安全代码

SSL pinningSSL Pinning是一种防止中间人攻击的技术，主要机制是在客户端发起请求–>收到服务器发来的证书进行校验，如果收到的证书不被客户端信任，就直接断开连接不继续请求。可以发现中间人攻击的要点是伪造了一个假的服务端证书给了客户端，客户端误以为真。解决思路就是，客户端也预置一份服务端的证书，比较一下就知道真假了。 SSL-pinning有两种方式：证书锁定（Certificate Pinning） 和公钥锁定（ Public Key Pinning）。 证书锁定需要在客户端代码内置仅接受指定域名的证书，而不接受操作系统或浏览器内置的CA根证书对应的任何证书，通过这种授权方式，保障了APP与服务端通信的唯一性和安全性，因此客户端与服务端（例如API网关）之间的通信是可以保证绝对安全。但是CA签发证书都存在有效期问题，缺点是在证书续期后需要将证书重新内置到APP中。 公钥锁定提取证书中的公钥并内置到客户端中，通过与服务器对比公钥值来验证连接的正确性。制作证书密钥时，公钥在证书的续期前后都可以保持不变（即密钥对不变），所以可以避免证书有效期问题，一般推荐这种做法...

0. Android的安全模型 application sandbox selinux permissions application signing 正是因为Application sandbox的存在，App进程之间是相互隔离的。有下面一个场景一个App需要调用weixin来分享内容，如何处理？这就需要用到intent，告诉Android系统你的意图是什么，Android系统将调用相应的处理程序来处理。 Intent 是一个将要执行的动作的抽象的描述，一般来说是作为参数来使用，由Intent来协助完成android各个组件之间的通讯。比如说调用startActivity()来启动一个activity,或者由broadcaseIntent()来传递给所有感兴趣的BroadcaseReceiver, 再或者由startService()/bindservice()来启动一个后台的service.所以可以看出来，intent主要是用来启动其他的activity 或者service，所以可以将intent理解成activity之间的粘合剂。 1. IntentIntent...

1. binder 简介Android安全模型的一个关键部分是每一个应用程序都被赋予一个唯一的 Linux 用户 ID 和组 ID，运行在自己的进程和 Dalvik 虚拟机里。在应用程序安装的过程中，Android系统设备上创建一个专门的目录（文件夹），用于存储此应用程序的数据，并且仅允许应用程序利用Linux 用户 ID 和组 ID 的相应访问权限对这些数据进行访问。此外，此应用程序的 Dalvik 虚拟机使用应用程序的用户 ID 运行在自己的进程中。这些关键的机制在操作系统层面上强制数据安全，因为应用程序之间不共享内存、访问权限及磁盘存储。应用程序只能在它们自己的 Dalvik 虚拟机范围内访问内存和数据。 1234567891011121314151617$ ps...u0_a16 2757 882 2574956 116944 SyS_epoll+ 0 S com.google.android.gms.persistentu0_a128 2774 883 1939084 87720 SyS_epoll+ ...

afl-fuzz 的整体架构，新手理解起来还是比较费劲，网络上发现一张图觉得不错，放上来大家看看，感谢原作者。

paper: https://www.s3.eurecom.fr/docs/fuzzing22_fioraldi_report.pdf 两个实验的结论 (主要基于 FuzzBench) Our conclusion after this experiment is that AFL, and follow-ups fuzzers like AFL++, should provide an optionto disable hitcounts. AFL++ provides many different op-tions, and the users are suggested to run an instance of each variant when doing parallel fuzzing, a common use-case in real-world setups. The fact that in our experiments,hitcounts have shown a highly variadic behavior suggests that users ...

