I C(Sharp) Your Clipboard Contents

使用 C# 监控并窃取剪贴板内容

其实监控粘贴板这事情没啥难度,但是明白粘贴板这背后代表的东西,很重要

且不说什么 1Password、KeePass 这样的密码管理软件是通过粘贴板来插入密码到对于的地方(或者通过其插件,但没有插件的地方,不是一样靠 ...

Understanding Java deserialization

理解 Java 反序列化。文章详细解释了 Java 序列化实现的过程和导致出现安全问题的分析,但是我觉得作者没有认识到,其实所有序列化导致 RCE 的问题,都是模糊了文本和执行代码导致的问题,在这个层面来说,所有的序列化都是无解的

Magic Hashes

PHP 中 0e 开头的魔术 Hash 介绍。

文章里面只是分析一下 PHP这样实现带来的大坑,没有真正指出其核心问题。其实纵观各大编程语言,在处理字符串方面一旦有多种实现,那么肯定会跨越 text 和 code 的界限,造成 N 多的现实中的问题。

Pyre: Fast Type Checking for Python

Facebook 开源并介绍了他们的 Python 快速类型检测工具 Pyre。大家都知道 Python 作为弱类型的编程工具,其编程友好性很大程度来源于此,然而工程化和安全的考量,却又不得不造个轮子去检测 Python 弱类型可能导致的安全问题,比较 ...