2020年05月_可爱多多白_CSDN博客

可爱多多白

码龄9年

39,541

总访问量
34

原创
16

粉丝
17

关注

IP 属地：北京市

加入CSDN时间： 2016-04-05

查看详细资料

个人成就

获得14次点赞
内容获得12次评论
获得39次收藏
博客总排名2,038,479名

TA的专栏

兴趣领域设置

网络空间安全

系统安全web安全

创作活动更多

王者杯·14天创作挑战营·第2期

这是一个以写作博客为目的的创作活动，旨在鼓励码龄大于4年的博主们挖掘自己的创作潜能，展现自己的写作才华。如果你是一位热爱写作的、想要展现自己创作才华的小伙伴，那么，快来参加吧！我们一起发掘写作的魅力，书写出属于我们的故事。注： 1、参赛者可以进入活动群进行交流、分享创作心得，互相鼓励与支持（开卷），答疑及活动群请见https://bbs.csdn.net/topics/619735097 2、文章质量分查询：https://www.csdn.net/qc 我们诚挚邀请你们参加为期14天的创作挑战赛！

66人参与去参加

Defcon 2019 Qualify: redacted puzzle Writeup

文章目录Defcon 2019 Qualify: redacted-puzzle1.Attachments2.source code3.author: bboe4.writeups5.知识点5.1 图像模式5.2 pallete5.3 Python PIL包使用5.4 Base系列编码原理6 [Defcon 2020q uploooadit](https://github.com/o-o-overflow/dc2020q-uploooadit)总结Defcon 2019 Qualify: redacted

发布博客 2021.04.26 ·

Defcon 2018 Qualify: Easy Pisy writeup

文章目录Defcon 2018 Qualify: Easy Pisy1. Source Code2. Writeup3. Info4. Analysis of Author4.1 janmasarik4.2 nneonneo (Robert Xiao)4.3 Marc Stevens4.4 Elie Bursztein (Google)5. 语言中的签名函数5.1 php5.1.1 [standards library](https://www.php.net/manual/zh/refs.crypto.p

发布博客 2021.04.26 ·

Real Wolrd CTF 3rd Writeup | Easy Defi

题目环境架构EasyDefi是一道面向去中心化金融服务的智能合约题目。题目代码通过附件的形式给出。同时我们可以通过题目描述了解到ChaitinSwap的逻辑和Uniswap基本类似，只是更改了手续费比例。ChaitinBank听上去是某种提供了借贷服务的Defi项目，我们看一下代码:[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NqtE0d3V-1616574227436)(https://s3.in.chaitin.net/hackmd/uploads/u

发布博客 2021.03.24 ·

《Formal Analysis of Composable DeFi Protocols》组合型DeFi项目的形式化验证

前言Palina Tolmach的《组合型Defi项目的形式化验证》(Formal Analysis of Composable DeFi Protocols)论文原文链接如下https://arxiv.org/pdf/2103.00540.pdf论文尝试使用形式化验证的方法，分析Defi智能合约项目应符合的安全约束。帮助项目开发人员进行自动化的安全审计。会翻译得口语一些；部分术语将不会翻译，比如Protocol、token、pool啥的；CSP#Process会翻译成动作而非行为或过程，因为

发布博客 2021.03.22 ·

机器学习(2):模型评估

对生成的模型进行比较，以得到最好的训练结果。需要使用评估算法进行评估。评估算法分离训练数据集和评估数据集66.7% + 33.3%K折交叉验证分离把data分为K组，每组都单独做一次 validation_data弃一交叉验证分离data中的每一个数据，都做一次validation重复随机评估随机分组，作validation混淆矩阵相关图形分类错误率AccurancyPrecisionRecallF1-ScoreTPRFPRPRC曲线P

发布博客 2021.03.14 ·

机器学习(1):特征选择

数据和特征限定了机器学习性能的上限，优化模型和算法来逼近这个上限特征处理预处理特征选择降维特征选择的意义降低拟合度预测结果更精确减少模型训练时间无关的特征会降低魔性的额准确度，尤其是线性算法(线性回归算法、逻辑回归算法)特征选择的方法单变量特征选择递归特征消除 RFE主要成分分析 PCA特征重要性单变量特征选择卡方检验法相关系数法互信息法卡方检验法代码#coding=utf-8from pandas import read_csvfrom n

