碎碎念-2023

没错，这是日记不像日记、笔记不像笔记的碎碎念……

2023年是这个“碎碎念”版块推出的第二年。2022年的内容由此进。

1月

4号：dangling markup能用来窃取页面上的一些信息貌似。

8号：从这则推文来看，原型链污染中document.all['x']这种也可以被影响。

14号：这篇论文是关于以深度学习方式从WIFI讯号中辨识人形姿态，原来这种事都能做到。

15号：突然发现去年有篇论文貌似忘记提及了，这是一篇关于利用Site Isolation机制进行DNS投毒的论文。

19号：有点走火入魔。

21号：除夕。今年年味比较浓，好久没见这般热闹景象。

24号：今天介绍在已知盈亏比和胜率的情况下如何分配仓位使利润最大化的一个技巧。假设盈亏比为0.8，胜率为80%，那么可以计算如下这个公式的极值（自己去理解吧蛮简单的）。

以上这个可以用牛顿法简单求解，参考这篇文章即可。需要注意的是，牛顿法只能得到极值，但可能是局部极大值或者局部极小值，可能需要多次调整初始值才能找到我们需要的结果。最后我们能够算出当止盈仓位接近原仓位44%的时候，可以得到最大的结果为1.93。但事实上杠杆保证金率会对x有所限制，因此实际值会偏低。

30号：我咋记得这篇文章以前好像看过但没在这里提到它？它讲的是在只有浏览器权限的情况下如何搞一个shell出来。

2月

1号：今天和朋友差点困在山上，还好最后在天黑前找到干涸的山涧并及时返回。总之千万不要挑那种明显无人走过的路线，一方面可能需要一定的攀爬能力，另一方面真的容易迷路，尤其是人惊慌焦虑的时候。

2号：GitHub的搜索技巧。

5号：朋友告诉我有个凯利公式（孤陋寡闻属于是），也就是说1月24号的那个结果无需利用牛顿法即可直接得到，应该是只要求导下即可证明这一点。

15号：听说刷牙水里面加盐可以保证牙齿一辈子的健康，所以买一罐盐？

16号：某些版本的curl是有漏洞的。

18号：极度抽象的js语句可能很有趣，但其实也就换汤不换药。

22号：AI画画。

23号：昨晚不小心把饮料倒翻在MacBook Pro的自带键盘上，赶紧关机并倒过来沥干，今天早上晾干之后发现键盘按下去的感觉黏糊糊的，参考这个视频拆解键盘并清洁，但用起来还是挺难受的，所以还是避免这种情况比较好。另外，这篇文章是关于XSS payload进一步变形的，需要绕过过滤的时候可以考虑下。

25号：一堆AI相关工具的导航网站。以及vscode的一个类似于路径穿越的洞。

27号：这里直接简单说一下CSD攻击，其大概的效果就是让许多需要由其他人直接访问目标网站服务器端才可能的攻击得以实现（一般是需要修改HTTP头的情况）。大概是如何检测某网页存在该漏洞的呢？主要就是要确保服务器忽略请求的内容长度Content-Length（以静态文件或重定向页面为目标，利用超长URL或者畸形URL触发服务器错误），其次网站最好不支持HTTP/2。