2018年翻墙vpn

QQ截图20180218170919.png


我认为这款软件是2018年最好用的一款代理软件了。不过只能试用7天。如果要下载一些sdk。比如android的sdk那么用它即可。下图是代理后访问:youtube。


QQ截图20180218171005.png


 

计算鼠标路径节点

44.gif

最近看到一个鼠标手势的软件:WGestures感觉还挺好的。是个开源软件,本打算看一下它是怎么识鼠标手势的。但是下载源码一看,源码文件太多,也没有一个说明文档,就不看了。自己写了一个,存在一定的误差。发上来有兴趣的一块可以研究一下。

源码下载地址:

阅读全文»

计算两向量夹角

        private static float GetAngle(Point vectorA, Point vectorB)
        {
            float angle = 0.0f; // 夹角

            // 向量Vector a的(x, y)坐标
            float va_x = vectorA.X;
            float va_y = vectorA.Y;

            // 向量b的(x, y)坐标
            float vb_x = vectorB.X;
            float vb_y = vectorB.Y;

            float productValue = (va_x * vb_x) + (va_y * vb_y);  // 向量的乘积
            float va_val = (float)Math.Sqrt(va_x * va_x + va_y * va_y);  // 向量a的模
            float vb_val = (float)Math.Sqrt(vb_x * vb_x + vb_y * vb_y);  // 向量b的模
            float cosValue = productValue / (va_val * vb_val);      // 余弦公式

            // acos的输入参数范围必须在[-1, 1]之间,否则会"domain error"
            // 对输入参数作校验和处理
            if (cosValue < -1 && cosValue > -2)
                cosValue = -1;
            else if (cosValue > 1 && cosValue < 2)
                cosValue = 1;

            // acos返回的是弧度值,转换为角度值
            angle = (float)(Math.Acos(cosValue) * 180 / Math.PI);

            return angle;
        }


爱站网百度关键词查询方法

最近在写文章的时候都喜欢查一下关键词,这样也便于SEO。于是看到爱站网百度关键词挖掘感觉使用还挺好的。不过挖掘关键词的网站很多,如果能综合一下就比较不错了。所以需要把每个网站的关键词都获取下来然后对比一下。下面是爱站网的关键词。

爱站网显示样式

UC截图20180211163438.png


首先要猜一下这个网站查询的过程,一开始我以为是post然后返回json数据。就F12开始看具体的http协议过程。但是发现只有一个get协议。那么显而易见是当前网站算好查询字的加密文本,然后查询的了。如下图。

加密后字符串

UC截图20180211163746.png

这里的话要考虑两种情况:1、HTML渲染前。2、HTML渲染后。

渲染前直接右键源码就好了。渲染后的话也可以直接F12查看。具体的可以参考一下。我是直接查看的源码。找到查询按钮对应的html代码。

<form method="get" class="search-form" onsubmit="return search_form();">
	<input type="text" class="search-text" name="word" id="word" autocomplete="off" value="关键词" placeholder="请输入您要查询的关键词">
	<input type="submit" class="search-button" value="查询">
	<i class="ico-search-arrow"></i>
</form>

注意一下onsubmit这是一个响应事件,类型(type)submit按钮单击时会发生。然后Get的协议网站就会从中获取。这里要找到search_form函数的定义位置。直接源码里查找.js这样比较快。发现只有4个js。其中3个是第三方库。只有一个是爱站网自己的文件。看了下源码如下:

function Tabs(e, t, i, a) {
    a = a || 0, t.hide(), t.eq(a).show(), e.on(i, function () {
        var i = e.index(this);
        $(this).addClass("active").siblings().removeClass("active"), t.hide().eq(i).show()
    })
}

function url2domain(e) {
    return e.toLowerCase().replace("http://", "").replace("https://", "").split("/")[0].split("?")[0].replace(/\s/g, "")
}

function isDomain(e) {
    var t = e.split(".");
    return !t[t.length - 1].match(/[0-9]/) && !!e.match(/^[A-Za-z0-9_-]+(\.[A-Za-z0-9_-]+)+$/)
}

function timeDiff(e) {
    var t = new Date,
        i = new Date(e),
        a = (t = t.valueOf()) - (i = i.valueOf());
    return (a = new Date(a)).getFullYear() - 1970 + "年" + a.getMonth() + "月" + (a.getDate() - 1) + "日"
}

function encode_unicode_param(e) {
    for (var t = "", i = 0; i < e.length; i++) {
        var a = e.charCodeAt(i).toString(16);
        2 == a.length ? t += "n" + a : t += a
    }
    return t
}

后面还有很多,不赘述。这里就可以看到这个加密函数了。encode_unicode_param。代码的意思是返回每个字节的unicode编码的十六进制格式。这个自己算一下就可以发现了。我们可以写一个验证代码来看一下。

