Forwarded from 不靠谱的喵(>^ω^<) #CatGPT (Yuze Wu 🐱 | 女子大学生 | 喵!)
https://github.com/People-11/CVE-2025-10184_PoC/actions
欧加短信数据库漏洞的 PoC 成品,测试了一下 ColorOS 15 也会中招
但是,只影响 ASCII 字符,中文和西里尔文短信测试均无法获取到短信完整内容(图为俄语短信,只能获取到其中包含的 ASCII 部分)
从原理上来讲,漏洞为单字符遍历获取,而 Unicode 通常占两至三个字符(中文占三个字符),如果强行遍历多字符,会导致内容顺序错乱,无法获取正确内容
即使是纯数字的验证码短信,由于漏洞无法接收新短信通知,只能不断轮询遍历数据库,性能极其低下。且验证码有效窗口期过短,很难判断获取到的验证码是否可用,也很难辨别内容是否为验证码、是什么平台的验证码
所以,该漏洞几乎无法对非英文区的用户造成实际影响,这些用户无需在意该漏洞
欧加短信数据库漏洞的 PoC 成品,测试了一下 ColorOS 15 也会中招
但是,只影响 ASCII 字符,中文和西里尔文短信测试均无法获取到短信完整内容(图为俄语短信,只能获取到其中包含的 ASCII 部分)
从原理上来讲,漏洞为单字符遍历获取,而 Unicode 通常占两至三个字符(中文占三个字符),如果强行遍历多字符,会导致内容顺序错乱,无法获取正确内容
即使是纯数字的验证码短信,由于漏洞无法接收新短信通知,只能不断轮询遍历数据库,性能极其低下。且验证码有效窗口期过短,很难判断获取到的验证码是否可用,也很难辨别内容是否为验证码、是什么平台的验证码
所以,该漏洞几乎无法对非英文区的用户造成实际影响,这些用户无需在意该漏洞
😱1
白虎
《白虎》(英语:The White Tiger,香港、新加坡、台湾译《白老虎》)是一部2021年美国和印度合拍的剧情片。影片改编自阿拉文德·阿迪加2008年同名小说(英语:The White Tiger (Adiga novel)),讲述了穷苦落魄的印度乡下人巴拉姆利用聪明才智和狡诈逃离贫困的故事。
巴拉姆出生于拉奇芒格阿尔的乡下,凭优异成绩取得奖学金,就读于德里的学校。旁人说他是“孟加拉白虎”,是百年一遇的奇才。然而由于仍在乡下的父亲无法偿还土地主阿鹳的债务,奶奶要求巴拉姆到乡下的茶档帮忙,巴拉姆从此无缘学堂。后来巴拉姆的父亲罹患肺结核,但没有医生前来治疗,最终病死。
巴拉姆渴望替地主阿鹳的儿子阿肖克当私人司机,阿肖客女友粉姬生日那天和阿肖克喝得烂醉。醉酒中,她让巴拉姆给自己开车,结果撞死了一个小孩。阿鹳一家迫使巴拉姆签下认罪书,得到巴拉姆奶奶认同。虽然最终没有人控罪,但此时巴拉姆有所动摇,毫无疑问他已被阿鹳家抛弃。
巴拉姆突然领悟到像“白虎”一样逃离被奴役现实的方法。他杀掉阿肖克,拿走贿赂金,之后带上小侄子逃跑。两人后来到了班加罗尔,大型IT公司的温床。他将部分贿赂金拿去贿赂警察,让对方打击无照经营的出租车公司。巴拉姆自行设立出租车公司,最终事业有成。
《白虎》(英语:The White Tiger,香港、新加坡、台湾译《白老虎》)是一部2021年美国和印度合拍的剧情片。影片改编自阿拉文德·阿迪加2008年同名小说(英语:The White Tiger (Adiga novel)),讲述了穷苦落魄的印度乡下人巴拉姆利用聪明才智和狡诈逃离贫困的故事。
巴拉姆出生于拉奇芒格阿尔的乡下,凭优异成绩取得奖学金,就读于德里的学校。旁人说他是“孟加拉白虎”,是百年一遇的奇才。然而由于仍在乡下的父亲无法偿还土地主阿鹳的债务,奶奶要求巴拉姆到乡下的茶档帮忙,巴拉姆从此无缘学堂。后来巴拉姆的父亲罹患肺结核,但没有医生前来治疗,最终病死。
巴拉姆渴望替地主阿鹳的儿子阿肖克当私人司机,阿肖客女友粉姬生日那天和阿肖克喝得烂醉。醉酒中,她让巴拉姆给自己开车,结果撞死了一个小孩。阿鹳一家迫使巴拉姆签下认罪书,得到巴拉姆奶奶认同。虽然最终没有人控罪,但此时巴拉姆有所动摇,毫无疑问他已被阿鹳家抛弃。
巴拉姆突然领悟到像“白虎”一样逃离被奴役现实的方法。他杀掉阿肖克,拿走贿赂金,之后带上小侄子逃跑。两人后来到了班加罗尔,大型IT公司的温床。他将部分贿赂金拿去贿赂警察,让对方打击无照经营的出租车公司。巴拉姆自行设立出租车公司,最终事业有成。
