Pseudorandom Thoughts

省流：最近有人撞库微软账号 看了下我审计日志每天只有几笔登录失败应该还好，但微软账户这种比较重要的资产，MFA应开尽开 https://fixupx.com/changwei1006/status/1846988988168785935

The C23 edition of Modern C (🔥 Score: 159+ in 2 hours) Link: https://readhacker.news/s/6gj3K Comments: https://readhacker.news/c/6gj3K

《对第三方连接篡改的全球评估》 https://blog.cloudflare.com/zh-cn/connection-tampering/

渗透/安全推送中心 @cvebird 创建者:cooker-sast 项目描述:Collection of sinks for Java vulnerability research 收集Java漏洞挖掘常见sink 项目链接:https://github.com/cooker-sast/sinks #漏洞

每次看fingees都觉得自己溜大了 https://m.youtube.com/watch?v=KLWnB9D8_30

OpenSecurityTraining2 https://p.ost2.fyi/

Kern不了一点 https://type.method.ac/

Most companies don't trust their developers to write secure code. And with good reason because for every 10 developers that can write that basic 20-page crud app, only one of them is going to produce something that's not garbage.

https://www.reddit.com/r/dotnet/comments/1flhe91/comment/lo3rnt6/

每每因为工作需要翻二十年前的老代码和近年的新代码，从史山脚爬到史山顶，总得反反复复感慨，搞金融科技，除去核心以外的各类业务逻辑和报文交换业务，20年间究竟发展了些什么？就渠道交易来看，Jvav写的业务没有比当年C写的更复杂，但C+socket+定长分割+内存中数据结构魔法写的老业务，在AIX上一台机可以开20个测试环境；而Jvav+各种重量级RPC中间件等，一个测试环境就要20个VM；其可用性可扩展性（抛开架构师对自己的分布式微服务横向扩展的鼓吹）结果上来看也没能超过C。人们始终避而不谈房间里的大象，近些年来，国内业务开发涉及的“系统”技术的发展只是为了向多数（便宜且招得到的）的废物程序员妥协，砸十倍的人力换两三倍的业务动力（因为承认自己是废物很难）。业务开发领域说“业务更重要”倒也没问题，可是许多Jvav高工干的活 not even a biz dev.

只能说在国内我见到装了杯子的Linux服务器一只手数的过来；大的攻击面在哪？内网信创终端？ https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/

最水的一集

中秋假期玩通了《十三机兵防卫圈》，游玩时长26小时，确实是交互很创新的文字冒险游戏，内有男娘，值得一玩，剧情大概就是（剧透注意） 加了域渗透的《黑客帝国》，公司内部发展不一致所以有人当大黑阔，用各种哈希传递、委派和钓鱼做内网漫游，十几个域管理员手忙脚乱纠结是拔网线补漏洞还是保住业务，后面索性应急完抢救了最后的DC和前面的全量备份，扔去给AIOps重构了，域管们自己afk去现实生活造小孩去了。 全篇玩下来还是喜欢比治山x冲野司的性压抑环节，这么会写小男娘调情怎么不多写一点（逃

逆天硬件加密机，怀疑这波是HSM没打赢厂商的申必Apache HTTPD，至于哪家厂商用httpd拖HSM当TLS负载设备，我不说

第1天：回家路上听地铁广告念单位名都觉得他在念目标 第2天：我想我一辈子也记不起来今天发生的事情吧 第3天：工资是没有的，但披萨、零食和糖水必须吃回本 第4天：哦真的牛批，还有这种白嫖，系统是安全了，我自己的身心安全谁给我补上啊 第5天：sanf◯r的EDR全称是不是Exploitable Dumb Retard 第6天：你明明可以开自家监控探头的后门去看蓝队输密码，为什么要偷人梯控卡还撬门