從攻擊手法開始重新認識網路 - DNS 篇 「從攻擊手法開始重新認識網路」是一個新的系列文，比起從頭開始講起某個東西如何運作，我會直接先從攻擊手法開始切入，從這點去探討這個攻擊是怎麼做到的，又該如何防禦。帶著這些問... 2026-6-23 03:11:30 | 阅读: 6 | 收藏 | Huli - blog.huli.tw 這個 一個 tw 隨機 攻擊

Reunderstanding the Internet from Attack - DNS “Reunderstanding the Internet from Attack” is a new series of articles. Instead of sta... 2026-6-23 03:11:30 | 阅读: 4 | 收藏 | Huli - blog.huli.tw tw resolver huli client poisoning

npm 供應鏈攻擊從頭談起：原理、手法與防禦方式 2026 年 5 月 19 日，拿來做圖表的套件 antv 遭到攻擊，最新版本被植入惡意程式。5 月 13 日，前端圈很熱門的 TanStack 系列 repo 也遭到攻... 2026-5-25 03:17:30 | 阅读: 14 | 收藏 | Huli - blog.huli.tw 安裝 一個 下載 這個 攻擊

A Deep Dive into npm Supply Chain Attacks and Defense On May 19, 2026, the charting library antv was attacked, and the latest version was em... 2026-5-25 03:17:30 | 阅读: 20 | 收藏 | Huli - blog.huli.tw malicious pnpm lockfile download xlsx

從逆向工程重新認識 AI 的強大 嗯，我现在需要帮用户总结一篇文章的内容，控制在100字以内。用户已经提供了文章的详细内容，看起来是关于AI在逆向工程中的应用和作者的体验。 首先，我要通读整篇文章，抓住主要观点。文章讲述了作者使用AI进行逆向工程的经历，包括多个案例，如解密Cocos2d游戏、Unity游戏、混淆过的App以及加壳的银行级App等。AI通过静态分析、动态分析、Frida Hook等多种方法成功逆向了这些案例。 接下来，作者讨论了AI的优势和不足之处。AI能够处理复杂的逆向任务，但在某些情况下可能无法完全还原代码逻辑，需要人工干预确认结果。此外，作者反思了自己对AI能力的低估，并对未来的攻防平衡进行了思考。 最后，总结部分强调了AI在逆向工程中的强大能力，并表达了对AI技术的赞叹和对未来发展的期待。 现在，我需要将这些要点浓缩到100字以内。重点应放在AI的应用案例、其优势以及作者的总体感受上。 可能的结构是：介绍文章主题（AI在逆向工程中的应用），列举几个关键案例（如游戏、银行App），说明AI的方法（静态和动态分析），提到不足之处和作者的观点（如人类限制了AI的能力），最后总结AI的强大能力。 确保语言简洁明了，避免使用复杂的术语或长句。 </think> 文章描述了利用 AI 进行逆向工程的过程与成果。通过多个案例展示了 AI 如何解密 Cocos2d 游戏、Unity 游戏、混淆 App 以及加壳银行 App 等复杂任务。AI 采用静态分析、动态分析及 Frida Hook 等方法成功还原代码逻辑。尽管存在不足之处，如部分代码无法完全还原，但 AI 的强大能力令人惊叹。... 2026-4-18 02:46:30 | 阅读: 19 | 收藏 | Huli - blog.huli.tw 逆向 一個 這個 還原 沒有

Reunderstanding the Power of AI Through Reverse Engineering 好，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得通读整篇文章，理解主要观点。 文章主要讲述了作者使用AI进行逆向工程的经历，涉及多个案例，包括游戏和银行级应用的逆向分析。AI展示了强大的能力，能够处理静态和动态分析，甚至破解复杂的加密和保护机制。作者还讨论了AI在逆向过程中的优势和局限性，并反思了AI对自身能力认知的影响。 接下来，我需要将这些要点浓缩成一个简洁的总结。确保涵盖AI的能力、案例类型以及作者的见解。同时要注意字数限制，避免超过100字。 最后，检查语言是否流畅自然，确保信息准确传达。 </think> 文章描述了通过AI进行逆向工程的过程与成果，涵盖游戏、银行级应用等案例。AI展现了强大的静态与动态分析能力，能够破解复杂加密与保护机制，并显著提升逆向效率。... 2026-4-18 02:46:30 | 阅读: 19 | 收藏 | Huli - blog.huli.tw reverse lua analysis encryption reversing