<!doctype html>
<html>
 <head>
  <meta charset="UTF-8">
  <meta name="Generator" content="EditPlus®">
  <meta name="Author" content="">
  <meta name="Keywords" content="">
  <meta name="Description" content="">
  <script type="text/javascript" src="aizhan.js"></script>
  <title>爱站网百度关键词挖掘查询</title>
 </head>
 <body>
<script type="text/javascript">
document.write(encode_unicode_param("关键词"));
</script>
 </body>
</html>

调用后加密

UC截图20180211164449.png


可以看到获取的是一样的。这样的话就可以利用其它的编程语言或者就用html+js。做一个百度关键词挖掘的工具了。并且可以多找几个挖掘网站,综合对比一下关键字。有利于优化哦。。。。



--------------------------------------

晚上写了下站长工具的关键词挖掘代码:

<?php
	$url = "s.tool.chinaz.com/baidu/words.aspx";
	$post_data = array ("kw" => urlencode("站长工具"),"page" => "1","by" => "0");
	$ch = curl_init();
	curl_setopt($ch, CURLOPT_URL, $url);
	curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
	// post数据
	curl_setopt($ch, CURLOPT_POST, 1);
	// post的变量
	curl_setopt($ch, CURLOPT_POSTFIELDS, $post_data);
	$output = curl_exec($ch);
	curl_close($ch);
	//提取关键字
	if(strpos($output,'没有找到相关的关键字')===false){
		$isMatched = preg_match_all('/(?<=class="ellipsis block"><span>).*?(?=<\/span>)/', $output, $matches);
		for($i = 0;$i < count($matches[0]);$i++){
			echo $matches[0][$i]."<br>";
		}
	}else{
		echo '未找到关键字!';
	}

?>

上述代码保存格式为UTF-8。

cookie

POST http://post.iwonmo.com/ HTTP/1.1
Host: iwonmo.com
Connection: keep-alive
Content-Length: 74
Accept: application/json, text/javascript, */*; q=0.01
Origin: http://iwonmo.com
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.98 Safari/537.36 LBBROWSER
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://iwonmo.com/?name=%E7%A9%BA%E7%A9%BA%E5%A6%82%E4%B9%9F&type=netease
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8
Cookie: Hm_lvt_50027a9c88cdde04a70f5272a88a10fa=1518240352; Hm_lpvt_50027a9c88cdde04a70f5272a88a10fa=1518240352

上述是一个请求头,如果我们只需要cookie部分的话实际很简单。可以通过如下两个API进行获取。

HttpQueryInfo :用来查询一个API请求。参数原型

BOOL HttpQueryInfo(
  _In_    HINTERNET hRequest,
  _In_    DWORD     dwInfoLevel,
  _Inout_ LPVOID    lpvBuffer,
  _Inout_ LPDWORD   lpdwBufferLength,
  _Inout_ LPDWORD   lpdwIndex
);

第三个参数原文解释:A pointer to a buffer to receive the requested information. This parameter must not be NULL.

指向一个缓存位置用于接收请求信息。这个参数不能为空。这里面就可以查询到cookie。

InternetGetCookie:检索指定URL的cookie。

BOOL InternetGetCookie(
  _In_    LPCTSTR lpszUrl,
  _In_    LPCTSTR lpszCookieName,
  _Out_   LPTSTR  lpszCookieData,
  _Inout_ LPDWORD lpdwSize
);

其中的lpszCookieData即为cookie接收缓存区。

fiddler调试js方法

要使用fiddler调试js,首先需要找到你要调试的js路径。然后进行路径替换拦截。在fiddler上面这样设置:选择AutoResponder,选择Addrules添加一条路由信息。

猎豹截图20180208130827.png

可以看到这条路由消息是将地址为192.168.1.102/1.js的js替换为本地路径的2.js。如果你勾选Enable rules即可开启拦截。这样如果有调用192.168.1.102/1.js的网页,那么自动会将1.js替换为本地2.js。

如下图显示:

猎豹截图20180208131040.png


这样就可以对js进行调试。具体的调试方法可以进行阅读其他较为专业的文章进行学习。

苹果装双系统

注意:win系统为win10。

经过多次验证苹果装win10必须是原装win10镜像,镜像文件可以通过微软官方软件MediaCreationToolhttps://www.microsoft.com/en-us/software-download/windows10


一:创建镜像

打开软件

QQ截图20180126211631.png


选择创建安装介质

QQ截图20180126211835.png


选择你的语言及其版本

QQ截图20180126211845.png


这一步选择iso文件

QQ截图20180126211905.png


然后会让你选择存储位置,这个位置随便。

二:苹果安装过程

步骤一 先使用Boot Camp 分割磁盘

在Finder工具条中点选“前往”按钮,在弹出的菜单中选择“实用工具”:

