<![CDATA[余弦函数]]> http://hi.baidu.com http://hi.baidu.com http://img.baidu.com/img/logo-hi.gif http://hi.baidu.com/ycosxhack zh-cn www.baidu.com 5 <![CDATA[不亦说乎啊]]> 这段时间忙的不亦乐乎,比如沉迷PSP3000,武侠倚天屠龙,不可自拔,Knownsec内外屋打打CS,他们打,我玩战神,我要是参与他们,就只有当人肉靶。

上上星期软件安全峰会参加了下,一个是watercloud大牛的网马相关议题,一个是xeye viki的xss virus探究的议题,期间我也忙得两眼昏花,我们的webmon earth实时展示定位恶意网站还是不错地,自上次我的google map实时展示恶意的创意被某安全厂商完全剽窃后(包括代码注释),不知这个webmon earth何时会开放,有时间的话我想让它更酷炫。xss virus这个自从那次博文视点open party提到过想法,这次也就算实现了很多demo,其实我的想法很简单,就是:基于web平台的病毒攻击与传统基于pc平台的病毒攻击在很多方面能够找到相似性,口说无凭啊,于是只能加班加点写demo了,renren.com是我们利用的最好平台,而且期间还发现了跨renren.com的子域的办法。

如果时间足够的话,我还想花时间研究研究wap平台的安全机制,不过太忙,很多想法暂时放下,不过必然会研究到,而且可能的话下次某安全会议我有去说说的想法……希望到时候底气能更足些,而且这次听了杨哲的无线通信安全相关的议题让我滋生了深入研究这方面的想法。

一点:不同安全领域的人总尝试通吃,我往底层吃(荤),你往web吃(素),也不乏荤素通吃者,更不乏守着一点点领地,而无限风光者。有道者,有盗者,有哗众红脸,有酱油小生。

我等只有潜心学习,多与大牛们交流交流,跟着这些人有肉吃:D
我自一口真气足。 阅读全文
类别:默认分类 查看评论]]> 2009-11-24 21:59 http://hi.baidu.com/ycosxhack/blog/item/88ba5d223225ebae4723e843.html <![CDATA[XCON 2009第一天见闻]]> 我来了,好久不写了,朋友们问我为什么不写了,恩,因为现在自己做的东西不好写,而且目前在酝酿一些文字、技术,年底应该能分享出来,酝酿的这些会毫无保留哦。不过说不定哪天我实在控制不住还会写点,嘿嘿。

今天很开心能认识很多朋友。首先是我们公司知道创宇来了至少5人(可惜幸福ing的IC没能来),大厅还挂着我们公司的宣传牌,挂照片:)(顺便说下,我确实在知道创宇,大家别认错人了。)
































xeye小组也来了5人。有朋友问起,我们这小组主要做什么,其实我们爱好真的很广,大多数人是搞web安全出身的。就拿我来说,我在创宇也是一直做web安全这块(其实web安全也挺广的),我有个最大最大的爱好就是宇宙物理学,所以一旦有人与我讨论起这个,我会很感兴趣的:)。我们不仅是小组成员,还都是好朋友,好兄弟。

然后看到了80sec的一些朋友,T恤不错:)。

见到了老朋友,电子工业出版社的信息安全项目总监毕宁、微软的褚城云,聊得挺多的,多谢支持:)。上午我没进去听议题,基本都在与朋友们聊天。

午饭与ayarei(这个真不好读,建议昵称拥有者取个别名吧)、邪八的无敌老兄以及他小弟、米国的欧文同学、xeye伙伴们一起吃,无敌老兄请的客。

下午听sdk大牛的XSS议题,其实内容很丰富的,不过大众反应这位老兄说的太快了,我因为之前看了他的PPT以及后面附带的paper,所以会场上实在困得不行就睡着了……听完后我的第一个感觉是:我真是悲哀啊,昨天凌晨辛苦准备一个通宵的技术型PPT居然面对的是非技术的人员,讲的我一点激情都没。

接着听了孙冰的《深入固件升级之安全》,我非常的感兴趣,所以很认真的听了,DELL RBU(我本本的型号好像就是DELL D630)、SPI,BIOS,EC等等,还有Phoenix的SecureFlash,Intel的AMT一些安全架构。不过我是菜鸟,目前顶多感兴趣。

晚饭还是无敌老兄请客,认识了邪八上的几位朋友,很好:),sunwear、虎子等(这些人非常幽默,HOHO)。早就熟悉的LCX大牛,还是一如既往的搞笑,精辟啊,哈哈。还有无敌的几位老乡,我只知真名就不列在这啦。饭局快结束时,绿盟的周振也来了,好几次都没认识,这次认识了。这次我喝酒喝多了……

明天的几个议题我也都感兴趣,继续听听。见见朋友。不过最近确实挺忙的,所以我晚上时间赶我们的进度吧。据说XCON下面还是黑来黑去的。恩,root才是最爽的,HOHO。

