server {
    listen    80;
    server_name sebug.net;
    index index.htm index.html;
    root  /home/wwwroot/www;
    access_log off;
    location /paper {
           alias /home/wwwroot/paper/;
           autoindex on;
       }
}

注意 这里/home/wwwroot/paper/;  有个/

当你浏览http://sebug.net/paper/,正常情况应该遍历/home/wwwroot/paper/这个目录，但是如果访问http://sebug.net/paper../， 这个的话就会遍历/home/wwwroot/这个目录了

这个要利用，很有难度。nginx

下午无意中想到，能否让客户端必须先写入cookie或是加载js后，才能正常进入网站。因为爬虫或采集基本都不能正常写入cookie或加载JS

通过判断cookie的方式来进行一些限制，在用户打开站点时，写入cookie，然后通过cookie中的值来进行判断，如果不匹配就返回空，除开搜索引擎的爬虫，如果客户端无法写入这个cookie也就无法正常加载站点。测试下来基本ok，但是因为要在用户第一次打开的过程中写入cookie，就必然有一次跳转的动作，用户体验不是太好

还有就是通过AJAX的方式GET一个值给python，然后python进行验证，验证不通过则返回为空，这个我没测试，理论上是行得通的。我这暂时用了cookie的方式，虽然用户体验差了点，但至少能保证大部分真实用户的正常访问

不知道各位看官有没有什么比较好的办法？谢谢

BTW：这Firefox升级的太猛烈了，升级到8.0.1后，FCKeditor直接挂掉了，杯具，第一次用HTML写blog，NND，突然想起了《社交网络》，回归原始社会了哦，杯具，漏洞目录

自己也测试了下，东京的机房比较近，速度确实还不错，Linode的服务确实也不错，推荐下

迁移、购买好像都没啥说的，网上也有比较多的教程。我在购买的时候还担心支付问题，没想到国内的信用卡也可以直接支付；今天上去看code，发现他们有保存信用卡卡号、有效期等信息，看不出有没有存CVV，有点玄乎；已经发邮件过去询问了

BTW, 我的 Linode referral code: c4c36f1a2d3b525013a28fca90433f1c47ae0739

如果你也准备购买，不妨用一下我的 referral code :) dir

现在仅支持（后续将会持续跟进）：

• DedeCMS
• discuz
• phpcms
• php168
• ecshop
• shopex

测试地址：http://sebug.net/chweb/

感谢一些朋友们的帮忙，感谢

国内开源web程序安全风险 top10

更多数据参考漏洞分布/漏洞趋势分析

也来个top10，仅供参考，漏洞

总结下，主要为4种模式：
1、网页中发现关键字
2、特定文件的MD5（主要是静态文件，不一定要是MD5）
3、指定URL的关键字
4、指定URL的TAG模式

参考：http://sebug.net/ssv/Web_Application_Finger_Printing

指纹识别的准确率主要看规则库是否够全面，扫描代码的效率是否够高，速度是否够快

个人拙见，欢迎拍砖，@dir

分析了下WhatWeb也是类似的方式来实现的，也问了些朋友，思路都比较类似，想了想也找不到别的什么思路

AppPrint好像主要是检查Banner的

各位看官有什么别的方式方法么 @ssv

希望各位看官能给些意见，感谢

前台：php+jquery

后台：Lua（引擎实现了分布式，可以集中调度）

当前任务数量：57
当前请求总数：417660
云端节点数量：3
云端队列分布：40% 40% 0%

测试地址 ：http://open.sebug.net/

现在仅仅是测试中，希望各位看官多多的提一些意见 @dir

在围脖上问了问，大牛们都推荐我用FreeNAS，玩了一下午，还确实不错，SMB，ATF，WEB……都支持了，已经完全满足我的需要了，smb就主要是做文件共享，ATF主要是给我的mbp做TimeMachine备份，还有些开发环境什么的，更重要的还支持BT，各位看官都懂的 @amxku

发现FreeNAS 8.0.1的web管理平台是基于Django开发的，建议用7.x版本

http://www.syoi.net/node/381
http://www.raychou.com/chou/posts/355.htm
http://www.raychou.com/chou/posts/356.htm

• 手势还是不错的
• Misson Control确实是一个不错的东东
• Address Book的更新一般了，中文排序有问题
• iCal的界面不怎么好，感觉没上一个版本好
• 与Scrollbar相反的滚动，确实需要适应，需要点时间
• Mail的升级很不错，很给力