发布博客 2021.03.12 ·

《思维导图》读书笔记

前言为了加强记忆，学习了《思维导图》一书。该书认为应当使用线条自然、横向、色彩绚丽、以图形表意的思维导图来帮助记录知识点。我根据自己的需要，用思维导图记录了书中介绍的，高效记忆方法和问题分析方法高效记忆高效记忆的留个关键技巧图中从12点方向逆时针分别是专注：全神贯注地做事，感受理解：对事件充分理解，感受细节重复：一段时间后重复记忆联动：离散的知识点之间联想。增强记忆感官：场景可以与感官联动。比如恋人的气味。情景：向知识点中加入故事情节。思考能力提升对于一个

发布博客 2021.03.11 ·

软件工程备考简答题总结

此版本复习提纲仅适用于江苏大学陈雷老师班第一章软件工程概述软件的特点无法观察物理形态在软件的开发过程、工程管理过程中渗透了大量的脑力劳动无磨损、老化需要在特定的计算机系统环境下运行有复用性软件工程的提出目的是:解决软件危机带来的诸多弊端控制开发成本在预期范围内交付满足用户需求的软件软件的功能可靠软件的品质优秀控制软件的开发时间软件易于维护目标、过程、原则目标：低成本、高品质、及时交付软件过程：基本过程、支持过程、组织过程原则：适宜的开

发布博客 2020.12.28 ·

合约安全(4):为啥说UniswapK值不那么守恒

前言诶嘿，刚审计了个Swap项目，项目的Swap函数手续费收了两次…为了把问题描述的清晰一些，我仔细地追了一下swap中手续费的计算方法。于是机缘巧合的发现了Uniswap K值检查的奇妙，和我想象中的检查方式有些差别。本文做一个技术点的记录和分享。文章目录前言前置知识AMM的K值守恒问题发现为啥不是小于K值为啥还能大于K值总结碎碎念引用前置知识AMM的K值守恒在AMM中进行交易，遵循K值守恒原则，Swap前后的reverse乘积不变。详细兑换原理，可查看 uniswap解析与举例问题发

发布博客 2020.11.02 ·

所有基于cosmos的区块链项目的测试网启动方法

Abstract基于cosmos框架的区块链项目，在启动脚本上都大同小异。这里做一下整理记录。方便后面的测试使用。genesis file formatinitserverd init --gen-txs --home=$HOME/.gaiad1 --chain-id=test-chaingentxserverd gentx --name validator --amount 1000000000ucsdtadd-genesis-accountserverd add-genesis-acc

发布博客 2020.09.15 ·

GoFuzz自定义语料输入流程记录

背景在使用gofuzz的过程中，发现自己输入的corpus好像没有被执行。遂审计一下代码，追踪一下输入的corpus的处理流程。正文在一次测试过程中，我输入的初始语料如下{"Name":"AjWwhT","Symbol":"HctcuA","TotalSupply":100}但进化出的可崩溃语料却是这些 ":" "{\"\"1" "{1" "{:" "\"\"," "\"\":" "

发布博客 2020.08.22 ·

GoFuzz无法正常触发crash研究

Abstract在使用gofuzz测试的过程中。遇到明明很有问题、肯定能触发panic的语料，却没有生成对应的crash。怀疑自己的使用姿势不对，遂对其进行了研究。本文记录一下实验过程和结果。为了方便测试，设计了自定义Fuzz函数如下:通过测试panic是否会崩溃，来检查panic和return值之间的相关性。猜测1: 不同return的值和 panic组合，可能产生不同结果。导致不panic在gofuzz中，Fuzz函数的return值有特殊的含义。return 1 : 表示这次测试

发布博客 2020.08.21 ·

Ethereum DoS Attack on Teku Notes

Abstract前些日子，以太坊2.0开放了attack-net攻击网环境。白帽子们在此链上对新版本的ETH进行众测。7月27日，ETH官方确认了第一个漏洞(cy)。本文将该漏洞的issue翻译成中文，并学习一下漏洞的细节。Description该漏洞可导致Teku节点被DoS攻击，从而无法参与共识。这里说的Teku 是本文作者jrhea所在的安全团队的名字Attack scenario这个DoS攻击将持续影响链节点的一致性。等到攻击停止后，需要手动修复，ETH才能恢复运行。被攻击节

