中秋假期玩通了《十三机兵防卫圈》，游玩时长26小时，确实是交互很创新的文字冒险游戏，内有男娘，值得一玩，剧情大概就是（剧透注意）
加了域渗透的《黑客帝国》，公司内部发展不一致所以有人当大黑阔，用各种哈希传递、委派和钓鱼做内网漫游，十几个域管理员手忙脚乱纠结是拔网线补漏洞还是保住业务，后面索性应急完抢救了最后的DC和前面的全量备份，扔去给AIOps重构了，域管们自己afk去现实生活造小孩去了。
全篇玩下来还是喜欢比治山x冲野司的性压抑环节，这么会写小男娘调情怎么不多写一点（逃

最水的一集

只能说在国内我见到装了杯子的Linux服务器一只手数的过来；大的攻击面在哪？内网信创终端？

https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/

每每因为工作需要翻二十年前的老代码和近年的新代码，从史山脚爬到史山顶，总得反反复复感慨，搞金融科技，除去核心以外的各类业务逻辑和报文交换业务，20年间究竟发展了些什么？就渠道交易来看，Jvav写的业务没有比当年C写的更复杂，但C+socket+定长分割+内存中数据结构魔法写的老业务，在AIX上一台机可以开20个测试环境；而Jvav+各种重量级RPC中间件等，一个测试环境就要20个VM；其可用性可扩展性（抛开架构师对自己的分布式微服务横向扩展的鼓吹）结果上来看也没能超过C。人们始终避而不谈房间里的大象，近些年来，国内业务开发涉及的“系统”技术的发展只是为了向多数（便宜且招得到的）的废物程序员妥协，砸十倍的人力换两三倍的业务动力（因为承认自己是废物很难）。业务开发领域说“业务更重要”倒也没问题，可是许多Jvav高工干的活 not even a biz dev.

Kern不了一点

https://type.method.ac/

OpenSecurityTraining2

https://p.ost2.fyi/

每次看fingees都觉得自己溜大了

https://m.youtube.com/watch?v=KLWnB9D8_30

渗透/安全推送中心 @cvebird

创建者:cooker-sast
项目描述:Collection of sinks for Java vulnerability research 收集Java漏洞挖掘常见sink
项目链接:https://github.com/cooker-sast/sinks

#漏洞

《对第三方连接篡改的全球评估》

https://blog.cloudflare.com/zh-cn/connection-tampering/

The C23 edition of Modern C (🔥 Score: 159+ in 2 hours)

Link: https://readhacker.news/s/6gj3K
Comments: https://readhacker.news/c/6gj3K

省流：最近有人撞库微软账号
看了下我审计日志每天只有几笔登录失败应该还好，但微软账户这种比较重要的资产，MFA应开尽开

https://fixupx.com/changwei1006/status/1846988988168785935

老天爷你搞错了吧，我应该是拿3A6000裸板对着osdev写bootkit，从指令集到协议栈Fuzz出无条件组合RCE，抱着ThinkPad X240在Zune 30G点亮主线，拿一堆cvss==9.9参加USENIX conference的青春女大，而不是连osep lab的垃圾免杀都没力气做只能躺在床上恍惚等到明天出差应酬被客户灌个大醉的死人 ​​​

哦对了，说到这个，如果不是为了拿OSCE3的话，我不建议买WE的Learn One，你要真想复盘web业务漏洞挖掘就先去考个OSWA玩玩，再随手裸考WE，因为WE题目思路和难度跟WA是一样的，然而WA要求是24小时黑盒做出3.5/5道，WE要求是48小时白盒做出1.5/2道，显然前者比较激发潜能。WE唯一的难点在于要你提交零交互PoC，而这哪怕对于电脑初级低手来说也只不过是import requests或者import "net/http"的事情。不知道为什么OffSec把WE标作300系，真有脚本小子不会写脚本？