现在中国移动提供的GPRS大致分为两类，一类是CMWAP，另一种是CMNET。

CMNET

CMNET拥有完全的Internet访问权，CMNET就像我们使用电脑连接互联网，CMNET其实就是移动的 Internet，分配的IP是公网的地址。采用的实现方式是“终端＋服务器”的工作模式。

CMWAP

CMWAP接入方式只开放HTTP代理协议（80和8080端口）和WAP网关协议（9201端口），仅支持http和WAP协 议（数据通过WTLS传输）。采用的实现方式是“终端＋WAP网关＋WAP服务器”的模式。主要的目的是通过WAP网关完成 WAP-WEB的协议转换以达到节省网络流量和兼容现有WEB应用等目的（本文档仅针对WAP1.X）。

» 阅读全文

开了一上午的会，来讨论FilterJS上的一些东西。

公司现在有很多这种情况存在，因为应用太繁杂，前期在测试时发现了很多这样的问题。其实之前很少关注FilterJS方面的东西，对于这一块的安全问题，仅仅是在owasp的一次会议上看到过对淘宝的攻击演示。

google到了一些相关的资料，学习学习。

OWASP ESAPI for Javascript
Javascript 的输入输出，以及二次渲染问题
owasp-esapi-js
Bypassing OWASP ESAPI XSS Protection inside Javascript

记录下，感叹关注面之窄啊。最近老是感觉时间不够用，怎么回事啊

最近在公司忙sdl的东西，想把WEB开发这一块的流程等东西都按照sdl的一些思想给规范起来。

说是比较容易，但是做起来就麻烦了。具体细节不说了。总之有点难度，还好我们公司的领导现在都还比较重视这一块，这就提供了很大的方便。@amxku

画了个图，共享下，没啥技术含量（根据公司的情况做了些删减），仅供参考，算是抛砖引玉吧。欢迎拍砖。

个人拙见，欢迎斧正，@amxku，luoq.net

Brief Description

The sdl Quick Security References will help you better understand and address common attacks that may be affecting your software, Web sites, and users.

Overview

With the sdl Quick Security References (QSR), the Security Development Lifecycle (SDL) team introduces a series of basic guidance papers designed to address common vulnerabilities from the perspective of multiple business roles - business decision maker, architect, developer, and tester/QA. These papers will help you address a critical business problem now while moving you toward SDL adoption in the future.

PS：有些地方写得还不错，可以参考参考
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=79042476-951f-48d0-8ebb-89f26cf8979d

dedecms在分页处理上有点问题

e.g:
http://www.dedecms.com/plus/list.php?tid=10&pageno=9

系统用intval对$pageno的值进行了处理，但是intval处理过程中，如果为非正整数时，会赋值为0，系统就会出错。

没有对0进行过滤处理。

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-15,15' at line 7 - Execute Query False! Select arc.*, tp.typedir,tp.typename,tp.isdefault,tp.defaultname,tp.namerule,tp.namerule2,tp.ispart,tp.moresite,tp.siteurl from `dede_archives` arc left join `dede_arctype` tp on arc.typeid=tp.ID where arc.arcrank > -1 And (arc.typeid='10' Or arc.typeid2='10') order by arc.sortrank desc limit -15,15

因为公司不让上qq，前几天洗澡时突然闪过的一个想法。在家里已经测试ok了，不知道到公司能不能行得通。不过python在监控消息的过程中有时间会出错，现在只能被联系，不能主动的联系别人，也仅仅只能是处理消息，图片、附件什么的一律处理不了。还有些问题。仅仅是为了意淫，哈哈

/*
 * Remote calls sebug.net data api for client.
 * Authors: amxku <amxku@sebug.net>
 * Version: sebug-x client ver 1.0
 * LastModified: Apr 16, 2009
 * Copyright: http://sebug.net
 */
该系统是基于phprpc上开发。对相关数据进行了加密，缓存处理，最大程度上保证了系统的安全，高速的运行。本系统采用了模板分离，用户可以自己对模板进行修改。系统无需数据库。所有的配置信息都在config.php中完成。系统需要进行认证，才能从sebug服务器上获取到数据，请发送邮件到s1_at_sebug.net，获取系统认证密码。

» 阅读全文