在twitter上问了一些朋友，大部分人都是这种情况。是不是blog以后要被围脖给取代了呢，不得而知。现在各大互联网公司都在做自己的围脖，基本上都比较类似，域名都是t.***。还是比较期待腾讯的，主要是他的域名（t.qq.com）够短、短地址（url.cn）够牛。sina是有名人做招牌，不知道腾讯又会走什么路线。各家都是各家的看法，不尽相同、褒贬不一。在twitter上看到，有很多人在调侃腾讯的用户有多少人知道URL是啥呢？地址找不见了，要瞻仰原文的到twitter上去搜索下吧。

最近VPS、VPN行业异常火爆，做这一块生意的朋友应该会不错，呵呵。这和我们的国情密不可分，前几天又听说.cn的米如果不提交个人信息的话就会直接被hold了。也怪不得godaddy在这个时间点支持alipay支付了，果然比我们这些民工看得远很多很多。说起这个翻墙，还有人专门为翻墙写了很多小诗（hELLoELL）比较有才，牛得一塌糊涂。你要相信twitter的用户群里什么人都有，要是他们能做到用户的群分化，那还真是不得了。

knownsec不愧是亚洲Success secrets of 20 top，牛X的IC总的scanv.com最近上线了，确实是不错。用黑锅的话说是，扫扫更健康。支持扫扫更健康。最近出来了很多有价值的paper，看都看不过来了，又要忙考试的事情，还没来得及细看，等月底吧，先好好考试。值得一说的是ben总在聊的安全团队。

纯属扯淡，先好好看书，好好考试。@amxku luoq.net

--EOF--

明天回老家过年去了，今年就只能上@twitter上聊了，来年再见

感谢朋友们这一年的关心和帮助，谢谢了

上周见到多年神交的蛋总(@x140dan)。蛋总这次来上海算是比较曲折。想走都走不了，火车走吧，没票；飞机吧，飞了一半又飞回上海了，比较杯具。

身边的朋友中上推的人多起来了，不过推上的新闻什么的还算是不错。前几天做了个t.sebug.net的反向代理，主要是为了SEO什么的，今天无意中一测试，这个地址竟然可以做api地址，直接上了。比较爽。速度也还不错，也比较稳定。没有自己api的朋友，可以用t.sebug.net这个做为api地址。@amxku

最近和朋友们吃饭的机会比较多，因此爱上了酸梅汤，一发不可收拾。。。。

说是比较容易，但是做起来就麻烦了。具体细节不说了。总之有点难度，还好我们公司的领导现在都还比较重视这一块，这就提供了很大的方便。@amxku

画了个图，共享下，没啥技术含量（根据公司的情况做了些删减），仅供参考，算是抛砖引玉吧。欢迎拍砖。

@amxku luoq.net

--EOF--

The SDL Quick Security References will help you better understand and address common attacks that may be affecting your software, Web sites, and users.

Overview

With the SDL Quick Security References (QSR), the Security Development Lifecycle (SDL) team introduces a series of basic guidance papers designed to address common vulnerabilities from the perspective of multiple business roles - business decision maker, architect, developer, and tester/QA. These papers will help you address a critical business problem now while moving you toward SDL adoption in the future.

PS：有些地方写得还不错，可以参考参考
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=79042476-951f-48d0-8ebb-89f26cf8979d

这鸟blog也没什么流量，也没多少人关注。不过转眼间，这个鸟blog也写了好几年了，哈哈，现在也就是发发唠叨什么的，所以说换域名也就无所谓了。这个域名现在还在国内，希望不要被直接干掉哦，我看到现在有很多网站就算已经备案了也有被干掉的。默默的祈祷吧。新域名luoq.net。

昨天在卓越上买了本JQuery的书，今天上午就到了。现在这速度还不错哦。在公司翻了翻，还不错，不过我也没有什么资格评论它的好坏，自己也是入门级。

继续我的唠叨。

年底了事情比较多，碌碌无为的忙碌。@amxku luoq.net

--EOF--

http://news.softpedia.com/news/Microsoft-Confirms-0-Day-IIS-Security-Vulnerability-130650.shtml

Microsoft Confirms 0-Day IIS Security Vulnerability IIS 6.0 Security Best Practices can help mitigate the threat.So far, the issue in question affects version 6 of IIS on a fully patched Windows Server 2003 R2 SP2; however, additional IIS releases might also be impacted.

