前些天用 C 和 CPP 写了一个较为大型的项目(可能也没有那么大型),其中模块间有相互依赖关系,配环境时候卡了很久,主要是对 CMake 的多模块不熟悉,查资料、抄 llvm、瞎测搞出了一些规律,本文不保证很准确,选择性地阅读。

本文不保证很准确,请选择性地阅读。

Read more »

2018年11月13日,我长期使用的微博(@LeadroyaL 时日不多了)被炸号了,但里面有不少有价值的东西,于是想办法dump出来,新注册微博并且重新发布一遍,不到1000条微博吧,作为一个逆向选手,趁闲暇时间,使用脚本实现了一下。(本文计划写于12月,但拖到了春节前)

Read more »

本文最初是在 RNG 失利的时候,以及后面 EDG 失利期间的一些想法,但一拖再拖,拖得iG都夺冠了,整个氛围都没了,哈哈;随便聊聊游戏,聊聊心情,好久没更这种稀奇古怪的文章了,与技术基本无关。其实我也是个情感细腻的人呀~

Read more »

最近开发参考了几个项目,仔细阅读源码的过程中,看到一些不大理解的地方。本来准备先写点基础知识的,看到hikari的作者在自己的 blog 里列举了其他人的 bug,作为后辈我也列举一下前人的 bug 好了。
本文包括一个ollvm的 bug,多个hikari的bug。(不代表 Armariris 没 bug,因为写的太挫了,没忍心看。。。)
2020年01月20日,又发现一个ollvm的 bug,然后发现hikari 作者在 2019.1.1已将其修复,点赞。

Read more »