三观不正,后劲太大
人总是对熟悉之物缺乏敬畏,对未知之物更容易崇拜。
有一句谚语叫:“仆人眼里无英雄,枕边无美人”。
当一个人与你距离过近(家人、伴侣、朋友),你会看到他所有的“日常琐碎”与“缺陷”。心理学称之为“曝光效应反转”——过度接触会让人关注缺点而非优点,于是“英雄”与“美人”的光环在熟悉中褪色。
反而距离会产生某种神秘与投射。很多人对陌生人或远方的“权威”,信息是不完整的。大脑会自动用理想化的想象来“填补空白”,把自己想要的品质投射到对方身上。这种模糊感会放大权威与美感。
有一句谚语叫:“仆人眼里无英雄,枕边无美人”。
当一个人与你距离过近(家人、伴侣、朋友),你会看到他所有的“日常琐碎”与“缺陷”。心理学称之为“曝光效应反转”——过度接触会让人关注缺点而非优点,于是“英雄”与“美人”的光环在熟悉中褪色。
反而距离会产生某种神秘与投射。很多人对陌生人或远方的“权威”,信息是不完整的。大脑会自动用理想化的想象来“填补空白”,把自己想要的品质投射到对方身上。这种模糊感会放大权威与美感。
👍3
糖和手机是最廉价的快乐。
因此,近视和蛀牙几乎就是10后孩子源自穷人家庭的防伪码。
穷人没有时间,没有精力或者也不想花精力,陪伴小孩,选择了糖和手机这两种最廉价的替代品。
不要再想为什么学校老师莫名对你的小孩冷落和嘲讽,近视和蛀牙这两个标签就足够了。
很残酷是吧。
因此,近视和蛀牙几乎就是10后孩子源自穷人家庭的防伪码。
穷人没有时间,没有精力或者也不想花精力,陪伴小孩,选择了糖和手机这两种最廉价的替代品。
不要再想为什么学校老师莫名对你的小孩冷落和嘲讽,近视和蛀牙这两个标签就足够了。
很残酷是吧。
😢3
我家的维生素瓶盖是那种要按下再拧开的 child proof。我儿子每次都打不开。
昨天他忽然问:“妈妈,这瓶子怎么知道我是小孩的?”
source:小红书
昨天他忽然问:“妈妈,这瓶子怎么知道我是小孩的?”
source:小红书
👍3😱1
«儿子»
儿子
我们已经很久不见了
你在离家二十里的中学
我在两千里外的荒山
儿子
爸爸累了
一步只走三寸
三寸就是一年
儿子 用你精确无误的数学算算
爸爸还能够走多远
儿子
你清澈的眼波
看穿文字和数字
看穿金刚变形的伎俩
但还看不清那些人间的实景
我想让你绕过书本看看人间
又怕你真的看清
作者 / 陈年喜
儿子
我们已经很久不见了
你在离家二十里的中学
我在两千里外的荒山
儿子
爸爸累了
一步只走三寸
三寸就是一年
儿子 用你精确无误的数学算算
爸爸还能够走多远
儿子
你清澈的眼波
看穿文字和数字
看穿金刚变形的伎俩
但还看不清那些人间的实景
我想让你绕过书本看看人间
又怕你真的看清
作者 / 陈年喜
抖音极速版在小米手机上卸载时利用后门弹挽留提示
博主@星语绮梦仙今日发文称,在小米手机上卸载抖音极速版 App 时,会弹出挽留提示且可复现。有网友对此进行了分析:“小米自己的接口,被抖音拿来放挽留文案了,这个原本是用来放系统应用卸载后果的,比如卸载手机管家的时候提示卸载后无法杀毒,卸载相册的时候提示无法查看照片之类的。”在该帖子的评论区中还有网友分享卸载快手极速版 App 时也会弹出挽留提醒。根据其他网友分享的经验来看,快手极速版 App 预计也是利用了小米自己系统卸载应用描述。
原贴已被删除
博主@星语绮梦仙今日发文称,在小米手机上卸载抖音极速版 App 时,会弹出挽留提示且可复现。有网友对此进行了分析:“小米自己的接口,被抖音拿来放挽留文案了,这个原本是用来放系统应用卸载后果的,比如卸载手机管家的时候提示卸载后无法杀毒,卸载相册的时候提示无法查看照片之类的。”在该帖子的评论区中还有网友分享卸载快手极速版 App 时也会弹出挽留提醒。根据其他网友分享的经验来看,快手极速版 App 预计也是利用了小米自己系统卸载应用描述。
中国互联网公司热衷于搞黑灰产之心不死。
👍1
喜欢瘦的就找本来就瘦的,别找一个胖的再要求对方瘦下来,喜欢漂亮的你就找你觉得漂亮的,别找普通的,当你看腻了又指责她不漂亮。爱情可以是红糖水,可以是养生餐,但不能是跑步机。
喜欢瘦的找不到瘦的?那就别将就。
喜欢瘦的找不到瘦的?那就别将就。
👍6
URnetwork-一个虚拟币生态的免费vpn
一个基于Solana生态的vpn,简单说就是你提供ip给别人使用,官方奖励你Solana虚拟币。