再看看这个：

Microsoft rebuts IIS vulnerability claims
http://news.cnet.com/8301-1009_3-10422871-83.html

Microsoft has denied claims of a new vulnerability in Internet Information Services (IIS) 6, putting the blame instead on poorly configured Web servers.

真他奶奶的丫丫，就这两文章，把我们公司的同事给忽悠的一愣一愣的，谁让这鸟文章是E文写的呢！

2009年的上半年很无为。下半年一直比较忙碌，碌碌无为的忙碌。因为换了新的工作。

工作

从乙方到了甲方，从打游击到了每天蹲守，对我个人心理上也是一个质的变化。懒散惯了，突然一下要改变还真是比较不适应。

这半年来主要做了两件事情，一个是安全编码，培训，规范等等一系列的问题都要重新弄，比较繁琐，明年还将继续；一个是PCI-DSS的，虽然ONSITE做了，但是没有到QA哦，今天还打电话来沟通，搞不好我们这次的工作全都是白做了。郁闷。

其他

生活是还是老样子，这几天突然感觉自己胖了。总算是在进步中。感觉今年最大的变化就是家里突然多了好多书出来。都快没地方放了，不知道是好是坏。

CISSP，还在准备中，每天在上下班的路上听听录音，在公司和家里看看书，无比的枯燥。前几天做了套CCCURE的题，很郁闷的是正确率才60%不到，这个还得多多努力啊，再次感慨我的这鸟英文水平。主要是语言障碍，其他的只要努力看书、理解书中个内容应该是问题不太大。鸟英文。

祝大家有个阳光明媚的2010，共同期待2012吧，因为我们不知道我们不知道的，期待。

--EOF--

其实也没什么大事，事情也不多，只是跑来跑去，又担心地铁会挂掉，比较累，看看我整理的list：

8:40 起床
9:15 改PPT，明天上午公司开会要用的
10:15 PPT搞定了，出门，去浦东（在地铁上一直祷告，希望地铁不要挂，也让@twitter上的推友们一起帮我祷告）
11:40 到我哥哥家，帮他装系统什么的
12:30 吃中午饭（嫂子煮的饺子吃了吃）
12:50 继续装系统（我哥那本子光驱有点问题，有时间读不了盘，一个系统装了好几个小时。看来装系统也是个体力活。发现360又开始流氓了。）
13:40 系统终于是搞定了，打车去源深体育馆（竟然下雪了，跟司机师傅侃了一路，发现现在很多司机师傅都是愤青）
2:30 参加公司十周年年会（突然发现公司同事真他妈的有才，组织得还不错，个人运气不怎么好，阳光也没普照到我，唉！大家都在怀疑开发写的程序有问题，好像也没经过我们审计、安全部门测试。）
18:00 从浦东回家（继续祷告，希望地铁不要挂，看来祷告的人还真不少）
19:30 到一个朋友家（帮忙改代码）
22:00 继续改，我改，我改，我改改，改不死你……
22:50 终于改好了
23:00 吃晚饭， 回家睡觉

期间还接到了N个电话，好好的一天就这样完了。

有点丫丫的感觉。

一气之下都转到了国外，转移的过程算是比较顺利，因为代理商是认识的朋友，这样就比较容易的拿到了EPP码，不过在Approval的阶段是不怎么顺利，一等再等终于是通过了。终于是OPEN了，哈哈。

还在墙内的朋友们也赶紧行动吧。网上有很多具体过程的教程，就不啰嗦了。

博客也是好长时间没有打理了，最近事情比较多。今天终于的把PCI-DSS的onsite搞定了，但是还有些问题，还需要做进一步的改进，再等待QA的确认，希望是春节前能搞定这个事情吧。这个东西做起来还真是不容易，有个同事前几天说，最近每天做梦都是pci，哈哈，很是恐怖。

最近公司的web也发现了不少的问题，也感谢一些朋友的通报，感谢了。PS：答应给的礼物也一直没来得急去申请，到年底了大家都在忙，也不太好去打扰业务部门的同事，下周帮各位达人申请去，估计是现金券了，希望是尽量帮大家能多申请点吧。web安全的项目也被重新的提上了日程，SDL也被重新进行了定义。不错，有了点激情了。在接下来的日子里就是不停的开会，不停的讨论，不停的修订相关的文档、制度等等了。很多文档等等已经在弄了，今天画了一天的mindmanager，哈哈，中午也让neeao帮我看了看，大致的框架应该是没有什么问题了，下一步就是把各个节点进行实施了，任重而道远啊，哈哈。