发布博客 2020.08.17 ·

一篇文章看不懂，如何使用AFL Fuzz Apache

原文地址intro笔者发现了Apache数组越界漏洞 CVE-2017-7668，漏洞的详情写在了笔者的博客中。博客中介绍了如何使用AFL来测试httpd服务。和Dominic先生交流之后，决定在这里再记录一下整个过程。文中涉及，代码审计、honggfuzz使用、radamsa使用、AFL工具使用Goal偶然遇到AFL，尝试后发现AFL只能测试stdin的输入。对于来自网络的输入则无能为力。于是我尝试对Apache进行测试，希望能找到测试Httpd Server端的办法总体思路有二:1、对于

发布博客 2020.08.17 ·

GoFuzz模糊测试坑点

Abstract尝试使用 go fuzz 来测试程序，本文记录一下测试过程。其中遇到了一些新鲜的点，值得记录一下。1、国内下载安装gofuzz 的官方安装方法如下go get github.com/dvyukov/go-fuzz/go-fuzzgo get github.com/dvyukov/go-fuzz/go-fuzz-build但国内服务器可能无法正常下载。可以运行以下命令来手动安装gofuzzcd $GOPATH/src/github.com/dvyukov/git clon

发布博客 2020.08.16 ·

星际争霸2 人族两船兵笔记

将生产计作 :将移动计作 -> 开局主基地:scv1scv1:补给站scv1:BB scv2:瓦斯基地:scvwhen 瓦斯 is ready:scvs -> 瓦斯 BB:死神(1),枪兵(14)死神-> 地方基地when 150 矿:主基地:星轨when 400 矿:scv:二基地when 150 矿:scv:BB2 BB1:挂件 scv:补给站2,补给站3when BB2 快好了:scv:重工厂

发布博客 2020.08.14 ·

APEX 压枪练习记录

背景在领导教育一番"做事要认真"后,周末的游戏也要认真玩一玩。练一下最喜欢的两把中远火力。喷火轻机枪喷火轻机枪无弹匣 35发子弹，630点伤害35 -> 28，共126点伤害，向右下方向用力拉枪28 -> 25 , 累计180点伤害，向左稍稍拉枪25 -> 11，累计432点伤害，向右下用力拉枪，最后11发，向左用力拉枪。R301卡宾枪R301卡宾枪无弹匣 18发子弹，共252点伤害前14发子弹，196点伤害，用力向6点半方向拉枪最后4发子弹，向右稍稍收枪。

发布博客 2020.08.13 ·

PYRE 人物剧情和游戏技巧小结

相比《Transistor》，PYRE中的人物更多，性格各不相同，感情线更多了，这里做个小记录。笔者的救赎顺序:乔达里尔、鸟妹妹(非新夜翼)、Tizo、海蛇、赫得文、大树、恶魔奶爸(非新夜翼)为什么要回人间？:Reader：没兴趣、不想回赫得文：想女朋友了乔达里尔：回不回都行…狗哥: 回家找妈妈，还贷款，做生意养家。希望妈妈不要知道自己其实过得很不好…菲菲（野蛮人女孩，下文统一称为菲菲）：人间也没人要我，在下届还有朋友，有著者,有远古知识。不愿意回人间。Tizo: 精灵本就该呆在下届，没必

发布博客 2020.08.13 ·

合约安全(2):Bancor Network权限配置错误漏洞

Abstract2020年6月16日,BancorV2上线以太坊主网。2020年6月18日,Bancor Network团队发现了其BancorV2智能合约的安全漏洞。漏洞导致攻击者可盗取Bancor合约用户的资产。本文将介绍一下攻击的细节和这次安全事件的始末。漏洞原理本次安全事件一共涉及三个有漏洞的智能合约。0x8dfeb86c7c962577ded19ab2050ac78654fea9f70x5f58058C0eC971492166763c8C22632B583F667f0x923

发布博客 2020.07.06 ·

合约安全(1):Balancer中通货紧缩货币的套利攻击详解

Abstract消息来源：2020.6.29 链闻看天下当红流动性挖矿 DeFi 项目 Balancer 如何被攻击？官方这么说文中简要描述了攻击发生时间和危害，没有详细描述漏洞细节。漏洞详细介绍可参考文章《Balancer Pool with STA Deflationary Token Incident》概念介绍滑点 slippage在买卖 token 时，期望的交易价格和实际支付的价格之间的差别，称之为交易滑点。流通池用户将资产转入交易平台之中获得收益，而在平台中的总资产额度，就构成

发布博客 2020.07.05 ·