在twitter上问了一些朋友，大部分人都是这种情况。是不是blog以后要被围脖给取代了呢，不得而知。现在各大互联网公司都在做自己的围脖，基本上都比较类似，域名都是t.***。还是比较期待腾讯的，主要是他的域名（t.qq.com）够短、短地址（url.cn）够牛。sina是有名人做招牌，不知道腾讯又会走什么路线。各家都是各家的看法，不尽相同、褒贬不一。在twitter上看到，有很多人在调侃腾讯的用户有多少人知道URL是啥呢？地址找不见了，要瞻仰原文的到twitter上去搜索下吧。

最近VPS、VPN行业异常火爆，做这一块生意的朋友应该会不错，呵呵。这和我们的国情密不可分，前几天又听说.cn的米如果不提交个人信息的话就会直接被hold了。也怪不得godaddy在这个时间点支持alipay支付了，果然比我们这些民工看得远很多很多。说起这个翻墙，还有人专门为翻墙写了很多小诗（hELLoELL）比较有才，牛得一塌糊涂。你要相信twitter的用户群里什么人都有，要是他们能做到用户的群分化，那还真是不得了。

knownsec不愧是亚洲Success secrets of 20 top，牛X的IC总的scanv.com最近上线了，确实是不错。用黑锅的话说是，扫扫更健康。支持扫扫更健康。最近出来了很多有价值的paper，看都看不过来了，又要忙考试的事情，还没来得及细看，等月底吧，先好好考试。值得一说的是ben总在聊的安全团队。

纯属扯淡，先好好看书，好好考试。@amxku luoq.net

--EOF--

明天回老家过年去了，今年就只能上@twitter上聊了，来年再见

感谢朋友们这一年的关心和帮助，谢谢了

上周见到多年神交的蛋总(@x140dan)。蛋总这次来上海算是比较曲折。想走都走不了，火车走吧，没票；飞机吧，飞了一半又飞回上海了，比较杯具。

身边的朋友中上推的人多起来了，不过推上的新闻什么的还算是不错。前几天做了个t.sebug.net的反向代理，主要是为了SEO什么的，今天无意中一测试，这个地址竟然可以做api地址，直接上了。比较爽。速度也还不错，也比较稳定。没有自己api的朋友，可以用t.sebug.net这个做为api地址。@amxku

最近和朋友们吃饭的机会比较多，因此爱上了酸梅汤，一发不可收拾。。。。

The SDL Quick Security References will help you better understand and address common attacks that may be affecting your software, Web sites, and users.

Overview

With the SDL Quick Security References (QSR), the Security Development Lifecycle (SDL) team introduces a series of basic guidance papers designed to address common vulnerabilities from the perspective of multiple business roles - business decision maker, architect, developer, and tester/QA. These papers will help you address a critical business problem now while moving you toward SDL adoption in the future.

PS：有些地方写得还不错，可以参考参考
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=79042476-951f-48d0-8ebb-89f26cf8979d

这鸟blog也没什么流量，也没多少人关注。不过转眼间，这个鸟blog也写了好几年了，哈哈，现在也就是发发唠叨什么的，所以说换域名也就无所谓了。这个域名现在还在国内，希望不要被直接干掉哦，我看到现在有很多网站就算已经备案了也有被干掉的。默默的祈祷吧。新域名luoq.net。

昨天在卓越上买了本JQuery的书，今天上午就到了。现在这速度还不错哦。在公司翻了翻，还不错，不过我也没有什么资格评论它的好坏，自己也是入门级。

继续我的唠叨。

年底了事情比较多，碌碌无为的忙碌。@amxku luoq.net

--EOF--

http://news.softpedia.com/news/Microsoft-Confirms-0-Day-IIS-Security-Vulnerability-130650.shtml

Microsoft Confirms 0-Day IIS Security Vulnerability IIS 6.0 Security Best Practices can help mitigate the threat.So far, the issue in question affects version 6 of IIS on a fully patched Windows Server 2003 R2 SP2; however, additional IIS releases might also be impacted.

再看看这个：

Microsoft rebuts IIS vulnerability claims
http://news.cnet.com/8301-1009_3-10422871-83.html

Microsoft has denied claims of a new vulnerability in Internet Information Services (IIS) 6, putting the blame instead on poorly configured Web servers.

真他奶奶的丫丫，就这两文章，把我们公司的同事给忽悠的一愣一愣的，谁让这鸟文章是E文写的呢！

有点丫丫的感觉。

一气之下都转到了国外，转移的过程算是比较顺利，因为代理商是认识的朋友，这样就比较容易的拿到了EPP码，不过在Approval的阶段是不怎么顺利，一等再等终于是通过了。终于是OPEN了，哈哈。

还在墙内的朋友们也赶紧行动吧。网上有很多具体过程的教程，就不啰嗦了。

有五个不同国籍的人居住在五栋不同颜色的房子，他们各有自己不同的心爱的动物（如马，绑马，狗等）喝不同的饮料，喝抽不同的香烟。现在已知：
1、英国人住在红房子里
2、西班牙人喜欢狗
3、绿房子的主人喜欢喝咖啡
4、乌克兰人喜欢喝茶
5、绿房子再白房子的右边（从读者的方向看，以下相同）
6、抽“万宝路”牌香烟的人养蜗牛
7、黄房子的主人抽“可乐”牌香烟
8、当中那栋房子的主人和牛奶
9、挪威人住在左边第一栋房子
10、抽“本生”牌香烟的人和养狐狸的人是隔壁邻居
11、抽“可乐”牌香烟的人和养马的人是隔壁邻居
12、抽“肯特”牌香烟的人和橘子水
13、日本人抽“摩尔”牌香烟
14、挪威人和蓝房子的主人是隔壁邻居

