携程旅行网建立了对外专门接收漏洞报告的邮箱：

Security_at_ctrip.com

如有任何关于携程旅行网安全方面的问题或建议，请联系我们，我们在确认后将附赠精美小礼品一份，非常感谢您对我们的帮助和支持.

我们是学习前人，感谢前人给我们在安全道路上指导和帮助。

dedecms在分页处理上有点问题

e.g:
http://www.dedecms.com/plus/list.php?tid=10&pageno=9

系统用intval对$pageno的值进行了处理，但是intval处理过程中，如果为非正整数时，会赋值为0，系统就会出错。

没有对0进行过滤处理。

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-15,15' at line 7 - Execute Query False! Select arc.*, tp.typedir,tp.typename,tp.isdefault,tp.defaultname,tp.namerule,tp.namerule2,tp.ispart,tp.moresite,tp.siteurl from `dede_archives` arc left join `dede_arctype` tp on arc.typeid=tp.ID where arc.arcrank > -1 And (arc.typeid='10' Or arc.typeid2='10') order by arc.sortrank desc limit -15,15

因为公司不让上qq，前几天洗澡时突然闪过的一个想法。在家里已经测试ok了，不知道到公司能不能行得通。不过python在监控消息的过程中有时间会出错，现在只能被联系，不能主动的联系别人，也仅仅只能是处理消息，图片、附件什么的一律处理不了。还有些问题。仅仅是为了意淫，哈哈

杭州也有好多朋友在。去了好几次，没啥好说的，上图，记忆之。

» 阅读全文

工作
新工作一切都还好，刚开始比较忙一点。公司也不能上IM，本来就这么点意淫的想法就被他们这样无情的秒杀在摇篮里面了。不过也好，多了些时间来看书，看资料。CISSP已经报名了，时间比较紧，要努力看书。

生活
比较郁闷的是每天晚上不知道吃啥，生活还是在无聊和快乐中度过，还好的是每天有mm陪伴，还有一帮朋友，上周是书生他mm煮饭，不知道下周是谁的mm，哈哈。

sebug-online
基于Python开发的一套在线扫描系统，目前最流行的攻击手法而言，SQL注入、跨站、表单绕过等等。暂时支持的相对比较少，日后会慢慢完善。目前已经完成了大概70%了，采用了分布式，也是一山寨的云嘛，云不是火嘛，咱也试试。哈哈。

其他
没有其他了，本文的中心思想只是想说没请吃饭的哥们赶紧电话请吃饭。

北京去的比较多，曾经还有过上午去，晚上回的经历，呵呵

» 阅读全文

好像一共去过3、4次

总感觉整个都是酸酸的味道

» 阅读全文

云南呆的时间也比较长，但是去的地方不多

» 阅读全文