 |
HantongV2EX 第 533120 号会员,加入于 2021-02-13 09:49:19 +08:00今日活跃度排名 18851 |
i.han.rs
Hantong 最近回复了
1 月 31 日 回复了 lyz2754509784 创建的主题 › NAS › 公网使用飞牛 nas 的一些安全使用小提示--感谢飞牛官方团队 |
@patrickyoung 这洞也太低级了... 不过楼下也说了, 没授权公开 PoC, 怕等下直接上门了()
路径穿越那个, 我后面又搜了一下, 其实早在 1.1.8 还有个更低级的表现, 不知道你有没有留意到: https://club.fnnas.com/forum.php?mod=viewthread&tid=48354
路径穿越那个, 我后面又搜了一下, 其实早在 1.1.8 还有个更低级的表现, 不知道你有没有留意到: https://club.fnnas.com/forum.php?mod=viewthread&tid=48354
1 月 31 日 回复了 lyz2754509784 创建的主题 › NAS › 公网使用飞牛 nas 的一些安全使用小提示--感谢飞牛官方团队 |
@patrickyoung 除了 "/app-center-static/serviceicon/myapp/{0}?size=../../../../" 这里的路径穿越还有洞?
---
https://club.fnnas.com/forum.php?mod=viewthread&tid=48354, 好像这个问题已经很久了, 不是简单的路径穿越的问题
---
https://club.fnnas.com/forum.php?mod=viewthread&tid=48354, 好像这个问题已经很久了, 不是简单的路径穿越的问题
1 月 31 日 回复了 lyz2754509784 创建的主题 › NAS › 公网使用飞牛 nas 的一些安全使用小提示--感谢飞牛官方团队 |
@patrickyoung 老兄是要逆向分析么, 这件事就缺个逆向证据进一步实锤了
1 月 31 日 回复了 izToDo 创建的主题 › 信息安全 › 飞牛 OS 疑似 0day 漏洞,许多用户设备遭到攻击,请尽快检查设备或暂停使用 |
@PrinceofInj 是这样的, CVE 也应该有, 这种妥妥 CVSS 9.X 的洞, 毫无利用难度
1 月 31 日 回复了 lyz2754509784 创建的主题 › NAS › 公网使用飞牛 nas 的一些安全使用小提示--感谢飞牛官方团队 |
@patrickyoung 我能找到的有记录的版本是 https://iso.liveupdate.fnnas.com/x86_64/trim/fnos-1.1.11-1438.iso, 然后拿官方的那个 https://fnnas.com/api/download-sign POST JSON `{"url": "https://iso.liveupdate.fnnas.com/x86_64/trim/fnos-1.1.11-1438.iso"}` 签个名就行
2025 年 11 月 27 日 回复了 swananan 创建的主题 › 程序员 › 两个月重度使用 AI Code Agent:普通一线程序员的思考和感想 |
"架构师" 的描述, 我十分认同. 个人的习惯是, 先有一个想法, 自己写个原型, 思路明晰了就交给 AI 粗略生成, 然后再手工精修. 至于个人能力会不会受影响问题, 我觉得一个最低限度的要求是, 保证 AI 写出来的自己能看懂, 而不能做所谓的 Vibe Coding.
此外, AI 生成 CI / CD 相关内容也是比较好用, Github Action 我原来真不会, 基本都让 AI 写, 慢慢就能看懂自己写 (ctrl c+v) 了.
---
几个月前尝试过自己写一下 kTLS 的用户空间实现, 测试的时候遇到个非常奇怪的问题, 试过 AI 去帮我做分析, 不过帮助不大, 最后还是只能自己啃代码修好的; 也尝试过使用 splice 做网络编程的零拷贝优化, 遇到 tokio task 一睡直接睡死的 bug 也是至今没弄懂根本原因是什么 (虽然后面大概知道问题出在哪儿, 自己修好了). 不过仔细想一下这种场景普通开发者一般也不会遇到, 会在生产环境里碰到并负责处理的, 那也是技术大牛了, 不需要 AI. 引用楼上的话, "如果是让实习生或者技术不扎实的用,那个效果就非常差...", 感觉我就是这种情况, 技术不扎实, 对 Linux 内核不够熟悉, 问 AI 也问不到点子上, 还是得加强学习.
此外, AI 生成 CI / CD 相关内容也是比较好用, Github Action 我原来真不会, 基本都让 AI 写, 慢慢就能看懂自己写 (ctrl c+v) 了.
---
几个月前尝试过自己写一下 kTLS 的用户空间实现, 测试的时候遇到个非常奇怪的问题, 试过 AI 去帮我做分析, 不过帮助不大, 最后还是只能自己啃代码修好的; 也尝试过使用 splice 做网络编程的零拷贝优化, 遇到 tokio task 一睡直接睡死的 bug 也是至今没弄懂根本原因是什么 (虽然后面大概知道问题出在哪儿, 自己修好了). 不过仔细想一下这种场景普通开发者一般也不会遇到, 会在生产环境里碰到并负责处理的, 那也是技术大牛了, 不需要 AI. 引用楼上的话, "如果是让实习生或者技术不扎实的用,那个效果就非常差...", 感觉我就是这种情况, 技术不扎实, 对 Linux 内核不够熟悉, 问 AI 也问不到点子上, 还是得加强学习.
2025 年 5 月 28 日 回复了 kandaakihito 创建的主题 › 宽带症候群 › 写了个本版块老哥们应该会喜欢玩的脚本:自定义 B 站的 CDN(CCB) |
@daisyfloor tun 走 v4 了吧
2025 年 5 月 12 日 回复了 fiveStarLaoliang 创建的主题 › 信息安全 › ESET 报告: APT 组织 TheWizards 利用 IPv6 欺骗劫持软件更新,目标涉及多国用户 |
@allplay 有 GPG 签名的
2025 年 5 月 12 日 回复了 rsfengzi 创建的主题 › DNS › 为什么用了阿里的 DOH 还会解析到江苏反诈? 用其他 DOH 就不会 |
@hefish 据说得配置一下鉴权,被扫到也没事
2025 年 5 月 12 日 回复了 yxmyxmyyy 创建的主题 › DNS › 最近测了一下发现 dns 的 443, 853 全部被屏蔽了 |
理论上海外域名不应该解析,直接落地机器处理,速度会快很多。平时用阿里云那个 DoH 就行(不过也有被投毒的说法了)。
直接让 DoH 走代理得了,需要注意,最好是支持 EDNS 的,否则服务器境内境外解析不一样的解析到海外地址很蛋疼,不如直接代理了。Cloudflare 的不支持。
直接让 DoH 走代理得了,需要注意,最好是支持 EDNS 的,否则服务器境内境外解析不一样的解析到海外地址很蛋疼,不如直接代理了。Cloudflare 的不支持。
Select Language