Follow me on GitHub

东写西读

本站已停止更新

最新内容请访问:

https://blogS.kainy.cn/rss

此处仅作存档。

AC2015随记

有幸收到AC2015参会邀请,怀着崇高的敬意和期待,昨天下午来到腾大参加这次活动。AlloyTeam出品过很多有意思的作品,也有许多知名的开源项目,想必作为前端er都会有所耳闻,最初知道这个团队是通过CodeTank ,也为后面“墙来了”H5体感游戏创意与新技术的契合所深深折服。AC2015是合金团队成立以来开办的首届技术大会,往后计划每年一期,会上分享合金团队这一年里产生的作品和技术成果。

More >

质疑小米帐号体系的安全性

前段时间发现自己的小米帐号被盗,因为绑定过手机邮箱,本以为可以很方便地找回;却发现手机也被重新绑定了,邮箱被解绑,很显然是被恶意申诉了。随后提交的两次申诉都被驳回,无奈只好找客服反馈,还特意截了早期密保手机设置成功和异常登录提醒邮件的图。本以为胜券在握,上午接到的电话反馈才大吃一惊。

首先客服MM确认了帐号31385972目前的属主不是我的158***手机;原因是帐号被申诉通过,原有的绑定信息都被解除,而提交的两次申诉失败原因其实是因为客服在核对申诉信息前会联系目前绑定该帐号的手机确认,盗号者自然否认提出申诉了,于是申诉流程终止……

More >

掌握这两招,让你变身K吧人气达人——论KM上的两个CSRF漏洞

从绿盟科技的《2014互联网金融安全报告》中可以看到,XSS和CSRF漏洞依然是影响比较突出的两个安全问题。

在这里分享下之前发现的两个内网知识管理系统(KM)的问题,KM系统个人主页的访问记录关注操作都接受GET请求,只需要构造请求就可以实施一次CSRF攻击。

先看看增加关注者的方法。通过网页代码可以看到,在他人的个人主页上点击“添加关注”按钮时调用的是getJSON方法,且未验证请求来源,于是要欺骗系统就变得异常简单,只需要满足两个条件:

  1. 构造请求到关注接口;
  2. cookie中带有用户信息(用户已经登录)。

More >

茵特拉根温泉一日游

跟了个华侨城一日游的团,始发点基本上齐,没有中途上客所以到得比较早,请容许我用一张全景图开场:

拿着茶溪谷的门票发现游乐场已是人山人海,游乐项目几乎每个都要排队,那画面太美我不敢拍大家自行脑补。

More >

2014中秋月

事情是酱的:
中秋没回家,晚饭后在小区周围转了一圈找不到月亮的影子,扫兴的在微信群里嚷到:“说好的圆月呢,头一年在深圳过中秋啊喂!”

More >