X 平台看到一个脚本
bash <(curl -Ls IP.Check.Place)
感谢11楼朋友发来线报
这个脚本在 github 有开源的。
github.com/xykt/IPQuality
???难不成你还真的直接执行?
有这种攻击的 POC同一个脚本 URL ,浏览器访问 & curl 访问可以响应不同的内容
哈哈,来路不明的 shell 直接执行
没敢执行,这事原 po 主的图
这和陌生邮件收个 .exe 直接双击有啥区别。
还支持一键升级 Bash 到 4.0 版本,有点贴心了😂
下下来看看再执行不就行了?看内容像是综合了一堆 api ?
pastebin.mozilla.org/ovsprvMU乍一看倒是若有其事的样子。。。具体有冇埋什么炸弹就不晓得了。。。
看着头头是道 但是不敢跑🤣
看到这个,我想起来了,前几天有人在本站发过这个 链接 hesudu.com/t/1051493
不但要信任作者没坏心眼,同时也要信任作者安全工作做得到位不被挂马
这个脚本在 github 有开源的。 github.com/xykt/IPQuality
说实话 如果它指向的链接是 raw.githubcontent.com 我点进去看看作者还敢运行 这种个人域名说实话不敢。就怕它分发的内容我看到的和实际执行的不一样 或者干脆就是概率性的随机返回正常和不正常的内容。点进去看好像没啥特别的,就是调用一堆接口传进去 IP 查信息,有条件做成 serverless 托管到 cf 上之类的变成类似 curl ip.sb 这样的就没有这种顾虑了
那个数据统计……不显示还好,一显示我心慌
这里面很多 api 必须从本机调用
浏览器访问会直接跳转到 raw.githubusercontent.com/xykt/IPQuality/main/ip.sh如果担心作者加料的话可以把网址替换成这个
担心加料难道不应该是把脚本下回来展开查看吗? 用 GitHub 链接就安全了吗?
真想这样用,代码过一遍自己搭
这种一键下载脚本是真危险还不是 https ,中间人给你加点料😅
看了一下源码,还好
自从看了之前那个长滚动条滚到最右边给你加点料的源码后 现在看源码都得滚一滚😂
已经装在下载机的虚拟机上使用哈哈哈
你们担心脚本恶意的,直接curl IP.Check.Place下来看一眼不就完了.....
有什么不敢的, 直接执行。
刚刚试了一下不知道是什么 report.check.place/IP/1ORQORGPY.svg
git 有提交历史可以看,开源问题不大。
用的 fish ,上来就执行失败了,直接在服务器操作的,想想有点害怕。
MJJ 的娱乐脚本,已经出了快一个月了,作者 xy ,也是一位 mjj
一键脚本只适合娱乐,建议新建虚拟机隔离运行。用完就删虚拟机。
老早就在用了,之前就缝合怪不过展现的没这么好看而已
我想问 怎么上传的图片?
这些字段知道了有啥用?
有语法学一下就行。不想学搜索一下 V2EX polish 插件(类似插件很多,自己选择,这里不做推荐)。安装后直接复制粘贴图片,插件会自己上传图床并展示
前端 JS ,后端 Java ,使用共享的常量的最佳操作是什么 如果手动同步的话,例如 Java 里面新加了一个常量字符串,然后手动往 JS 代码里面加一个,感觉很麻烦,违反了…
最近用 Google 搜中文内容几乎每次都能看到头条搜索的结果,而且点进去之后不能直接看到内容,而是把关键词带过去,显示他们自家的搜索结果。说实话,给出来的结果也没有点击的欲望…
有点受不了,aws 怎么这么麻烦啊,有一万个要配置的东西,他为了解决所有的需求场景,就搞了一个又大又全又复杂的玩意儿出来,有没有更适合个人开发用的简单点的云服务啊,心智负担小点…