当然,如果你不想赚虚拟币,也可以把它作为一个免费的vpn来使用,会有很多随机节点提供。
作为免费用户,每个月提供10G流量额度。
https://ur.io/
一个基于Solana生态的vpn,简单说就是你提供ip给别人使用,官方奖励你Solana虚拟币。
当然,如果你不想赚虚拟币,也可以把它作为一个免费的vpn来使用,会有很多随机节点提供。
作为免费用户,每个月提供10G流量额度。
应急用不错,比proton vpn可用性强一些。
https://ur.io/
👎3
Utopia-乌托邦p2p加密聊天
Utopia 是您安全即時通訊、加密電子郵件通訊、匿名支付及私密網路瀏覽的多合一工具包。
跨平台,支持Win/Linux/Android/iOS,但是iOS支持不如其他平台,不支持输入中文。
地址:https://u.is/
Utopia 是您安全即時通訊、加密電子郵件通訊、匿名支付及私密網路瀏覽的多合一工具包。
跨平台,支持Win/Linux/Android/iOS,但是iOS支持不如其他平台,不支持输入中文。
一个山寨币研发的p2p加密聊天软件,功能相对完善,但是坚持了6年也属不易
地址:https://u.is/
Fread-去中心化的联邦宇宙 Micro blogging 社交客户端
Fread 是一个去中心化的联邦宇宙 Micro blogging 社交客户端,目前已经支持了 Mastodon、Bluesky、RSS 三种社交平台协议,这意味着你可以在同一个 App 中同时使用这三种社交平台,Fread 不仅提供了 Micro blogging 社交的一致性,也保持了不同平台的特色功能。 更重要的是,Fread 支持创建一个同时包含了三种来自不同平台的 Feeds 流,这打破了协议之间的壁垒,进一步增强了去中心化的能力,另外 Fread 也专注于提供漂亮舒适的 UI/UX。
代码开源,优先支持安卓。
下载
Fread 是一个去中心化的联邦宇宙 Micro blogging 社交客户端,目前已经支持了 Mastodon、Bluesky、RSS 三种社交平台协议,这意味着你可以在同一个 App 中同时使用这三种社交平台,Fread 不仅提供了 Micro blogging 社交的一致性,也保持了不同平台的特色功能。 更重要的是,Fread 支持创建一个同时包含了三种来自不同平台的 Feeds 流,这打破了协议之间的壁垒,进一步增强了去中心化的能力,另外 Fread 也专注于提供漂亮舒适的 UI/UX。
代码开源,优先支持安卓。
下载
Python 3.14 已发布
重大更新:
自由线程( PEP 779 )特性已稳定支持。之前在 Python 3.13 中,这一特性需要显式指定编译选项。不过,全局解释器锁( GIL )依然是可选的,而是否要彻底移除 GIL 仍在讨论中( PEP 703 );
多解释器( PEP 734 )特性已支持。现在,可以在同一个进程中运行多个解释器,每个解释器都有独立的 GIL 。作为 Python 并行编程中减少对 multiprocessing 依赖的又一步,还添加了 InterpreterPoolExecutor 来帮助管理多个解释器的并行;
官方发布的 macOS 和 Windows 版二进制现已包含 实验性 的即时编译( JIT )器( PEP 744 )。该 JIT 编译器尚处于早期开发阶段,性能表现存在波动:启用后根据工作负载不同,可能产生 10% 的性能下降至 20% 的性能提升;
模板字符串( t-string ,PEP 750 )支持。这一功能主要是对 f-string 的补充,允许从类似字符串字面量的写法直接创建一个字符串模板对象;
增量式垃圾回收。循环垃圾回收器现在采用增量式处理。这意味着对于较大的堆内存,最大暂停( Stop The World )时间将减少一个数量级或更多;
交互式 Shell 支持语法高亮。除非显式禁用,否则从 Python 3.14 起,Python 交互式环境( RHEL )将默认在终端中渲染代码高亮。此外,Shell 还增加了对 import ___ 的自动补全;
asyncio 内省能力。可以使用 python -m asyncio <ps|pstree> <PID> 功能来检查正在运行的异步 Python 程序的 async task 树。