阅读全文
类别:黑笔记 查看评论]]> 2009-08-19 00:48 http://hi.baidu.com/ycosxhack/blog/item/7872ac8226940cb66d8119e7.html <![CDATA[Google开发者日活动笔记]]>
主会场上,近距离接触李开复,还有一位美女工程师,不过没鼓起勇气say hi。李开复的自信让我佩服。html,css,xhr这都是什么年代的标准了?为什么近几年这些标准才开始成熟,AJAX、CSS/DIV、MVC、 RIA这些模型彻底改变了我们的互联网。互联网需要统一的标准,google不想再这样等待标准被别人慢慢推敲完善,干脆开始制定自己的标准,制定标准的人,游戏规则的制定者,这样的内功修为是我佩服的。标准也不见得都好,但是google的一些标准与大力推进的一些标准让我看到了amazings!

一、比如Open Social

虽然我厌烦校内网的app,但是不得不承认架构于Open Social上的app带动了一块炙手可热的产业。对于Open Social标准,google工程师在台上分析满满,我在台下除了记记笔记外,就是思考这类的安全问题,不容置疑啦,虽然在Open Social中对跨域、同源、请求伪造等安全问题的问题已经思考得很仔细了,但是第三方应用难免得通过标准中的一些接口进行rpc类型的Client端跨域操作,而且架构于Open Social上的一些app有可能就依托于xiaonei.com自己的域上,去年我就谈过第三方app的安全性问题,当时拿的是校内网的“酷库树洞”作为xss的攻击演示,虽然子域不一样,但还是有些权限控制的地方可以危及到(本质都离不开同源策略)。

Open Social还要严格注意的就是:防止一些正常的功能函数被滥用,比如邀请机制,比如查看你的好友的好友,这样的扩散一定程度是信息泄露的安全问题。第三方应用的安全问题一直以来是大家谈论的焦点之一,对于不得不嵌入第三方应用的厂商来说,一旦涉及到安全点上,就是个比较头疼的问题了。不说这个了,没完没了- -。继续amazing标准。

二、比如HTML5

Draft?Draft!不过Google已经开始大量运用HTML5,开始推进HTML5标准。这让我想起05年轰动整个web世界的google maps,AJAX技术的运用,从此我走到哪,都是ajax,与个别伪ajax,无论是hacking还是designing。哎,ajax之前的 hack技术是iframe来模拟这个异步的过程,为何,为何到了05年才?不过AJAX总算是不让世人失望(虽然刚开始就有AJAX灭亡论之说)。现在是HTML4的天下了(这都多少年了??),又有了琳琅满目的CSS/DIV、AJAX,我们的web还需要什么?Flex,SilverLight都想在RIA大餐中分一羹。但是现在的RIA能接近desktop app?我们不能要求完美,比如网络带宽是很大的限制因素之一。

那么标准的HTML5来了,它带来了什么amazings?

HTML5中值得我们期待的不仅下面介绍的5个,还有比如:更好的文件上传支持、网络摄像头访问支持、3D原生态支持、更好的拖拽支持(比如将桌面图片直接拖拽到email正文中)等等!


1、画布canvas

和SVG是完全不一样的构建方式。一个canvas就是一个对象,需要使用JavaScript来操作,会场上看的demo挺酷的,这类技术我想会被邪恶地利用的,必然,什么东西没被邪恶利用过?

2、媒体插件标签

<video>这样的,已经与img一样的简单易用了,而且可以更容易通过JavaScript进行控制,结合上canvas等技术,可以设计出令人惊讶的效果,可惜Google会场上演示的demo不能拿来,我找到一个:http://people.mozilla.com/~prouget/demos/DynamicContentInjection/play.xhtml,其它的自己找去。

3、通知地理位置

HTML5对geolocation这个api接口的支持,当你浏览需要显示你的地理位置的网页时,会在网页上方收到提示,确认“通知他们”时,目标map(google maps api)就会显示出你的地理位置,体验下吧?http://maxheapsize.com/static/html5geolocationdemo.html,果然很准- -。至于geolocation的细节实现,自己查看源码。

4、利用本地缓存+本地数据库

就是localStorage与sessionStorage这些了,对于chrome,好像还有SharedMemory?关于这个看大风的文章吧:http://hi.baidu.com/aullik5/blog/item/60d2b5fc52675a1e09244d77.html

5、web workers

激动人心的东西来了,赢得全场热烈掌声啊!什么是web workers,如果说js有多线程的性质时,你会怎么样?不可能~,不过web workers实现了类似于线程的协调工作方式,参考这:http://www.whatwg.org/specs/web-workers/current-work/。现场的demo实在是酷,来看一个demo吧,mozilla对新标准的贡献巨大啊:http://people.mozilla.com/~prouget/demos/simulatedAnnealing/index.xhtml

