2017年4月

故事的开头是刷cnbeta新闻的时候看到了一篇类似的报道，时间应该是在去年4月7号左右。

隔离见证这么玄乎的名词我自然是看不懂的，但是暴涨1.4亿这么简单直白的信号还是勾起了我的好奇心，同时还有一些不切实际的回忆。

在强网杯这种省级比赛遇到了这样的题目，就有种中考碰到了微积分题目的感觉。

条件太好，好到难以让人相信这是一份正经的实习工作。

去年？

对，我去年已经失败了一次了，今年还来申请，还是The Honeynet 的 mitmproxy 项目。大概是二月份左右，距离学生申请项目还有一个多月的时间，我又潜入到mitmproxy的Github项目，打算为申请GSoC铺好路。把项目代码库更新了以后，马上傻眼了，感觉这和我几个月前见到的那堆代码完全是两码事，面目全非啊。为了重新弄懂项目的结构，我用了一种貌似愚蠢实则可靠的方法，期间所作的努力详见：How to Read Source Code of Large Program。

选择困难症患者的痛苦并不在于没有对应的专科门诊，或是买不到治病的药，而是在于，往往在选择医院或者买药的过程中，他们就已经开始发病了。

自从换了手机，不中用的自带浏览器首页总是附带着一些荤素不忌的所谓新闻，有些还真是不知所谓，比如以下这条：
中学语文教材上出现黄色网站链接。我并没有像众多网友一样忙着翻箱倒柜发掘宝藏，一边赞叹有道是“书中自有颜如玉”。反倒是马上联想到了最近在漏洞悬赏平台遍地开花的子域名劫持漏洞（Subdomain Takeover）。

先来从逻辑上来分析一下这个事情，相信出版社的叔叔阿姨们是绝对不会有意把毒草栽到祖国花朵的课本上面的，所以在教材编写、校对的过程中，网站链接的内容还是好端端的诗词大全。再根据大家对广大中学生朋友们学习习惯的了解，课文多半是强作精神才能勉强读完，至于课后无关痛痒的大段文字常年处于无人问津的境地。因此，精明的站长也不会想到在这上面动手脚。所以这次的偷天换日恐怕也是歪打正着，若不是那位热爱诗词的女同学掘地三尺，加上其手眼通天的母亲大人出手相救，那失落的链接还不知道会被浸淫在知识的海洋中多久。

Mitmproxy as an example

You should read the source code from particular version rather then the latest one.

Recently, I read an article 如何以“正确的姿势”阅读开源软件代码 about how to read and benifit from the open source software. It suggests the following steps:

• Clone the project to your machine.
• Check the release list of this project (from Github).
• Find a release version that your could fully understand, for example, 1.0 or prior.
• Make sure you can understand the code of last version.
• Then pick the important release and read its code.
• Finally you could go for the latest code.

For some small project, like some handy script for pentesting, it is easy to figure out it structures and details about implementation. But for some “Big Buddy” like Mitmproxy, I have to say that I’d tried many times but it usually mess up somewhere.