Apple这次Lion的这个升级，有惊喜，有遗憾，界面的变化不怎么好，感觉不太像apple的风格

不推荐安装升级GM版，在等等吧，号称没几天就要发布正式版本了

BTW：有朋友公司在找ios，android开发人才，offer很不错，有意向的朋友可以联系，在上海

一年了，从想法到实现，再到后面……一年的时间里经历了很多，有失败后失落，有成功的喜悦……

祝好

BTW：有朋友公司在找数据挖掘的人才，offer很不错，有意向的朋友可以联系，在上海

http://samy.pl/evercookie/
这其实就是一个给客户端打上永久标记

Specifically, when creating a new cookie, it uses the following storage mechanisms when available:
     - Standard HTTP Cookies
     - Local Shared Objects (Flash Cookies)
     - Silverlight Isolated Storage
     - Storing cookies in RGB values of auto-generated, force-cached
        PNGs using HTML5 Canvas tag to read pixels (cookies) back out
     - Storing cookies in Web History
     - Storing cookies in HTTP ETags
     - Storing cookies in Web cache
     - window.name caching
     - Internet Explorer userData storage
     - HTML5 Session Storage
     - HTML5 Local Storage
     - HTML5 Global Storage
     - HTML5 Database Storage via SQLite
 
    TODO: adding support for:
     - Caching in HTTP Authentication
     - Using Java to produce a unique key based off of NIC info

Anehta的水印(Watermark)机制
http://www.x-woods.com/tutorial/sharedobject.swf
http://onedear.cn/entry/evercookie1.html
http://onedear.cn/entry/evercookie2.html
http://onedear.cn/entry/evercookie3.html

还有些做这一块的厂商：
ThreatMetrix（alibaba有在用）
Arcot（被CA收购了）

这Django确实是不错，比较省事，效率也比较高

今天下午在调试Django和公司文档系统时候，在cookie的处理上有些问题，搞了半天也没搞定。在后面的测试过程中，发现好像Django的CSRF中间件好像有点问题，Django是通过在csrfviewmiddleware中进行相关的验证处理，token是存储在cookie里面。其实验证过程很简单，就是把token POST过去和Cookie中的做比对，，但是问题是都是csrfmiddlewaretoken，post中的也是从cookie里拿的，其实就是同一个值来做比对处理，就相当于你POST “123”过去，他就判断“123”和“123”是否匹配，这他妈的不是和没验证一样。。。

网上找了圈，发现已经有人提到了这个问题。。。15845，不知道Django会不会也和ruby on rails 一样用owasp的csrf Guard 的代码，呵呵

• 输入法；我用的QIM，用着还蛮不错，不过是商业软件，暂不提供下载，呵呵

• 编辑器
  • vim-cocoa
  • Coda
• 浏览器
  • FireFox，没啥好说的
• IM
  • Adium
  • Skype
• PHP开发环境；XAMPP
• 行程管理；iCal，直接用google的日历，手机上也能很好的同步了
• 系统管理
  
  • AppCleaner，程序卸载工具
  • OnyX，系统清理、优化
  • mfTuneKit
  • AppFresh；软件升级
• 影音、图形处理
  • 豆瓣电台
  • iTunes
  • MPlayer
  • 小芊(nLyrics)-Itunes歌词显示
  • Picasa
  • Snagit；强大的截图软件
• 解压缩；betterzip
• 翻墙相关
  
  • Shimo
  • Proxifier
• FTP工具；Transmit
• 日常办公
  • 邮件；系统自带的，加上WideMail
  • Microsoft Office 2011
• 其他
  • Growl；牛x的信息提示
  • Reeder；rss，google reader

后面这更新吧，先写这些吧

总之变化还是蛮大的，不过依然还是一样的堵车，那不是一般的堵车。朋友到机场接我，开了两个多小时才到武昌的酒店，简直是惨不忍睹，下次应该先准备好吃的再上车，这个篇武汉系列写得着实很贴切。只是好像学生更多了，随处都可见到学生、非主流，看到好多公司都在武汉的学校做宣讲，这次没见到什么美女，估计是时间没赶对

这次过去事情基本上都落实了，过程也是比较曲折，本来很简单的事情，他非要给你绕来绕去的。这个世界啊，金钱的作用是你无法想象到的，绝对牛x的。钱能使鬼推磨，这句话一点也不假。这次赌得有点大了，压力好大

下周二去北京，OWASP，RSA的会议，期待能有一些收获。去年OWASP在上海做了一次交流，希望今年能做得更好一些

最近和公司同事在研究“WEB安全与用户体验”，比较搞的一个议题，要做得深入的话也比较难，慢慢来

BTW：公司招人，web安全方向，有意向的朋友可以联系下，谢谢 @dmgapp

 --EOF--

最近做的几个项目，因为这样那样的原因而处于停滞。过程中发现很多事情并不是想象中的那么容易，没有实际去尝试过还真不知道里面的深浅，在进行的过程中有太多了不可控因素了。没办法在初期就想得很透彻，也没办法完全按照预期来执行。不过所有的事情都是事在人为

因为下周要开始休假了，SE Report 估计要推迟到10月份了。对SE商用用户比较抱歉。看了前几天的反馈邮件，我这感动的一塌糊涂啊，内牛满面啊

生活依旧有条不紊的进行着，该向前的还在向前，该颓废的依然是颓废，时间还是在不停的转动，发发牢骚

• 第一集：《想做你的Code》
• 第二集：《让爱延长》
• 第三集：《幸福也需要敏捷》
• 第四集：《为爱Debug》
• 第五集：《让爱编译通过》
• ……

深深的情愫，淡淡的烦恼，他们是幸福的。