没错,这是日记不像日记、笔记不像笔记的碎碎念……
2023年是这个“碎碎念”版块推出的第二年。2022年的内容由此进。
1月
4号:dangling markup能用来窃取页面上的一些信息貌似。
8号:从这则推文来看,原型链污染中document.all['x']这种也可以被影响。
14号:这篇论文是关于以深度学习方式从WIFI讯号中辨识人形姿态,原来这种事都能做到。
15号:突然发现去年有篇论文貌似忘记提及了,这是一篇关于利用Site Isolation机制进行DNS投毒的论文。
19号:有点走火入魔。
21号:除夕。今年年味比较浓,好久没见这般热闹景象。
24号:今天介绍在已知盈亏比和胜率的情况下如何分配仓位使利润最大化的一个技巧。假设盈亏比为0.8,胜率为80%,那么可以计算如下这个公式的极值(自己去理解吧蛮简单的)。
以上这个可以用牛顿法简单求解,参考这篇文章即可。需要注意的是,牛顿法只能得到极值,但可能是局部极大值或者局部极小值,可能需要多次调整初始值才能找到我们需要的结果。最后我们能够算出当止盈仓位接近原仓位44%的时候,可以得到最大的结果为1.93。但事实上杠杆保证金率会对x有所限制,因此实际值会偏低。
30号:我咋记得这篇文章以前好像看过但没在这里提到它?它讲的是在只有浏览器权限的情况下如何搞一个shell出来。
2月
1号:今天和朋友差点困在山上,还好最后在天黑前找到干涸的山涧并及时返回。总之千万不要挑那种明显无人走过的路线,一方面可能需要一定的攀爬能力,另一方面真的容易迷路,尤其是人惊慌焦虑的时候。
2号:GitHub的搜索技巧。
5号:朋友告诉我有个凯利公式(孤陋寡闻属于是),也就是说1月24号的那个结果无需利用牛顿法即可直接得到,应该是只要求导下即可证明这一点。
15号:听说刷牙水里面加盐可以保证牙齿一辈子的健康,所以买一罐盐?
16号:某些版本的curl是有漏洞的。
18号:极度抽象的js语句可能很有趣,但其实也就换汤不换药。
22号:AI画画。
23号:昨晚不小心把饮料倒翻在MacBook Pro的自带键盘上,赶紧关机并倒过来沥干,今天早上晾干之后发现键盘按下去的感觉黏糊糊的,参考这个视频拆解键盘并清洁,但用起来还是挺难受的,所以还是避免这种情况比较好。另外,这篇文章是关于XSS payload进一步变形的,需要绕过过滤的时候可以考虑下。
25号:一堆AI相关工具的导航网站。以及vscode的一个类似于路径穿越的洞。
27号:这里直接简单说一下CSD攻击,其大概的效果就是让许多需要由其他人直接访问目标网站服务器端才可能的攻击得以实现(一般是需要修改HTTP头的情况)。大概是如何检测某网页存在该漏洞的呢?主要就是要确保服务器忽略请求的内容长度Content-Length(以静态文件或重定向页面为目标,利用超长URL或者畸形URL触发服务器错误),其次网站最好不支持HTTP/2。
3月
3号:最近感觉自己没能调整好生活状态,可能一些事也想太多。
6号:新冠感染后时隔两个多月重新开始打球,发现身体很累,想去买个健康保险。
12号:突然发现自己的Burpsuite无法拦截chrome的流量,查阅SwitchyOmega的问题后发现,需要把配置改为<-loopback>。这其实是chrome目前尚未解决的一个BUG,比较坑。
17号:大概是感染甲流了,又要躺了……
28号:看到一个HTML转义出现漏洞的讨论。
4月
2号:看到一篇关于向ChatGPT提问基础方法和技巧的文章。
24号:嗯,多久没更这碎碎念就说明忙了多久。3月和4月,2023年的春天就这样遗憾地过去了。目前的愿望就是最近能有机会一个人出门休息一整天。
6月
1号:没想到还是长草了,5月啥都没写……三个关于资产指纹探测的工具:Finger、Glass和EHole。不知道哪个好用,得自己以后测评一下。
3号:今天看到一篇使用Certutil编码分批写入可执行文件的文章。
7号:在复现JustCTF一道题的时候看到了这篇关于cookie parsing方面Bugs的文章。
8号:看到一个针对Webpack等前端打包工具所构造的网站的扫描工具。
12号:看到一个针对移动端和静态Web站点的信息收集扫描工具。