«
»

invisible CAPTCHA to defeat spam


好久没有写与安全相关的技术文章了,没啥可写的是主因,没啥能写的是次因,没啥该写的是扯淡。今天一天的工作告一段落,各方面进展良好,看了看我的草稿箱,就挑这个主题update一下发布了。

写在前面的科普

anti-spam最早的含义应该就是指的反垃圾邮件,没别的原因,就是早期互联网的一个重要[......]

Read more

, , , ,

This entry was posted on 2011年01月14日, 7:20 下午 and is filed under Javascript, 安全技术. You can follow any responses to this entry through RSS 2.0. You can leave a response, or trackback from your own site.

«
»

4道js面试题


设计了4到js面试题,最近在面试Web前端开发人员时随机组合用了几次,没有一个来面试的能全答对,看来这个题有点分享的价值,贴出来看看:

var a = 10;
sayHi();
function sayHi() {
var a = 20;
alert(a);
}
alert(a);[......]

Read more

, ,

This entry was posted on 2010年12月3日, 7:14 下午 and is filed under Javascript. You can follow any responses to this entry through RSS 2.0. You can leave a response, or trackback from your own site.

«
»

增强vim的js语法高亮和代码阅读能力


vim默认是可以支持javascript源代码的语法高亮,vim的Taglist插件也可以对javascript代码进行关键信息提取,但实际用于开发时总觉得不够给力。具体表现在哪些方面呢?

  1. vim无法对OOP风格的函数定义进行语法高亮
  2. vim默认不识别.jsm为Javascript
  3. Tag[......]

Read more

, , , , , ,

This entry was posted on 2010年11月30日, 7:28 下午 and is filed under CodeSnippet, Firefox, Javascript, Linux, Vim. You can follow any responses to this entry through RSS 2.0. You can leave a response, or trackback from your own site.

«
»

在GIF图片中隐藏任意脚本的方法


-= 写在前面的,但不是废话 =-

Update-1: 看到QQ围脖上大家的讨论,发现RSnake早在07年就介绍过这个方法,看来是我out了。

Update-2: 看到有人说可以简单用正则式匹配<script src=”xxx.gif”>,但实际上很多服务器端的文件引用采用[......]

Read more

, , , , , ,

This entry was posted on 2010年10月13日, 10:49 下午 and is filed under Javascript, WebSec, 学术研究, 安全技术. You can follow any responses to this entry through RSS 2.0. You can leave a response, or trackback from your own site.

«
»

Firefox扩展调试的新方法


在上一篇blog《Firefox扩展调试的一些心得和技巧》中,我还没有找到办法来做到源代码级别跟踪调试,只能通过日志输出的方法。今天通过一个上午的hacking,找到了一个目前为止还算比较完美的源代码级别断点调试。

用到的工具

Fi[......]

Read more

, , , , , ,

This entry was posted on 2010年07月21日, 1:03 下午 and is filed under Firefox, Javascript. You can follow any responses to this entry through RSS 2.0. You can leave a response, or trackback from your own site.

«
»

Firefox扩展调试的一些心得和技巧


Firefox扩展的调试目前来看,似乎无法做到单步跟踪调试,只能通过“打印”到控制台的方法。查阅了一些资料,做了一些实验,简单总结一下我的一些调试心得。

1. 关于调试输出函数的选择

dump()

Components.utils.reportError()

利用nsICon[......]

Read more

This entry was posted on 2010年06月29日, 7:24 下午 and is filed under Firefox, Javascript. You can follow any responses to this entry through RSS 2.0. You can leave a response, or trackback from your own site.

«
»

用vim和cscope构建xul代码阅读的环境


一直没有找到一个好用的xul代码阅读工具,无奈,还是拾起我的vim。捣腾了一下,基本的函数定义跳转、调用查找、关键词跳转、引用查找都没有问题了。

1. vim的xul语法着色

下载并安装vim的语法定义文件:http://www.vim.org/scripts/script.php?sc[......]

Read more

, , , ,

This entry was posted on 2010年06月29日, 4:23 下午 and is filed under Javascript, Linux, Vim. You can follow any responses to this entry through RSS 2.0. You can leave a response, or trackback from your own site.

«
»

[原创]百度专利搜索结果自动导入Zotero的脚本


用过Firefox+Zotero的都知道,推荐论文写作、信息整理归档必备!

详细信息全在这了:http://code.google.com/p/baiduzhuanli/

, , ,

This entry was posted on 2009年06月1日, 7:57 下午 and is filed under Firefox, Javascript, Tools, 学术研究. You can follow any responses to this entry through RSS 2.0. You can leave a response, or trackback from your own site.

«
»

空白字符:Javascript变形的新方法


在刚刚结束的Defcon 2008上,Kolisar为我们展示了一种非常有创意的JS代码变形方法。

一篇介绍这种技术原理的blog在这里, Kolisar在大会上展示的PoC代码在这里,PPT在这里

好了,给了一堆的链接,下面来谈谈我对这种新变形技术的一点体会。

首先,对于网页挂[......]

Read more

, , ,

This entry was posted on 2008年09月5日, 3:10 下午 and is filed under 0-day, Javascript, WebSec, 安全技术. You can follow any responses to this entry through RSS 2.0. You can leave a response, or trackback from your own site.

«
»

使用Javascript检测客户端用户是否登入Yahoo/Google账户


今天看到一篇有意思的文章,关于用js检测用户是否登入某些Web应用的方法,虽然原文没有给出具体的实现代码,但我经过了一些研究之后,试着写了一段POC,经测试只能在Firefox下使用。IE下的错误信息和Firefox的错误信息接口不一样,暂时没有想到办法利用。

测试地址在这里

附上POC源代码:[......]

Read more

,

This entry was posted on 2008年03月14日, 7:36 下午 and is filed under Javascript, 安全技术. You can follow any responses to this entry through RSS 2.0. You can leave a response, or trackback from your own site.