• 购买渠道:淘宝
  • 入手价格:2999

自从家里有孩子之后,打扫家里卫生的时间和精力就越来越少,加上家中的「领导」对环境卫生有苛刻的要求,之前的米家扫拖机器人1c已经不能满足她的要求了,因此购买一台扫拖一体机器人保持家庭卫生就提上了议程。经过多方对比之后最终选择了米家全能扫拖机器人1S,在使用了近1个月之后,可以聊聊它究竟如何了。

众所周知,Sony 国行 J 系列的电视的遥控器是针对中国大陆专门定制的,但是这个定制不仅没有带来良好的用户体验,反而在按键布局、按键反馈、盲操上存在众多不合理的设计,引发大量用户的吐槽,其中就包括罗永浩。

去年双十一的时候家里添置了一台 Sony 电视,完成了一个索粉的信仰充值。在购买之前就了解到国行的 Sony 电视的系统是基于国内用户的特别定制版,在服务和 UI 上都和海外的电视有很大的不同,并且是硬件层面的定制,是无法通过刷固件切换区域这种方式来获得完整的体验。作为一个强迫症加完美主义者,在了解到可以通过更换主板的方式获得完整的服务时,于是就有了这篇文章,有了这次折腾。

起因

Android 7.0 之后 Google 默认不信任 User 域下的证书,也就是自行导入证书的方式去抓 HTTPS 包的方法已经不管用了,再加上现在大部分 App 都使用了 SSL Pinning,因此抓包的难度也比之前大了不少。此时再想抓 HTTPS 的流量就要用别的方法了。

0x00 漏洞原因

Kubernetes 的服务在正常启动后会开启两个端口:

  1. Localhost Port (默认8080)
  2. Secure Port (默认6443)

这两个端口都是提供 Api Server 服务的,一个可以直接通过 Web 访问,另一个可以通过 kubectl 客户端进行调用。

前因

iOS针对IAP有一个保护机制,如果使用了全局代理的方式,iOS检查到之后为了保障交易的安全性,将会拒绝IAP流程,所以是无法抓取交易数据的,以豆瓣阅读为例,未开启代理时,可以正常的进入IAP充值界面,开启代理后则会报错:

DNS反射放大攻击分析

前阵子业务上碰到了DDOS攻击,正好是DNS反射型的,之前只是听过,没自己处理过,仔细学习了一番之后做点记录。

新开一个坑,主要是记录自己学习移动端的一些相关知识。从基础到复杂吧,也不知道能写多少。从最开始的环境开始。

移动端安全和Web差别并不大,也是分为服务端和客户端,只不过客户端换成了一个App,服务端和Web基本一致。因此挖掘服务端端漏洞和Web没有太大差别。重点在于如何挖掘客户端端漏洞,涉及反编译,代码审计,等等。

PHPCMS V9 Authkey泄露漏洞

在PHPCMS V9的版本中(现已修复)

phpcms/phpsso\_server/phpcms/modules/phpsso/index.php

中有一段代码如下:

最近看了一些Nginx的配置的文章主要和性能有关,包括一些安全上的配置,并不对所有设备适用,总结下来觉得有用的可以自取,另外是加深自己对服务器的理解。其中有一些有关DDOS的配置。内容参考了两篇文章和自己的一些安全理解。文章地址如下:

Tuning NGINX for Performance

Mitigating DDoS Attacks with NGINX and NGINX Plus