图片1.png

在打开的“实用工具”窗格中,选择“实用工具”资料夹下的“Boot Camp助理”程式:

图片2.png

执行BootCamp程式,打开“BootCamp助理”窗格第一步,是BootCamp的介绍,可直接点击“继续”按钮进了下一步:

图片3.png

在此步,是从当前硬盘中给将要安装的MS windows操作系统的系统分区的重要一步。可以“使用32G”分区,也可以均等分割,也可以拖动中间的小点按需要划分,具体根据使用情况来定。Win7较XP要多些空间,同时如果你将在Windows中安装较多程序的话也建议多分一点,但一般50G都应该足够了:


图片4.png

大小确定后点击右下角的“分区”按钮开始分区,很人性化的有进度条显示,而不像WINDOWS系统一样分区只有干等着:

图片5.png


点击分区后就可以开始安装了。

三:后续过程

问题1:无无线网识别

解决:安装完系统后会多出一个临时盘。里面就是各种驱动,进入盘符后选择boot camp文件夹,选择setup.exe安装就可以了。


问题2:触控板右键不可用。

解决:win10右下角任务栏里有一个菱形图标。这个是bootcamp控制软件,里面可以调节右键。


微信公众平台公告:规范涉党史国史等信息发布行为

近期,微信公众平台发现部分公众号、小程序存在发布断章取义、歪曲党史国史类信息进行营销的行为,此类行为已违反《中华人民共和国网络安全法》《互联网用户公众账号管理规定》即时通信工具公众信息服务发展管理暂行规定》《微信公众平台运营规范》《微信小程序平台运营规范》,涉嫌传播虚假营销信息,对用户造成骚扰、破坏用户体验、扰乱平台的健康生态。


根据上述法律法规和平台规范要求,从公告即日起,对于仍存在此类借机营销行为的公众号,将对违规文章予以删除并进行相应处罚,多次处罚后仍继续违规,或是故意利用各种手段恶意对抗的,将采取更重的处理措施直至永久封号。请运营者严肃对待不当内容,加强帐号管理,共同维护绿色的网络环境。

违规类型示例

1、虚假标题党信息


2、捏造歪曲历史信息 


华为杂志锁屏不更新

我自己的手机是华为荣耀6。其中有个很不错的功能叫做“杂志锁屏”。这个功能是官方主题自带的一个功能。所以必须要用官方主题,或者混搭里选择杂志锁屏。后来名字换成了光谱。总之换汤不换药。不知道什么时候杂志锁屏不在更新。于是探究了下,发现问题如下:(回复主题获取剩余内容)


阅读全文»

intel cpu 漏洞

homepage-ces-2018-geo-v3.jpg


英特尔是美国一家主要以研制CPU处理器的公司,是全球最大的个人计算机零件和CPU制造商,它成立于1968年,具有48年产品创新和市场领导的历史。

1971年,英特尔推出了全球第一个微处理器。微处理器所带来的计算机和互联网革命,改变了整个世界。在2016年世界五百强中排在第51位。

2014年2月19日,英特尔推出处理器至强E7 v2系列采用了多达15个处理器核心,成为英特尔核心数最多的处理器。 2014年3月5日,Intel收购智能手表Basis Health Tracker Watch的制造商Basis Science。

2014年8月14日,英特尔6.5亿美元收购Avago旗下公司网络业务。2015年12月斥资167亿美元收购了Altera公司。2016年4月底,英特尔公司发言人证实,原定在2016年推出的移动处理器凌动产品线的两个新版本将会取消发布,换言之,英特尔将会退出智能手机芯片市场。

2016年7月,英特尔宣布该公司历史上规模最大的裁员计划,准备削减1.2万人。

2016年10月28日,2016英特尔中国行业峰会在珠海召开。

2016年11月30日,据国外媒体报道,英特尔正在组建一个专门的事业部来从事自动驾驶解决方案的研发,它的名字就叫做Automated Driving Group(自动驾驶事业部,简称ADG)。

2017年6月7日,2017年《财富》美国500强排行榜发布,英特尔公司排名第47位。 


漏洞事件

2018年1月2日,美国石英财经网站等媒体披露,英特尔公司芯片存在严重技术缺陷,引发全球用户对信息安全的担忧。专业人士指出,英特尔芯片缺陷的漏洞可能影响几乎所有电脑和移动设备用户的个人信息安全,受波及设备数以亿计,漏洞的修补过程可能导致全球个人电脑性能明显下降。


漏洞修复

2018年1月6日,由国内软件公司360安全卫士首发免疫工具。CPU漏洞免疫工具下载地址:http://down.360safe.com/cpuleak_scan.exe

