画了张抛砖引玉的图

amxku 发表于 2010-01-26, 21:46

最近在公司忙sdl的东西，想把WEB开发这一块的流程等东西都按照sdl的一些思想给规范起来。

说是比较容易，但是做起来就麻烦了。具体细节不说了。总之有点难度，还好我们公司的领导现在都还比较重视这一块，这就提供了很大的方便。@amxku

画了个图，共享下，没啥技术含量（根据公司的情况做了些删减），仅供参考，算是抛砖引玉吧。欢迎拍砖。

@amxku luoq.net

--EOF--

Tags: sdl , 安全 , 工作 , 技术

发表在: 技术相关 14 条评论阅读 1029 次

SDL Quick Security References

amxku 发表于 2010-01-20, 15:02

Brief Description

The sdl Quick Security References will help you better understand and address common attacks that may be affecting your software, Web sites, and users.

Overview

With the sdl Quick Security References (QSR), the Security Development Lifecycle (SDL) team introduces a series of basic guidance papers designed to address common vulnerabilities from the perspective of multiple business roles - business decision maker, architect, developer, and tester/QA. These papers will help you address a critical business problem now while moving you toward SDL adoption in the future.

PS：有些地方写得还不错，可以参考参考
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=79042476-951f-48d0-8ebb-89f26cf8979d

Tags: sdl , 代码 , 安全

发表在: 技术相关 , 杂七杂八 1 条评论阅读 421 次

DedeCMS V5.5分页处理上的一个小问题

amxku 发表于 2009-09-16, 13:58

dedecms在分页处理上有点问题

e.g:
http://www.dedecms.com/plus/list.php?tid=10&pageno=9

系统用intval对$pageno的值进行了处理，但是intval处理过程中，如果为非正整数时，会赋值为0，系统就会出错。

$pageno = isset($pageno) && is_numeric($pageno) ? max(1,$pageno) : 1;

没有对0进行过滤处理。

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-15,15' at line 7 - Execute Query False! Select arc.*, tp.typedir,tp.typename,tp.isdefault,tp.defaultname,tp.namerule,tp.namerule2,tp.ispart,tp.moresite,tp.siteurl from `dede_archives` arc left join `dede_arctype` tp on arc.typeid=tp.ID where arc.arcrank > -1 And (arc.typeid='10' Or arc.typeid2='10') order by arc.sortrank desc limit -15,15

Tags: dede , 代码 , 安全

发表在: 技术相关 5 条评论阅读 1910 次

我在公司将这样上QQ

amxku 发表于 2009-09-13, 00:56

因为公司不让上qq，前几天洗澡时突然闪过的一个想法。在家里已经测试ok了，不知道到公司能不能行得通。不过python在监控消息的过程中有时间会出错，现在只能被联系，不能主动的联系别人，也仅仅只能是处理消息，图片、附件什么的一律处理不了。还有些问题。仅仅是为了意淫，哈哈

qq2msn.jpg(缩略图)

Tags: python , msn , qq

发表在: 技术相关 12 条评论阅读 3459 次

Remote calls sebug.net data api for client

amxku 发表于 2009-08-19, 11:27

/*
* Remote calls sebug.net data api for client.
* Authors: amxku <amxku@sebug.net>
* Version: sebug-x client ver 1.0
* LastModified: Apr 16, 2009
* Copyright: http://sebug.net
*/
该系统是基于phprpc上开发。对相关数据进行了加密，缓存处理，最大程度上保证了系统的安全，高速的运行。本系统采用了模板分离，用户可以自己对模板进行修改。系统无需数据库。所有的配置信息都在config.php中完成。系统需要进行认证，才能从sebug服务器上获取到数据，请发送邮件到s1_at_sebug.net，获取系统认证密码。

» 阅读全文

Tags: api , client , sebug

发表在: 技术相关 15 条评论阅读 1957 次

sablog-X v1.6在$page处理上的一个小问题

amxku 发表于 2009-08-09, 23:12

系统对分页函数$page处理上存在问题。

如果$page的参数为负数的话，程序就会出错。如：http://amxku.net/?page=-1

1是数字，-1就是字符了。暂且叫做数值类型转换上的问题吧。不过没有办法利用。哈哈。比较非主流。

建议1.6的用户加上

$page = isset($_GET['page']) ? max(0, intval($_GET['page'])) : 0;

对$page进行处理吧。非主流，哈哈！

Tags: 代码 , 安全 , sablog

发表在: 技术相关 6 条评论阅读 1926 次

信息安全中的等级保护和风险评估的区别

amxku 发表于 2009-03-13, 20:26

       今天被人问到信息安全中的等级保护和风险评估的区别在什么地方。下午在回来的火车上，一没有美女相伴，也没有传说中的什么艳遇，基于很无聊等各种原因，就有了这篇充数的文章。纯属拙见，有不妥之处还望斧正。

       可以简单的理解为等保是标准或体系，评估一种是手段。

       等保其实就是帮助用户分析、评定信息系统的等级，以便在后期的工作中根据不同的等级进行不同级别的安全防护，而风险评估是帮助用户发现目前的安全现状，以便在后期进行整体的安全规划与建设。我们可以用风险评估这种手段检查等保的落实和执行情况。而风险评估的结果可作为实施等级保护等级安全建设的出发点和参考。