关于对HTML5支持的浏览器:除了IE,其他浏览器都升级到最新版本吧,可能要手动安装新版本,也许就可以体验到HTML5。

三、比如O3D

Google想把O3D成为一种web上的应用标准,O3D是创建3D应用的开源web API。相关的技术可以看这:http://code.google.com/apis/o3d/。会场上展示了比较令人感叹的demo:http://o3d.googlecode.com/svn/trunk/samples/beachdemo/beachdemo.html,看demo前记得安装专门针对chrome的O3D插件。

对这类3D的”渲染“,也是flash经常做的事,不过实现的不是真正的3D。现在的webgame多火啊,那广告的台词,是男人都会被诱惑……webgame有些就是flash实现,而有些直接DHTML+AJAX写出。现在的web有什么不敢想的?那你恐怕离OUT就不远了……

四、神秘的wave

gmail+im+docs,详细的报告已经有了,看这吧:http://www.wangtam.com/50226711/google_wave_177620.php。wave由两个摇滚工程师介绍的,当时是掌声不断啊,放两张我拍的图吧:


这是wave的设计理念

这就是功能界面了

好像记得Google发给我们的包中有wave内测账号?李开复是这样说的?反正现在的结论是:还无法体验内测- 。-否则就找点茬。

OK,上面我主会场听到的感兴趣的技术了,接着就是5个分会场的笔记记录,不细说了,大多的思想我在上面已经表达了。其中笔记最多的是“Chrome的内部结构介绍”,这部分收获比较大。然后就是“在mobile端的maps api利用”、“利用Open Social建立开放平台”、“Google HTML5下一步要做什么”、“Google Earth API的讲解”。没办法,分会场太多,内容太多,听不过来。不过这次总算收获还是很大的,晚上的party大家也玩的比较HIGH,又看到我比较喜欢的Google美女工程师,好像是新加坡的-。-我又差点就上去打招呼了。

还看到一些人的优秀作品(使用google api或google的其它服务,比如app engine)。心里实在是痒。了解这些对安全的研究也是有很大的促进作用,一点都不耽误,不过我要开始研究些其他了,恩,不重复劳动,有好轮子,好零件,拿来搭建好应用。

thx google:)
阅读全文
类别:黑笔记 查看评论]]> 2009-06-06 01:00 http://hi.baidu.com/ycosxhack/blog/item/6fa37bfbee86466c024f5644.html <![CDATA[Google开发者日这周五谁去]]> 周五我和g、heart、vs应该都要去吧,vs同学不知道社工能力如何,哈哈。

我由于去年去了,所以今年就收到特邀的email(不错),不用担心注册不及时而去不了的问题。google api我一直在用,最近还会用上app engine。这次去要认真点,呵呵。

谁去的,到时候联系。

项目即将结束,我要让它更强……

这次一定一定要坚持把我之前买的那些书看完!!!TO DO LIST太长了,就乱了。可怜的《负数与零》、《三体2》,可怜的《平行宇宙》与《观天巨眼》,可怜的《亚里士多德的宇宙哲学》(目前还没看到什么精彩的,可能与我刚看那么几页有关系……)。

可怜的这些只能等我看完该看的技术书籍之后,再来科普了。

阅读全文
类别:默认分类 查看评论]]> 2009-06-02 23:50 http://hi.baidu.com/ycosxhack/blog/item/5c87e407394f03c57a89470e.html <![CDATA[pstzine 0x03是个放血池]]> 刚刚发来,我就快速看了几篇。
刺的这篇:《WEB应用安全设计思想》。

在精武门时,我就开始初步接触刺的这类思想电波了。不过我还没严谨地全局地思考过安全这事,嘿嘿,有可能与自己所处的状态有关系。

QZ的这篇:《利用窗口引用漏洞和XSS漏洞实现浏览器劫持》。

好文啊。刚好前段时间我也在搞类似的东西。我们也发现一些浏览器bugs啦,漏洞啦。

luoluo这篇:《突破XSS字符数量限制执行任意JS代码》。

看了之后让人再次热血沸腾,window.name这个,猛料。luoluo的这文章让我想起去年在zhanzuo.com上的一个短小的xss worm,所有payload都寄生于这个SNS网络上,没传播,呵呵。

80vul这篇:《高级PHP应用程序漏洞审核技术》。

佩服,没什么好说的,先读完再说。

wzt的这篇:《高级Linux Kernel Inline Hook技术分析与实现》。

我是门外汉,没啥说的。。。


前段最忙的时间已经过去了,学习了不少。在实际开发挑战中进步会更快,灰色的日子却充满了桀骜不驯的朝气。一步一步,感谢身边的牛牛们。呵呵,公司内有个山寨乒乓球桌,是我们消遣的地方,我实力一般般,某些牛发球太淫荡了,比我发球淫荡多了。 阅读全文
类别:Script Attack 查看评论]]> 2009-05-05 18:21 http://hi.baidu.com/ycosxhack/blog/item/07135c819c6b87d0bd3e1e72.html