CPU漏洞彻底修复的复杂度较高,修复这些漏洞需要操作系统厂商、虚拟化厂商、软硬件分销商、浏览器厂商、CPU厂商一起协作并进行深入修改,才能彻底解决问题。目前,微软发布的32位(X86)系统补丁就无法完全防止攻击,需配合还未发布的Intel微码补丁才有可能阻止所有攻击。

360截图1678070792138104.png


360截图16630507272166.png


360截图16480311075646.png

附:CPU漏洞具体影响范围

t01af2d4d747eb52fc1.png

Android 克隆账户

http://www.cnvd.org.cn/webinfo/show/4365


瞻仰并学习一下,感觉这个“漏洞”不是一个漏洞。仅仅只是程序员自己写程序的问题,没有把google给的便利给控制好,或者说太“贪心”。


原文:

安全公告编号:CNTA-2018-0005

2017年12月7日,国家信息安全漏洞共享平台(CNVD)接收到腾讯玄武实验室报送的Android WebView存在跨域访问漏洞(CNVD-2017-36682)。攻击者利用该漏洞,可远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对APP用户账户的完全控制。由于该组件广泛应用于Android平台,导致大量APP受影响,构成较为严重的攻击威胁。

一、漏洞情况分析

WebView是Android用于显示网页的控件,是一个基于Webkit引擎、展现web页面的控件。WebView控件功能除了具有一般View的属性和设置外,还可对URL请求、页面加载、渲染、页面交互进行处理。

该漏洞产生的原因是在Android应用中,WebView开启了file域访问,且允许file域对http域进行访问,同时未对file域的路径进行严格限制所致。攻击者通过URL Scheme的方式,可远程打开并加载恶意HTML文件,远程获取APP中包括用户登录凭证在内的所有本地敏感数据。


漏洞触发成功前提条件如下:

1.WebView中setAllowFileAccessFromFileURLs 或setAllowUniversalAccessFromFileURLsAPI配置为true;

2.WebView可以直接被外部调用,并能够加载外部可控的HTML文件。

CNVD对相关漏洞综合评级为“高危”。

二、漏洞影响范围

漏洞影响使用WebView控件,开启file域访问并且未按安全策略开发的Android应用APP。

三、漏洞修复建议

厂商暂未发布解决方案,临时解决方案如下:

1. file域访问为非功能需求时,手动配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs两个API为false。(Android4.1版本之前这两个API默认是true,需要显式设置为false)

2. 若需要开启file域访问,则设置file路径的白名单,严格控制file域的访问范围,具体如下:

(1)固定不变的HTML文件可以放在assets或res目录下,file:///android_asset和file:///android_res 在不开启API的情况下也可以访问;

(2)可能会更新的HTML文件放在/data/data/(app) 目录下,避免被第三方替换或修改;

(3)对file域请求做白名单限制时,需要对“../../”特殊情况进行处理,避免白名单被绕过。

3. 避免App内部的WebView被不信任的第三方调用。排查内置WebView的Activity是否被导出、必须导出的Activity是否会通过参数传递调起内置的WebView等。

4. 建议进一步对APP目录下的敏感数据进行保护。客户端APP应用设备相关信息(如IMEI、IMSI、Android_id等)作为密钥对敏感数据进行加密。使攻击者难以利用相关漏洞获得敏感信息。


可以看到上述问题主要是一个WebView控件引起的,但是Google明明已经提供接口设置更严密的使用策略,为什么还要这样。一般开发的时候实际除了浏览器以为外部调用实际可以禁止掉。但是有些App还要自己充当浏览器,那就是zuo的节奏。


WebView暴露的接口:

setAllowFileAccessFromFileURLs:允许访问本地资源(App自身)

setAllowUniversalAccessFromFileURLs:允许访问其他域资源例如http这种协议。


实际还要有一个前提:默认打开网址的App非浏览器。(我的手机没这个功能)。


原理:App获取网址->WebView解析渲染->File域->获取本地资源->上传资源。


另一部手机:获取资源->填充到相应App资源目录内。

阿里云优惠口令

360截图165811219699109.png


【优惠口令】
com英文域名注册:域名抢注即将上线
net英文域名注册:阿里云免费套餐
net四声母续费:名扬四海
cn四字母五数字转入:域数临风
cn四字母四声母续费:万字千红


【如何使用优惠口令】
优惠口令需验证成功后才可使用。
口令不定期更新,仅PC端适用,仅普通词适用,限时限量。
优惠口令与其他优惠(含代金券、折扣、满减等)不能同时使用。

【免费转入】
阿里云1-3字母.com、4声母.com、1-4数字.com域名现免费转入