安全代码

VNote 简介向大家安利一款 markdown 笔记软件， VNote https://github.com/vnotex/vnote此软件目前已经 1300 多个commits 了，做为一个有些开源软件维护经历的人，深感不易。用了太多 markdown 笔记软件，此软件使得最为顺手，尤其作为程序员 vim 模式 让我感到非常舒服，大量图表的支持比如 UML 流程图，让我用起来很顺手。 Vnote 分为两个开发阶段，阶段一 vnote2 已经开发完成：https://github.com/vnotex/vnote/tree/vnote2现在处于第二个开发阶段：https://github.com/vnotex/vnote 据说后续会出收费版本，但目前看还需要很长的一段时间了。 我前后尝试过各种笔记软件，我理想的软件有几点： a. 支持文件管理 b. 不要乱改数据，容易迁移 c. 支持 markdown d. 跨平台，支持 Mac 和 Linux 最后，终于发现了 VNote，有点惊喜。 Fedora 上使用 Qt5 编译 VNote在 Linux 下编译 VNote 显示...

现在 fcitx 已经升级到了 fcitx5, 本来用着 fcitx4 挺好，也没有想着升级，在折腾 fcitx.vim 的时候发现 fcitx 居然升级了，使得我的 vim 插件无法正常工作了，一顿折腾，本来以为很简单没想到进了个大坑 。主要是不愿意放弃我的一万多行的 rime 用户词库，多年的积累了，不过 Linux 用户不就是老折腾吗， 唉。 fcitx5-rime 的默认的配置目录已经变为 ~/.local/share/fcitx5/rime， fcitx4 默认的配置目录是 ~/.config/fcitx/rime 安装 fcitx5 和 fcitx5 rime12sudo dnf install -y fcitx5 fcitx5-autostart fcitx5-chinese-addons fcitx5-configtool fcitx5-gtk fcitx5-qt kcm-fcitx5sudo dnf install -y fcitx5-rime Fedora dnf 已经默认有 fcitx5-rime 的安装包了，不用自己重新编译了，非常不错。 fcitx5-...

我在公司使用 Linux 作用主力机已经 10 多年了，自从抛弃 Ubuntu 转入 Fedora 怀抱，生活幸福了不少。早年最大的问题是 OFFICE 软件，工作中少不了要和 doc、ppt，xls 打交道，又没有太好的软件可以使用。刚开始基本就两个解决方案，wine office 和永中 OFFICE，这两个方案都不是太理想，wine 的速度很慢，永中则兼容性比较差，还会出现文档格式看起来就有明显差异的情况。。 随着金山 wps 的发展，现在 OFFICE 的问题基本解决，作为轻度 EXCEL 使用者基本已经满足需求了。Linux现在主要问题是字体渲染比较差，中文经常看起来发虚，如果能把这个问题彻底解决就非常不错了。作为Linux老用户，各种魔改后，也能较好使用了，但后面发现还是换个显示器更管用。要解决中文显示问题，有两个字体很管用，文泉驿微米黒和微软雅黑，实践证明把系统字体用上面两个字体替换，显示效果也就好了不少了。 Ubuntu Linux 最大的问题就是不太稳定，基本每次大版本升级显示都要挂，弄得我都有点心理阴影了，原来周围还挺多同学使用 Linux，最终放弃了，一个直...

https://github.com/googleprojectzero/halfempty google P0 @taviso 提供的 testcase 并行快速精简工具 （A fast, parallel test case minimization tool）需要注意的是 halfempty 只能精简导致目标程序 crash 的 testcase，如果 testcase 不导致目标程序 crash， 还是需要使用 afl-tmin 类似的工具根据 coverage 来精简。 halfempty 工具向测试脚本传递内容时使用的是 pipe， 如果测试的程序只接受文件路径作为参数时，需要一些技巧，README 虽然有提及但是说的比较晦涩。 以 upx 为例，upx 的命令行帮助如下 12345678910111213141516171819202122root@fuzzing-5:/mnt/disk/halfempty# ./upx.out_x86-64 Ultimate Packer for eXecutables ...

☆ Android stunnelhttps://github.com/comp500/SSLSocks.git 这个项目可以使用 android 版本的 stunnel, 其实就是调用 https://www.stunnel.org/downloads/stunnel-5.57-android.zip 具体配置和使用命令行差距不大，参考：https://github.com/comp500/SSLSocks/blob/master/README.mdhttps://hamy.io/post/0011/how-to-run-stunnel-on-your-android-device/ ☆ 设置全局代理 在 wifi 连接的情况 打开wifi 列表 -> 长按连接的 wifi -> 点击修改 -> 高级选项 -> 填写代理相关信息 使用 adb shell 执行命令 1adb shell settings put global http_proxy 192.168.xx.xxx:8888 Android Proxy Toggle https...

