小攻城師的戰場筆記

圖為 GD 嘗試透過 GOGORO 電動機車設計不佳的驗證機制，來模擬攻擊者如何盜用這台機車的使用權限。以下簡單速寫一下今天的 HITCON CMT 2016 第一天囉。

朋友給我一個網路相簿，要我看看裡面的東西，但是單張單張點好慢，乾脆下載下來再從檔案總管看好了。

本來要用像 FlashGet 之類的批次下載的工具，不過檔案有 XML 格式的檔案清單、但檔名不規律，就自己寫程式抓。

每年申報所得稅都會很懷疑自己為什麼不花點錢買一台 Windows 的電腦⋯⋯今年也不例外。一進入線上申報的頁面，先是說我的 Java 版本太舊了叫我重新下載。下載完畢後，輸入了身分證字號和 PIN 碼，準備要看今年的所得資料，卻告訴我憑證驗證錯誤。錯誤訊息是「無法載入IC卡函式庫檔案-函式失敗6」。

好險 Google 錯誤訊息就找到這篇：《[分享文] Mac 報稅錯誤排除 「無法載入IC卡函式庫檔案:函式失敗(6)」》，我和他的環境一樣，都是 OS/X 10.11.4 版、Safari 9.1 版。

問題是出在 HiPKI Client 這個套件沒有自動更新。解決步驟如下：

今天要轉置一台 IIS 主機，架個 FTP 在上面，因為前一代就是在 IIS 上架 FTP，所以想說就照舊，沒有改用 FileZilla FTP Server。

參考 "Configuring FTP User Isolation in IIS 7" 做了設定，在使用者管理也開了帳號，但仍無法登入。

後來發現是少設了 FTP 授權規則。

同事寫了支 Java 程式會用到 Firefox 抓網站的螢幕擷圖，不過今天執行起來怪怪的，我仔細想一下，好像是我把 Firefox 更新後發生的問題？看了一下錯誤訊息，裡面有這一段內容：

org.openqa.selenium.firefox.NotConnectedException: Unable to connect to host 127.0.0.1 on port 7055 after 45000 ms. Firefox console output:
hello\AppData\Local\Temp\anonymous1263966490208696868webdriver-profile\extensions\fxdriver@googlecode.com

今天遇到一個在 Load balancer 上的網站，採用 PHP 5 的 A 主機網頁正常，但使用 PHP 7 的 B 主機版面就怪怪的。追蹤了一下，看起來是 fgetcsv() 出問題，沒有正常解析。我們的 CSV 檔是 Big5 編碼的，看起來是解析了某個中文欄位之後，後續欄位就有異常。

上網查了一下，找到《PHP讀取BIG5編碼的CSV檔》，裡面提到：

「但如果 CSV 檔是 BIG5 編碼，當中文字中有包含反斜線(\)字元的衝碼字，

今天遇到一個新機器，把舊機器上的 Apache config (httpd.conf) 和程式直接丟上去，卻跑出錯誤訊息：

403 Forbidden
You don't have any permission on ... (路徑名稱)

原來是舊機器用 Apache 2.2，新機器是 Aapche 2.4，config 要做一些調整。

今天發現一支原本跑得好好的程式出現錯誤：

javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
   at com.sun.net.ssl.internal.ssl.Alerts.getSSLException(Alerts.java:174)

有時候因為種種原因 MySQL 會停掉重啟，這時候原本正在使用中的 MySQL Workbench 就會斷線，以前都是把分頁關掉重開，後來想想應該有更聰明的做法才對。

官方文件好長懶得看完XD，在 stackoverflow 找到 "MySQL Workbench: Reconnecting to database when “MySQL server has gone away”?"：在選單上的 "Query" （查詢）→ "Reconnect to Server"（連線到伺服器），點一下就可以重新連線到 MySQL 了。

公司辦了一個活動，吸引了大批網友來留言，因為合作廠商說只能幫忙分析 (parse) 公開留言，所以得手動把 facebook 誤判為廣告 (spam) 而隱藏的留言 (comments) 打開。

想要人工檢閱，但是點一次只展開其中的 50 筆，所以上網 Google "facebook expand all comments"，找到這篇："Expand All Facebook Comments"。