更多可在这里看到: https://docs.python.org/zh-cn/3.14/whatsnew/3.14.html
重大更新:
自由线程( PEP 779 )特性已稳定支持。之前在 Python 3.13 中,这一特性需要显式指定编译选项。不过,全局解释器锁( GIL )依然是可选的,而是否要彻底移除 GIL 仍在讨论中( PEP 703 );
多解释器( PEP 734 )特性已支持。现在,可以在同一个进程中运行多个解释器,每个解释器都有独立的 GIL 。作为 Python 并行编程中减少对 multiprocessing 依赖的又一步,还添加了 InterpreterPoolExecutor 来帮助管理多个解释器的并行;
官方发布的 macOS 和 Windows 版二进制现已包含 实验性 的即时编译( JIT )器( PEP 744 )。该 JIT 编译器尚处于早期开发阶段,性能表现存在波动:启用后根据工作负载不同,可能产生 10% 的性能下降至 20% 的性能提升;
模板字符串( t-string ,PEP 750 )支持。这一功能主要是对 f-string 的补充,允许从类似字符串字面量的写法直接创建一个字符串模板对象;
增量式垃圾回收。循环垃圾回收器现在采用增量式处理。这意味着对于较大的堆内存,最大暂停( Stop The World )时间将减少一个数量级或更多;
交互式 Shell 支持语法高亮。除非显式禁用,否则从 Python 3.14 起,Python 交互式环境( RHEL )将默认在终端中渲染代码高亮。此外,Shell 还增加了对 import ___ 的自动补全;
asyncio 内省能力。可以使用 python -m asyncio <ps|pstree> <PID> 功能来检查正在运行的异步 Python 程序的 async task 树。
更多可在这里看到: https://docs.python.org/zh-cn/3.14/whatsnew/3.14.html
👍2
15 年悬案告破:修复 iPhone 4“天线门”,苹果当年只改了 20 字节代码
苹果在 2010 年推出的 iPhone 4,因其经典设计备受瞩目,但很快就被一场名为“天线门”(Antennagate)的争议事件抢走了风头。
苹果公司在当年的官方声明中指出,用于计算并显示信号格数的软件算法存在“完全错误”。该算法在许多情况下会错误地多显示 2 格信号,导致用户误以为自己所处区域的信号强度很好。
因此,当用户手持手机影响到天线接收后,他们看到的并非信号真实减弱,而是从一个虚高的、从未真实存在过的满格信号,瞬间回落到真实的微弱信号水平,从而造成了巨大的心理落差。
时隔 15 年,软件工程师萨姆・亨利・戈尔德通过对比固件代码,终于揭开了当年苹果修复该问题的具体技术细节。
这个修改仅涉及 20 个字节的数据。原有的查找表数值设定得“过于乐观”,导致大部分时间里手机都会显示 4 到 5 格信号。而新的数值则让信号格的显示曲线变得更加平滑和真实。
戈尔德还发现一个有趣的细节:苹果在更新中还略微增加了前两格信号条的高度,这或许是一种心理学上的优化,从而让微弱信号看起来不那么糟糕。
source: IT之家
苹果在 2010 年推出的 iPhone 4,因其经典设计备受瞩目,但很快就被一场名为“天线门”(Antennagate)的争议事件抢走了风头。
苹果公司在当年的官方声明中指出,用于计算并显示信号格数的软件算法存在“完全错误”。该算法在许多情况下会错误地多显示 2 格信号,导致用户误以为自己所处区域的信号强度很好。
因此,当用户手持手机影响到天线接收后,他们看到的并非信号真实减弱,而是从一个虚高的、从未真实存在过的满格信号,瞬间回落到真实的微弱信号水平,从而造成了巨大的心理落差。
时隔 15 年,软件工程师萨姆・亨利・戈尔德通过对比固件代码,终于揭开了当年苹果修复该问题的具体技术细节。
这个修改仅涉及 20 个字节的数据。原有的查找表数值设定得“过于乐观”,导致大部分时间里手机都会显示 4 到 5 格信号。而新的数值则让信号格的显示曲线变得更加平滑和真实。
戈尔德还发现一个有趣的细节:苹果在更新中还略微增加了前两格信号条的高度,这或许是一种心理学上的优化,从而让微弱信号看起来不那么糟糕。
source: IT之家