购买渠道:闲鱼
入手价格:580
自从苹果调整了 App Store 对经典游戏模拟器的限制之后,一些火热的模拟器得以重新上架 App Store,但是个人在体验过了之后发现虚拟按键的形式玩一些老游戏体验实在有点差,于是打算淘一个开源掌机,在做了一些功课之后选在了机遇 Android 系统的 Retroid Pocket3+,体验下来基本符合自己的期望。
购买渠道:淘宝
入手价格:2999
自从家里有孩子之后,打扫家里卫生的时间和精力就越来越少,加上家中的「领导」对环境卫生有苛刻的要求,之前的米家扫拖机器人1c已经不能满足她的要求了,因此购买一台扫拖一体机器人保持家庭卫生就提上了议程。经过多方对比之后最终选择了米家全能扫拖机器人1S,在使用了近1个月之后,可以聊聊它究竟如何了。
众所周知,Sony 国行 J 系列的电视的遥控器是针对中国大陆专门定制的,但是这个定制不仅没有带来良好的用户体验,反而在按键布局、按键反馈、盲操上存在众多不合理的设计,引发大量用户的吐槽,其中就包括罗永浩。
去年双十一的时候家里添置了一台 Sony 电视,完成了一个索粉的信仰充值。在购买之前就了解到国行的 Sony 电视的系统是基于国内用户的特别定制版,在服务和 UI 上都和海外的电视有很大的不同,并且是硬件层面的定制,是无法通过刷固件切换区域这种方式来获得完整的体验。作为一个强迫症加完美主义者,在了解到可以通过更换主板的方式获得完整的服务时,于是就有了这篇文章,有了这次折腾。
起因
Android 7.0 之后 Google 默认不信任 User 域下的证书,也就是自行导入证书的方式去抓 HTTPS 包的方法已经不管用了,再加上现在大部分 App 都使用了 SSL Pinning,因此抓包的难度也比之前大了不少。此时再想抓 HTTPS 的流量就要用别的方法了。
0x00 漏洞原因
Kubernetes 的服务在正常启动后会开启两个端口:
Localhost Port (默认8080)
Secure Port (默认6443)
这两个端口都是提供 Api Server 服务的,一个可以直接通过 Web 访问,另一个可以通过 kubectl 客户端进行调用。
前因
iOS针对IAP有一个保护机制,如果使用了全局代理的方式,iOS检查到之后为了保障交易的安全性,将会拒绝IAP流程,所以是无法抓取交易数据的,以豆瓣阅读为例,未开启代理时,可以正常的进入IAP充值界面,开启代理后则会报错:
新开一个坑,主要是记录自己学习移动端的一些相关知识。从基础到复杂吧,也不知道能写多少。从最开始的环境开始。
移动端安全和Web差别并不大,也是分为服务端和客户端,只不过客户端换成了一个App,服务端和Web基本一致。因此挖掘服务端端漏洞和Web没有太大差别。重点在于如何挖掘客户端端漏洞,涉及反编译,代码审计,等等。