沉浮 A股多年，发现一个比较重要的规律，A 股变盘的时间节点大多发生在重大节假日期间，分别举例如下： 「1」重大节日 （包括阳历和农历： 劳动节，国庆节，中秋节，端午节，过年 等） 「2」周一/周五 「3」月初/月末 有人总结出 A 股变盘时间节点和农历的 24 节气相关，每个节气的时间间隔大致在 15 到 16 天左右，这条规律其实和上面的 「1」 说法是一致的。 思考其背后的原因，平时交易日都是连续的中间无间断，大家的交易思路和看法也比较容易连续一致。每逢重大节日，或者月初月末，往往都是放假休息的时间，外加期间各种信息的输入量比平时大很多，这样容易有思维波动。重大节日后，主力一带节奏，容易对大家的思维进行强化，分歧转一致后，就真的变盘了。 A股还有个月初，月末效应，月初赚钱，月末亏钱，比较奇怪，可能和基金经理的月初建仓和月末考核相关，这条规律几乎是对称的，如果月末没有大跌，月初基本就没有大赚效应。 后面发现居然有一个股票技术分析流派叫季节派。（季节理论 Season Theory）

软件介绍010Editor是一款快速且强大的十六进制编辑器。用来编辑二进制文件。有一个友好易于使用的界面，无限次的undo和redo操作。另外还可以打印十六进制的字节或者以书签的方式标出某些重要的字节。支持二进制模板（binary template）系统。 保持试用国外软件很多时候相当厚道了，试用基本是全功能，轻微延时和不能自动更新二进制模板，就日常使用来说基本是完全够用了。 关键文件为 ~/.config/SweetScape/010 Editor.ini，无法使用的时侯可以把这个文件清空，将恢复30天试用状态，或者简单粗暴的将文件设置为只读。 1chmod 444 "010 Editor.ini" 用IDA逆向的时侯没有发现这个文件比较奇怪。这个文件是 是使用strace命令发现的，strace命令支持 -e 的过滤参数将有效减少输出，一般来说看strace日志文件可以从最后往前看。 1strace -e trace=file ./010editor 从代码上看有使用网络验证需要在hosts文件中屏敝两个网站， 可以减少一些不必要的麻烦。 12127....

https://www.youtube.com/watch?v=7Ysy6iA2sqA&ab_channel=OffensiveCon Temperament Curiosity Detail-oriented Ability to deal with failure and continual evidence that you’re wrong Learn how to deal with failure Two projects (can be unrealeted, or different parts of the same) Learn to recognize whe you have hit a wall and have become unproductive Switch to your secondary project Consider having a development project as your seconary project Do an achiveable, measurable task Regain a sense...

The PARA Method: The Simple System for Organizing Your Digital Life in Secondshttps://fortelabs.com/blog/para 想象一下完美的组织系统。一个系统会告诉你如何确切地把生活中的每一件信息-每份文件、笔记、日程、大纲和研究的碎片-放在哪里,以及之后如何轻松地找到它们。 这样的系统需要非常简单易用,也非常容易维护。毕竟,只有最简单、最轻松的习惯能长期坚持。 它需要灵活适应你在不同人生阶段的需求,同时也需要全面,这样你可以在存储信息的各个地方使用它,比如你的电脑文件系统、云存储平台(如Dropbox或谷歌云端硬盘)或者数字笔记应用。 但是最重要的是,理想的组织系统能够直接带来工作和生活中的实实在在的好处。它会极大地加速你完成最重要的项目和实现目标。 换句话说, 组织你的生活的最佳系统,是可操作的。 它不会给你制造更多障碍,不会推迟那些能带来进步的行动,而是让这些行动更接近和更容易开始与完成。 通过十多年的个人实践、指导数千学生以及辅导世界级专业人士,我已经制定出这样的系统。 它被称为...

☆ 缘由和一些 vim 历史前些年 vim 没有子窗口的概念，日本的一个 vim 插件作者为了解决这个问题生撸了一套流程，当时 unite.vim 横空出世惊艳了我一把。后面随着技术发展，neovim 和 vim 先后引入了 floating window ，这才使得情况变得好了一点。 https://github.com/vim/vim/blob/master/runtime/doc/popup.txthttps://neovim.io/doc/user/api.html#api-floatwin 得益于新技术，在 vim 中使用 LeaderF 插件的交互体验上了一个台阶。 neovim 从 0.9 版本开始放弃对 cscope 的支持 https://twitter.com/Neovim/status/1580933880579641344 这给我阅读源码造成了一些问题，虽然 vim 仍然可以使用 cscope，但 vim 的启动速度不如 nvim 快，所以我开始寻找替代方案。同时，我发现 denite.nvim，unite.vim，作者也不怎么维护了，一想似乎是很多年没...