主要特色：Intercept HTTP & HTTPS requests and responses and modify them on the fly 使用python编写，可以在windows，Linux， Mac 下运行，这点比 fiddler 有优势。可以修改报文内容，这点很不错。 官方网站： https://www.mitmproxy.org/ 文档：https://docs.mitmproxy.org/stable/ ☆ 1. 安装参考 https://docs.mitmproxy.org/stable/overview-installation/ 12sudo dnf install -y python-pip python-devel libffi-devel openssl-devel libxml2-devel libxslt-devel libpng-devel libjpeg-develsudo pip install mitmproxy # or pip install --user mitmproxy ☆ 2. 基本使用mitmprox...

近年来，Android手机平台上的恶意App呈不断上升的趋势，根据G DATA的数据仅2015年 第一季度发现了440267 种新的安卓恶意软件，也就是说，全球范围内每18秒就有一个新的恶意软件被发现。而天朝由于Google被封的原因，更是使恶意软件的传播更加猖獗。Google Play store 为了保证Android用户的安全做了大量的努力，和国内的一些第三方应用市场相比安全一些的。 重打包是Android App主流的传播方式之一，和以前单独的恶意App不同，重打包的软件 在合法正常的App中插入恶意代码，迷惑性极强，一般用户觉察不出什么不同。而重打包选取 的App也大多是非常流行的App，如愤怒的小鸟之类,这些都在地下市场隐秘的进行着。重打包 App然后上传第三方App应用市场，第三方市场把关不严格的话，这些插入了恶意代码的App 就可以下载安装了。 除了重打包软件，彩信也是Android 恶意App传播的主要方式，和以前QQ的消息尾巴类似发一些奇怪的话，后面加上短链接。短链接就是经过压缩的链接，没法一些看出原始的链接，点击后会自动下载恶意App。臭名昭著...

某一天突然发现网页中flash已经不能正常显示了（我一般都禁用），显示 out of data 错误。 访问 chrome://components/ 可以升级 Adobe Flash Player Adobe Flash Player - 检查更新， 失败。这里有一个坑，插件中的代理设置是无法影响chrome 内部程序的，必须设置环境变量或者直接使用命令行来设置全局代理。 google-chrome —proxy-server=”socks://127.0.0.1:9999” 重新检查更新，可以成功更新了，重启后生效了，已经不报 out of data 错误了。为了保险把系统中flash player也给升级，打开网页 https://get.adobe.com/flashplayer/otherversions/ step 1 选Linux (64 bit), step 2 选 yum，下载后安装，后续可以使用dnf 升级了。

https://github.com/henices/sqlihttps://www.owasp.org/index.php/Testing_for_SQL_Injection_(OWASP-DV-005) 基于信道的 sql injection 分类InbandSQL代码注入和SQL injection 结果的获取在同一频道(e.g. 浏览器), 获得的数据直接显示在应用程序页面的正常输出或者错误信息中,这是最简单的攻击类型。 Out-of-bandSQL查询数据的传输使用不同的频道(e.g HTTP，DNS)， 这是从数据库中获取大量数据简单的方法。 Inferential没用真实有用的数据传输，但是攻击者可以通过发送特定的请求，观察数据库服务器的返回的结果的行为重建信息。 基于 sql inject 检测技术的分类boolean-based blind SQL injection也被称为推理SQL注入：SqlMap替换或追加HTTP请求中受影响的参数，一个有效的SQL语句字符串包含 SELECT 子语句，或任何其他用户要检索输出的SQL语句。对于每个HTTP响应，将其 he...

由于Google的源码是在ubuntu下编译的，Google官方提供了较为详细的编译说明，所以使用 了ubuntu 14.04 进行编译，编译完成后有一个问题，如何进行源码调试。（源代码在虚拟机中） 使用 virutalbox Extension Pack首先的想法是直接使用中virutalBox 的USB 把手机给连到guest，折腾了一下比较麻烦， 首先需要安装virutalbox 的 Extension Pack，下载地址 http://download.virtualbox.org/virtualbox/5.1.18/Oracle_VM_VirtualBox_Extension_Pack-5.1.18-114002.vbox-extpack 管理->全局设定->扩展，选择下载的扩展包，安装。接下来这步很关键，上次就是这里没有搞定。 1sudo usermod -a -G vboxusers <username> 执行命令后需要注销，重新登录。 VirtualBox 虚拟机设置 -> usb 添加需要接入 guest 的 usb 设备。 12...