從 Coupang 的個資外洩談內部威脅、金鑰管理與 JWT 嗯，用户让我总结一下这篇文章的内容，控制在一百个字以内，而且不需要用“文章内容总结”之类的开头。直接写描述就行。 首先，我需要通读整篇文章，抓住主要信息。文章讲的是Coupang的个资外泄事件，主要是前员工利用内部权限获取了Signing Key，从而伪造JWT Token，入侵系统。事件中还提到了技术细节和金鑰管理的问题。 接下来，我要确定关键点：前员工身份、Signing Key的泄露、JWT Token的伪造、内部管理问题以及金鑰管理的重要性。这些是文章的核心内容。 然后，我需要用简洁的语言把这些点串联起来。控制在100字以内，所以每个点都要简明扼要。 最后，检查一下有没有遗漏的重要信息，并确保语言流畅自然。 </think> Coupang個資外洩事件因前員工竊取Signing Key偽造JWT Token入侵系統引發關注。調查顯示攻擊者利用職責範圍內的權限取得關鍵資訊，暴露企業金鑰管理漏洞及內部威脅風險。... 2026-3-19 02:28:5 | 阅读: 12 | 收藏 | Huli - blog.huli.tw 系統 這個 coupang kms 產生

Learn Internal Threats, Key Management, and JWT from the Coupang Data Breach 好的，我现在需要帮用户总结这篇文章的内容，控制在100个字以内。首先，我得通读整篇文章，抓住主要信息。 文章讲的是Coupang的数据泄露事件，起因是前员工利用内部密钥获取权限。攻击者是Coupang的前软件开发工程师，负责用户认证系统。他利用在职期间获取的JWT签名密钥，伪造令牌登录系统，窃取了大量个人信息。 接下来，文章分析了密钥管理的问题，指出Coupang在密钥生成和存储环节存在漏洞。攻击者能够访问这些密钥，说明公司在这两个阶段有疏漏。 然后，文章讨论了使用JWT令牌的风险，尤其是无状态JWT的潜在问题。如果私钥被窃取，攻击者可以伪造任何用户的令牌。此外，公钥也需要保护，防止被替换导致进一步的风险。 最后，作者建议采用更安全的密钥管理方法，如KMS和HSM，并强调定期轮换密钥的重要性。同时提到内部威胁的风险，并提醒企业加强风险管理。 总结一下，文章的核心内容是Coupang的数据泄露事件、技术细节、密钥管理问题以及安全建议。我需要把这些要点浓缩到100字以内。 </think> Coupang数据泄露事件中，前员工利用在职期间获取的JWT签名密钥伪造令牌登录系统，窃取大量个人信息。事件揭示了密钥管理漏洞及内部威胁风险。... 2026-3-19 02:28:5 | 阅读: 21 | 收藏 | Huli - blog.huli.tw coupang kms encryption attacker developer

感謝 AI 讓我這外行人也能做簡單的逆向工程 嗯，用户让我总结一篇关于使用AI进行Golang二进制逆向工程的文章，控制在100字以内。首先，我需要理解文章的主要内容。 文章讲的是作者拿到一个Golang HTTP服务器的二进制文件，想进行逆向工程但不太懂。他使用了Ghidra和AI工具，比如GhidraMCP和Cursor，来帮助分析。通过这些工具，AI能够识别库、API路由和认证逻辑，并部分还原代码结构。虽然结果有些错误，但对逆向工程提供了有价值的线索。 接下来，我需要将这些要点浓缩到100字以内。要突出AI工具的作用、逆向过程以及结果的价值。 可能的结构是：描述使用AI工具逆向Golang二进制文件，分析功能和漏洞，并指出结果有帮助但不完美。 最后，确保语言简洁明了，不使用复杂术语。 </think> 文章描述了如何利用 AI 工具（如 GhidraMCP 和 Cursor）对 Golang HTTP 服务器的二进制文件进行逆向工程。通过分析二进制文件的符号信息和调用关系，AI 能够推断出程序的功能模块、API 路由以及潜在的安全漏洞（如 SQL 注入和路径遍历），尽管结果存在部分错误，但仍为逆向研究提供了有价值的线索。... 2026-3-1 04:20:8 | 阅读: 15 | 收藏 | Huli - blog.huli.tw 逆向 authhandler avatar membership username

Using AI to Do Simple Reverse Engineering 好的，我现在需要帮用户总结一篇文章的内容，控制在100个字以内。首先，我得仔细阅读用户提供的文章内容，理解其主要信息。 这篇文章讲的是作者如何使用AI工具来进行Golang二进制文件的逆向工程。作者不太熟悉逆向工程，但通过使用Ghidra和AI代理（如Cursor），成功地从一个简单的HTTP服务器二进制文件中提取了API路由、文件结构和部分代码逻辑。过程中还发现了SQL注入和路径遍历漏洞。 接下来，我需要将这些关键点浓缩到100字以内。重点包括：使用AI工具、逆向工程Golang二进制、提取信息、发现漏洞以及AI带来的便利和局限性。 现在，我来组织语言，确保简洁明了。可能的结构是：介绍方法、提取的信息、发现的问题以及结果的意义。 最后，检查字数是否符合要求，并确保没有使用“文章内容总结”之类的开头。 </think> 文章描述了一位不熟悉逆向工程的人如何利用AI工具（如Ghidra和Cursor）对一个简单的Golang HTTP服务器二进制文件进行逆向分析。通过AI辅助，成功提取了API路由、文件结构和部分代码逻辑，并发现了其中的SQL注入和路径遍历漏洞。虽然结果存在一些错误，但AI大大简化了逆向过程并提供了有价值的线索。... 2026-3-1 04:20:8 | 阅读: 16 | 收藏 | Huli - blog.huli.tw reverse authhandler membership ghidra avatar

