@luckylo 两三年前的顶配 现在真不一定是入门。比如小米 6

32g 内存的版本 11 月出来，很诱人，10999 元有 32g 内存，2t 固态，4k

内存是板载的，建议一步到位上 32g

猫咪很可爱,希望能找到个好主人

是的,很难.
我的需求是屏幕起码 72%ntsc 色域,可扩展到 32g 内存,方向键大小一致,选了一大圈到后面买了 xps15

电视投屏试了不少方案，个人建议用 steam link 串流

当然是支持啦!期待又一个开源堡垒机

你提到的"因为熟悉，你知道那里怎么运行的"和安全问题其实没有很大的关联,安全问题主要是和人员的安全能力以及安全意识有很大的关系.

我就用回 PHP 举例,"根据用户输入的 url 发起请求"这个需求,不用轮子,只用内置 curl 函数,你可能觉得几行代码写出来的,然后呢?

对于这个 url 的检测,问题可多了.

先从协议开始,如果没校验协议,dict 协议可以用来探测内网无密码 redis,而 gopher 则可以构造出 FastCGI 协议,攻击 PHP-FPM,使其执行任意代码.

当 url 的域名指向内网的时候,则可以探测内网无保护的 http 服务,比如探测 Elasticsearch.
当你尝试先校验一下域名是否指向内网的时候,DNS-rebinding 了解一下?

在你没有安全技能和安全意识的情况下,就算你对自己的代码很熟悉,你也完全不知道漏洞在哪里.而当你有安全技能和安全意识的时候,你在开发对应功能的代码时,你就会自然而然地做很多防御手法,以及 review 你依赖的轮子它的内部实现.

最后,OpenRASP 的实现方式可以了解一下,通过和 runtime 结合的形式,对于函数的入参做检测,可以在 runtime 层做防御

如果你懂安全，自己用框架的时候顺便审计下就行了。
如果你不懂安全，自己造一个轮子，挖你的漏洞是很简单的事情

楼主站点的流量挺大的啊，我的乌云漏洞库镜像最近看到来源最多的就是这个导航

每次看到 Atom 的讨论我都会看一下它最近的更新,然后满怀信心地下载最新版使用,结果每一次使用都是不到半小时卸载

xdebug 的 trace 就是用来干这个的，每一个函数的调用以及传入的参数和返回值都会记录到指定文件里

用 nodejs 封装一下 puppeteer，想怎么控制都行

方向键反人类

刚出的戴尔灵越 7950/7951

很棒,最近在团队内部推 nextcloud,以及基于 Collabora 的办公文档协作,先收藏留作备用了.

准备好一千万了吗？

这个手机是真的香,我买来后直接就可以装谷歌相机了,拍夜景爽到爆炸

0 元支付属于逻辑漏洞,归属后端.

前端能做的安全比较少,常做的有
* 富文本过滤:一些实时预览功能或者后端没有一个业界最好用的富文本过滤方案时,需要前端做富文本 XSS 过滤,可以使用* js-xss 库处理.防界面伪造 /劫持:2015 年左右,淘宝商品详情页,可以自己构造 div 和特别的 css,覆盖中差评区域,使得中差评* 无法点击.
* 保护隐私,通过 meta 标签控制 referrer 信息不外传
* 通过 meta 标签加入 CSP 策略

无人机 https://ws4.sinaimg.cn/bmiddle/62e721e4gw1et02g5wksrj200k00k3y9.jpg