有五个不同国籍的人居住在五栋不同颜色的房子，他们各有自己不同的心爱的动物（如马，绑马，狗等）喝不同的饮料，喝抽不同的香烟。现在已知：
1、英国人住在红房子里
2、西班牙人喜欢狗
3、绿房子的主人喜欢喝咖啡
4、乌克兰人喜欢喝茶
5、绿房子再白房子的右边（从读者的方向看，以下相同）
6、抽“万宝路”牌香烟的人养蜗牛
7、黄房子的主人抽“可乐”牌香烟
8、当中那栋房子的主人和牛奶
9、挪威人住在左边第一栋房子
10、抽“本生”牌香烟的人和养狐狸的人是隔壁邻居
11、抽“可乐”牌香烟的人和养马的人是隔壁邻居
12、抽“肯特”牌香烟的人和橘子水
13、日本人抽“摩尔”牌香烟
14、挪威人和蓝房子的主人是隔壁邻居

从以上的14种情况中判断：谁是喝水的人？谁是养斑马的人？

这两天去参加了OWASP(china)2009&ISF2009 峰会。感谢 Frank 提供的门票，哈哈。这次见到了很多朋友，也认识了不少的新朋友。议题涉及到的领域也比较广，有取证、web安全、漏洞挖掘、恶意软件分析等等。这次会议不像 xcon 一样有那么多精彩的插曲，哈哈，但或多或少有些收获。自己总结下。

现在做安全防护，已经逐步的在往主动的趋势去发展了。传统的防御方法主要是基于特征码识别技术，它在很多方面具有明显的滞后性。可以说已经有很多的互联网公司已经在很多方面取得了主导地位，而不是以前的被动防御了，就像在站点已经遭受到DDOS了，我们才去很被动的去防御，去上ANTI-DDOS的安全设备、做流量牵引等等。对于任何的攻击方式我们应该处于主导地位，才能把风险降低到我们的可控范围之内，这样也就达到了我们进行安全防护的目的。

不过，主动防御的实现也是建立在被动防御基础之上的，那么怎么来确定一个平衡点才是关键，也是我们需要去思考的问题。

11.jpg(缩略图)

9.jpg(缩略图)

8.jpg

7.jpg

6.jpg

4.jpg

3.jpg

2.jpg

1.jpg

最近培训比较多，接连几天除了培训还是培训，除了盒饭还是盒饭，呜呜。不过培训倒是还可以，有几个议题还比较吸引人。

QQ

经过前段时间对于QQ的折腾，最终还是宣告失败。不能意淫了，呵呵，不过也好，安安心心看书。

sebug-online

基于Python开发的一套在线扫描系统，目前最流行的攻击手法而言，SQL注入、跨站、表单绕过等等。本来开发已经基本完成了，在做UI了，但是前几天和IC总聊了聊，还是放下了，感谢IC总，呵呵。放下屠刀，立地成佛。

其他

最近在做PCI-DSS的东西，比较繁琐，努力学习，以前没接触过，新的东西。

Security_at_ctrip.com

如有任何关于携程旅行网安全方面的问题或建议，请联系我们，我们在确认后将附赠精美小礼品一份，非常感谢您对我们的帮助和支持.

我们是学习前人，感谢前人给我们在安全道路上指导和帮助。

e.g:
http://www.dedecms.com/plus/list.php?tid=10&pageno=9

系统用intval对$pageno的值进行了处理，但是intval处理过程中，如果为非正整数时，会赋值为0，系统就会出错。

没有对0进行过滤处理。

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '-15,15' at line 7 - Execute Query False! Select arc.*, tp.typedir,tp.typename,tp.isdefault,tp.defaultname,tp.namerule,tp.namerule2,tp.ispart,tp.moresite,tp.siteurl from `dede_archives` arc left join `dede_arctype` tp on arc.typeid=tp.ID where arc.arcrank > -1 And (arc.typeid='10' Or arc.typeid2='10') order by arc.sortrank desc limit -15,15