從 React 中學習 JavaScript 底層運作 前陣子去 JSDC 的線上前導活動分享了這個主題，想說既然都分享了，不如就寫篇文章好了。這篇文章的靈感來源以及內容其實都是來自於《JavaScript 重修就好》。當初寫書... 2025-11-15 22:32:8 | 阅读: 22 | 收藏 | Huli - blog.huli.tw 一個 這個 什麼 其實 執行

Learning the Core of JavaScript from React Recently, I shared this topic at the online pre-event of JSDC. Since I already shared... 2025-11-15 22:32:8 | 阅读: 18 | 收藏 | Huli - blog.huli.tw raf smi floating shape

Chrome 內建的翻譯與 Prompt API 文章介紹了Chrome瀏覽器內建的AI相關Web API，包括翻譯、語言偵測和文章摘要功能，並提到這些API從Chrome 138版本開始提供。這些API使用簡單且不需要外部AI服務或API金鑰。文章還提到還有其他測試中的API如Prompt API，但目前僅限於基於Chromium的瀏覽器如Chrome和Edge可用。... 2025-9-26 21:50:0 | 阅读: 26 | 收藏 | Huli - blog.huli.tw chrome 模型 下載 內建 翻譯

Chrome's Built-in Translation and Prompt API Chrome浏览器新增内置AI功能，包括翻译、语言检测和摘要API，支持本地运行小模型；Prompt API仍处测试阶段。... 2025-9-26 21:50:0 | 阅读: 20 | 收藏 | Huli - blog.huli.tw chrome translation download translator loaded

不需要括號跟分號的 XSS 文章介紹了如何在不使用括號和分號的情況下構造XSS攻擊payload，利用JavaScript的標籤模板字串（tagged template strings）和`onerror`事件來執行任意代碼。這些方法用於繞過Web應用防火牆（WAF）的限制，在瀏覽器環境中實現跨站腳本攻擊。... 2025-9-14 20:50:0 | 阅读: 27 | 收藏 | Huli - blog.huli.tw 執行 程式 程式碼 一個 錯誤

Explaining XSS without parentheses and semi-colons 文章介绍了几种无需使用括号和分号的 XSS 攻击技术，包括利用标签模板字符串、函数构造器、onerror 事件以及通过修改错误信息来执行代码的方法。这些技术绕过了常见的 Web 应用防火墙（WAF）限制，并展示了如何在受限环境中实现任意代码执行。... 2025-9-14 20:50:0 | 阅读: 19 | 收藏 | Huli - blog.huli.tw uncaught typeerror payload parentheses 3331

人人都需要一個 HTTP proxy 來 debug 文章讨论了前端工程师在使用Chrome DevTools时遇到的问题，特别是在处理OAuth登录和WebSocket连接时的调试困难。推荐了Charles、Burp Suite和mitmproxy等HTTP代理工具，并详细介绍了如何配置Burp Suite来捕获HTTP请求。此外，还提到了mitmproxy通过脚本动态修改内容的能力以及移动端和命令行工具的代理配置方法。文章强调了使用代理工具的重要性，以应对DevTools的局限性。... 2025-4-23 02:50:0 | 阅读: 29 | 收藏 | Huli - blog.huli.tw proxy 一個 devtools 請求 瀏覽器

Everyone Needs an HTTP Proxy for Debugging 文章指出Chrome DevTools在处理重定向和WebSocket握手失败时存在不足，并推荐使用HTTP代理工具如Charles、Burp Suite和mitmproxy来捕获完整的请求和响应信息，从而更有效地进行调试。... 2025-4-23 02:50:0 | 阅读: 19 | 收藏 | Huli - blog.huli.tw proxy devtools burp chrome mitmproxy

VS Code Material Theme 不是惡意軟體——安全的線該畫在哪？ VS Code的Material Theme套件因被怀疑含恶意代码而被微软下架，后证实为误判。套件使用混淆代码和第三方依赖，但无证据显示恶意行为。... 2025-3-16 02:40:0 | 阅读: 23 | 收藏 | Huli - blog.huli.tw 惡意 程式 程式碼 這個 我們

VS Code Material Theme is Not a Malware — Where Should the Line Be Drawn? 三周前，微软因Material Theme扩展被指含恶意代码而将其从VS Code移除。后经调查发现无恶意代码，微软道歉并恢复该扩展。事件反映了安全检测与误判之间的平衡问题。... 2025-3-16 02:40:0 | 阅读: 20 | 收藏 | Huli - blog.huli.tw malicious microsoft marketplace removal security