[U] Update channel content

This commit is contained in:
github-actions
2025-05-14 04:13:54 +00:00
parent 53866056b8
commit 99a28603e7
4 changed files with 8 additions and 8 deletions
+1 -1
View File
@@ -2,7 +2,7 @@
<feed xmlns="http://www.w3.org/2005/Atom" xml:lang="zh-cn">
<id>https://aza.moe/life</id>
<title>小桂桂的回忆录 📒</title>
<updated>2025-05-14T02:41:16.901274+00:00</updated>
<updated>2025-05-14T04:13:50.687105+00:00</updated>
<link href="https://aza.moe/life" rel="alternate"/>
<generator uri="https://lkiesow.github.io/python-feedgen" version="0.9.0">python-feedgen</generator>
<logo>https://aza.moe/meru_256px.png</logo>
File diff suppressed because one or more lines are too long
+5 -5
View File
@@ -68839,7 +68839,7 @@
"id": 4985,
"date": "2025-03-07T02:19:48",
"text": "maimai 选歌菜单远处看好像一个脸啊???<i class=\"custom-emoji\" emoji-src=\"emoji/6323315689444607430.webp\">☁️</i>",
"views": 1324,
"views": 1325,
"forwards": 6,
"media_group_id": 13930511903991437,
"images": [
@@ -72136,7 +72136,7 @@
"id": 5223,
"date": "2025-04-16T14:31:35",
"text": "互联网真是巨大草台\n\n听说昨天 4chan 被黑了就去查了一下,是真的拿到了 root shell,而且居然不是靠社工\n\n方法是上传了一份文件名是 .pdf 实际上是 postscript 的文件,然后服务器没有校验,用生成预览图的时候会执行的 ghostscript 的漏洞拿到了 shell... 🌚\n\n我<a href=\"https://aza.moe/blog?post=2023-11-18-CyberSci-Canada-Writeup\">上次 CyberSci 2023</a> 的时候解出来的一道防御题就是文件内容没有检查的漏洞,.pdf 后缀但是实际上是 php 脚本... 没想到居然大论坛的生产环境里也能看到这么基础的漏洞 <i class=\"custom-emoji\" emoji-src=\"emoji/6170424195260877091.webm\">🤗</i>",
"views": 5024,
"views": 5026,
"forwards": 85,
"media_group_id": 13958511164945181,
"images": [
@@ -72903,7 +72903,7 @@
"id": 5277,
"date": "2025-04-26T15:39:57",
"text": "<a href=\"https://t.me/kxxtchannel/962\">https://t.me/kxxtchannel/962</a>\n\nClash Verge 的提权漏洞好抽象... 有一个本地 http 接口用来启动 clash,但是发请求的人可以指定 clash 程序路径,然后它不检查程序签名也不检查请求来源直接跑,还是用 root 权限跑 <i class=\"custom-emoji\" emoji-src=\"emoji/6320856404055820121.webp\">😨</i>\n\n鉴定为后门",
"views": 1650,
"views": 1652,
"forwards": 50
},
{
@@ -73066,7 +73066,7 @@
"id": 5288,
"date": "2025-04-28T20:26:59",
"text": "后续:clash verge rev 的开发者给 macOS <a href=\"https://github.com/clash-verge-rev/clash-verge-service/commit/06b522d2ccf37bdbc00e59687cc701c946166afe\">添加了可执行程序签名验证</a>,然而这个签名验证并没有用(笑)\n\n因为它甚至没有解析 codesign 输出... 直接验证了 codesign 输出有没有包含特定的字符串,所以黑客只要自己签一个恶意 bin 把它检测的字符串全都堆到 identifier 里就可以绕过检测拿到 root 了 <i class=\"custom-emoji\" emoji-src=\"emoji/6170075684434610033.webm\">⌨</i>\n\nPoC 原图放这里了: <a href=\"https://github.com/clash-verge-rev/clash-verge-service/issues/9\">clash-verge-service#9</a>\n\n安全检查能写成这样也太草台了,而且这个注释看起来像是 AI 生成的一样... 希望大家都不要用这样的软件",
"views": 5318,
"views": 5319,
"forwards": 143,
"media_group_id": 13966976157341773,
"images": [
@@ -73235,7 +73235,7 @@
"id": 5300,
"date": "2025-05-02T05:55:04",
"text": "提权漏洞的后续: clash verge rev 开发者来找我了,回想一下好像确实说得有点过火,以后还是不猜测是不是后门了。现在知道了开发者是真心想要让用户...少按两个按钮...才写成这种结构的 <i class=\"custom-emoji\" emoji-src=\"emoji/6169953432485496291.webm\">😶</i>\n\n给ta提了一些也许会有用的建议,相信他们那边也在努力修复了。不过因为现在这些问题都还存在,所以暂时不推荐用 verge rev。如果开发者能够修好的话,我会重新在这里跟进的\n\n以及因为理解作者很辛苦,而且是 win/linux 平台上唯一还在维护的 clash 前端,所以还是赞助 $20 支持一下好了 qwq",
"views": 525,
"views": 526,
"forwards": 18,
"media_group_id": 13969322433734669,
"images": [
+1 -1
View File
@@ -12,7 +12,7 @@
<link>https://aza.moe/life</link>
</image>
<language>zh-cn</language>
<lastBuildDate>Wed, 14 May 2025 02:41:16 +0000</lastBuildDate>
<lastBuildDate>Wed, 14 May 2025 04:13:50 +0000</lastBuildDate>
<item>
<title>小桂桂的回忆录 📒 #5370</title>
<link>https://aza.moe/life?post=5370</link>