bctf 部分writeup

又是一个和ctf一起度过的疲惫的周末。

0ctf部分write up

首先不得不说这场比赛题目水平还是相当相当高的，毕竟是0ops团队。

jQuery选择器导致的xss问题

小伙伴发了某站的一个链接，xss payload在url的hash后面，然后页面弹框了，但是查看页面源代码，就只有jquery.js和jquery.fullpage.js，猜测是fullpage.js的问题，因为记得自己用fullpage.js的...

sctf中的两道模板注入

FlagMan

麦岛麦岛~

麦岛位于青岛市市南区和崂山区交界处，背依浮山，南邻黄海。

开源的 OnlineJudge

qduoj 是 青岛大学开源的一个 OnlineJudge，GitHub 地址 https://github.com/QingdaoU/OnlineJudge

OnlineJudge 沙箱实现思路

有一个在线运行用户提交代码的功能，为了保证服务器安全，沙箱是必不可少的，主要是用来限制系统调用和资源消耗。

AES CBC字节翻转攻击的利用

今天看到这样一道题

Good bye, 2015; Hello, 2016

本来写了一些的，但是又不想外发了，就贴一张图吧

使用夏普 GP2Y1010AU0F + Arduino 自制空气灰尘传感器

最近看到小伙伴的文章，正好自己手中有一块 Arduino 在积灰，觉得难度应该不大，就淘宝上买了几个零件自己组装了一下。

短信平台被黑引发的诈骗短信

大半夜的收到这样一条短信，是以学校平时发送短信的端口发送的，而且青大的用校园网手机号的几乎都收到了

反序列化带来的安全问题

这几天出了一个 Java 的反序列化漏洞，影响非常广泛，亲测 jboss和 jinkens 受到影响，但是国内貌似关注的并不是很多，今天总结一下反序列化带来的问题。

第四届山东省大学生网络安全技能大赛 write up

先吐槽一下，比赛题目质量一般，技巧题太多，各种原题和网上能搜到的。开始的选择题也是，概念混淆题目，简直不像是专业比赛。

流量控制算法

很多场景下都需要流量控制，从底层的数据包传输到购物秒杀。常见的流量控制算法有两种，一个是漏桶算法，桶本身具有一个恒定的速率往下流水，而上方一直有水进入桶中。当桶还未满时，上方的水可以加入。一旦水满，上方的水就溢出，可以认为请求被丢弃。这个算法不...

单元测试的粒度

最近在写 qduoj 的测试，但是写起来实在是不容易，因为很多测试可以写的很细也可以写的很粗。比如说测试用户注册功能，认真的写的话可能要考虑以下测试用例