HTTPS访问异常的问题

站点因为历史原因,一直托管在一个虚拟主机上,HTTPS访问配置异常,请暂时使用HTTP来访问本站。

近期将会迁移到我自己的主机上,之后我会给本站开启正确的HTTPS的证书。


服务器抽风,HTTP也异常了,好在点了一下就好了,之前404的页面现在又可以访问了。

Google Chrome对本地文件进行MIME Sniffing的问题

偶然发现,不是多严重,本地文件没有MIME,Google Chrome应该只对kSecondaryMappings中的内容进行处理,而其他未知的理应作为plain text处理,但是Chrome却对文件内容进行了嗅探,这导致任何文本文件的内容都可能会被当作脚本执行。63以后版本的Chrome已经修复了此问题。
https://bugs.chromium.org/p/chromium/issues/detail?id=777737

开源了我之前做的jsfuzzer

在文章http://www.nul.pw/2017/07/17/245.html中我提到了jsfuzzer,现在开源其中一个。

这个jsfuzzer主要是因为funfuzz改起来实在是太困难,然后动手写的一个。可以生成可扩展的js结构,具体的输出样例可以参考github页面的sample-out.html。

Github page:
https://github.com/blastxiang/lucky-js-fuzz

由于是一个周末写的,代码风格十分烂,欢迎提出改进并修改。

同一类浏览器漏洞,看谁修复速度快

目前姑且当打了个平手,因为上报时间是周末

Microsoft Edge信息泄露漏洞

2017-8-18 05:29 已经复现出通用攻击代码,转开发修复中。
2017-8-18 01:51 表示复现,但是不知道有啥危害。
2017-8-17 15:35 感觉微软的测试大哥环境配错了,回复了具体环境。
2017-8-17 05:07 微软表示仍然复现不了。
2017-8-16 10:25 回复微软表示3台电脑均能复现,但是Edge表现诡异,仅在部分URL下复现
2017-8-16 01:47 微软表示无法复现,差点以为撞洞
2017-8-6 00:16 微软MSRC建单
2017-8-5 14:07 漏洞报告微软
————————————————————————————————————

360安全浏览器&极速浏览器信息泄露漏洞

2017-8-24 11:24 360表示,只在se8上生效,升级到se9了就没这问题了。事实也是如此,好吧,迟了一步。
2017-8-18 05:29 360仍然在验证中
2017-8-17 23:59 360仍然在验证中,验证状态已经保持了11天。期间无任何反馈。
2017-8-6 13:01 漏洞报告360