R·ex / Zeng


音游狗、安全狗、攻城狮、业余设计师、段子手、苦学日语的少年。 MUGer, hacker, developer, amateur UI designer, punster, Japanese learner.

分类“安全”下的文章

测试工程师的梗,你了解多少?

众所周知,写代码的时候要考虑各种可能的情况。网上一直流传着“一个测试工程师走进一家酒吧”的梗,在让人捧腹大笑的同时,这个梗你又了解多少呢?本篇文章的引用部分经再三审核,没有明显的错别字和字序问题,请大家认真思考这是什么梗。一个测试工程师走进一家酒吧,要了一杯啤酒两个测试工程师走进一家酒吧正常需求。一个测试工程师走进一家酒吧,要了一杯咖啡一个测试工程师走进一家酒吧,要了一杯洗脚水一个测试工程师走进一家酒吧,要了一杯蜥蜴一个测试工程师走进一家酒吧,要了一份 [email protected]!&...

2016 全国大学生信息安全竞赛初赛 Writeup (by Asuri)

Asuri 团队(官方主页:Asuri Team)是戒贤学长组建的一支南航信息安全团队,我是团队中的一员。之前我们曾经参加过江苏省的天翼杯信息安全竞赛,并且拿到了决赛第五名。其实团队成员大部分还是野路子出身,在一次次比赛和实战中提升自己的水平。这两天我们又参加了今年的全国大学生信息安全竞赛,规模比上一次大了好多,因此我们更多是抱着学习的心态参加的。在比赛中,我们见识到了好多之前没见过的题目(脑洞)。我们也算是出题比较快,第一天下午的时候曾经数次冲进前三名,然而毕竟水平有限,最后其它队伍都慢...

让老司机纷纷翻车的“悄悄话查看器”究竟有啥名堂?

0x00 Introduction相信大家一定被所谓的“QQ悄悄话查看器”刷屏了吧?从上个月开始我就郁闷,有人给我发悄悄话,然而我又猜不到是谁。有了这么一个 APP,岂不是可以调戏回去?然而大家的反应似乎不是这样的:“这一切来的太快”“强行上车 车速过快 引发多起事故”“这很强势,很清真”“逸夫楼教室此起彼伏”“对不起,我们不认识”就是这么个安卓 APP,害了好多老司机纷纷翻车。下午刚陪女朋友上完自习(此处省略秀恩爱的若干字),各种群、空间、朋友圈就被这些图刷屏了。我所在的群中,有四个群里...

NUAACTF 2016 官方 Writeup

Web1签到题,打开浏览器的Console即可找到flag:下面那行带有中文的句子是我早上修改界面的时候加上去的,同样的彩蛋在网页源代码中也有,就是每个页面查看源代码之后显示的那个佛祖,23333。Web2仔细看会发现题干中百度的链接有点奇怪:根据题目提示,用百度搜索“一只苦逼的开发狗”,发现出题人的博客,第一篇文章有提示:看起来是base64编码,解码之后查看文件类型:$ echo "bnVhYWN0ZiU3Qi93ZWIyL2NlYmE2ZmJiZjBlZGU0MzI1MjY...

JCTF2015非官方writeup

这次水平有限,所以只做出了四道题……请大家尽情鄙视我们吧……0x1在资源文件夹中有一个bababa.wav的文件,用AU打开,发现是四声道,下面的两个音轨是二进制波形。按照高低不同分为01记下后,每八位一组,转换为char,即可得到flag。0x2根据提示可得栈226有问题, 发现所有记录中均使用DES-EBC加密,key为stringWi。从github上down一个des解密算法,把226的post数据base64解码后使用des解密,即可得到flag。{ "bundle...

对QQ空间自动转发/加好友的研究

前几天,QQ 空间的一大批好友转了所谓“优衣库”的一个视频,不用说,肯定是QQ空间有什么XSS漏洞了。有学弟让我去研究,其实我是拒绝的,因为我当时在搞别的事情,随便看了看源码没发现问题,于是就放到脑后了。昨天晚上发现空间里又有好友转发的现象,甚至有自动加好友的问题。正好大半夜一个人有安静的时间,于是就顺便研究一下。一开始没有头绪,在想是不是QQ空间有直接的XSS漏洞,于是看到了分享链接的标题,“▶↔§↙♯敱”这几个字很可疑,但是经过encodeURIComponent之后发现并没什么异常,...

这是我们共同度过的

第 1553 天