从以上的14种情况中判断：谁是喝水的人？谁是养斑马的人？

这两天去参加了OWASP(china)2009&ISF2009 峰会。感谢 Frank 提供的门票，哈哈。这次见到了很多朋友，也认识了不少的新朋友。议题涉及到的领域也比较广，有取证、web安全、漏洞挖掘、恶意软件分析等等。这次会议不像 xcon 一样有那么多精彩的插曲，哈哈，但或多或少有些收获。自己总结下。

现在做安全防护，已经逐步的在往主动的趋势去发展了。传统的防御方法主要是基于特征码识别技术，它在很多方面具有明显的滞后性。可以说已经有很多的互联网公司已经在很多方面取得了主导地位，而不是以前的被动防御了，就像在站点已经遭受到DDOS了，我们才去很被动的去防御，去上ANTI-DDOS的安全设备、做流量牵引等等。对于任何的攻击方式我们应该处于主导地位，才能把风险降低到我们的可控范围之内，这样也就达到了我们进行安全防护的目的。

不过，主动防御的实现也是建立在被动防御基础之上的，那么怎么来确定一个平衡点才是关键，也是我们需要去思考的问题。

11.jpg(缩略图)

9.jpg(缩略图)

8.jpg

7.jpg

6.jpg

4.jpg

3.jpg

2.jpg

1.jpg

Security_at_ctrip.com

如有任何关于携程旅行网安全方面的问题或建议，请联系我们，我们在确认后将附赠精美小礼品一份，非常感谢您对我们的帮助和支持.

我们是学习前人，感谢前人给我们在安全道路上指导和帮助。

├─forumdata
│  ├─backup  //数据备份目录
│  ├─lang    //言语文件目录
│  ├─sebug_cache //数据目录
│  ├─templates  //模板
│  │  ├─admin  //后台模板
│  │  └─default  //前台模板
│  └─templates_c
├─image  //后台程序文件
├─images  //图片文件
│  ├─perate_img
│  └─sponsors
└─include  //程序文件
    ├─Chart
    ├─class
    ├─func
    └─jscript

后台是/admin.php
用户名和密码大家自己在admin.php里面自己改改吧。32位md5。

$admin['name'] = 'admin';
$admin['pass'] = '21232f297a57a5a743894a0e4a801fc3';

大家自己捣鼓吧!

======================================================================
版权声明

已经都共享了，就留点版权吧
虽然不是什么好东西，但是也请尊重下作者的劳动吧
======================================================================

1、说点什么

本站点的建立离不开一些朋友和组织的帮助,在此对他们表示感谢!
我们着眼于网络安全的学习和探讨,之所以开发SEBUG Security vulnerability Database是为了更方便的管理与收集国内外网络安全缺陷以及漏洞资料。如果您有任何问题和意见，请直接与我们联系s1 [at] sebug.net ,再次感谢您的支持!

2、结构
a、搜索
请在文本框内输入您要搜索的程序名称或是SSV ID,搜索该程序出现的各种漏洞，本系统暂不支持多关键词等逻辑功能。

b、信息上报
本系统提供了上报模块 [点击上报] ，需注册用户后才能提交上报信息，应选择信息类别[Exploits，Vulnerabilities]。其中（*）部分必须填写。在提交后，系统审计人员会对信息进行审核，在通过审核后，该信息才会显示在数据库中。

c、RSS输出
[RSS Mirror_1], [RSS Mirror_2] , 提供RSS输出。

d、Javascript调用
[Javascript] , 提供JS调用。

e、网站地图
[SiteMap] , 网站地图。

3、发展历程
2006年08月01日，SEBUG开始筹备阶段。
2006年08月13日，sebug.net 域名正式注册生效。
2006年08月18日，Bug Exp Search @BETA版发布。内容以管理与收集国内外网络安全缺陷以及漏洞资料为主。
2006年10月25日，SEBUG正式版发布。网站再次进行外观上的大改版，优化整理了部分代码，修补了若干安全隐患。
2007年7月，Bug Exp Search 正式更名为 安全漏洞信息库[SEBUG Security vulnerability Database]，简称 SSVDB。
2008年6月，SSVDB Forums 上线，信息安全技术交流平台，以讨论安全服务及其相关标准为主。
2008年7月，开始有更多的朋友关注和支持，SEBUG安全数据库重新整理了部分代码。数据库已达到10800余条记录。
2008年8月，“SEBUG Security vulnerability Database”很荣幸被国内知名杂志“黑客手册”采访，并且刊登封面。杂志详细的报道和介绍“SEBUG Security vulnerability Database”核心成员以及“SEBUG Security vulnerability Database”的发展史。
2008年10月，站点改版，从脚本到数据库都进行了重新设计。这次改版从形式到内容，都将是一个比较大的飞跃，站点有了很强的可扩展性。
2009年01月，关闭了SSVDB Forums。
2009年02月，启用了新的用户管理系统，沿用了以前的用户数据库。
2009年04月，重新整理了数据库结构。
2009年05月，添加appdir模块，更新数据库及网站架构。

4、感谢曾经对SEBUG做出贡献的人员(乱序)
4ngle、鬼仔、枫三少、王洁、Neeao、CDNunion、hqlong

5、声明
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

SEBUG开源是为了更好的发展，from the internet.for the internet 。

MD5: 38822BDC1E2E27A44D933234F0E42271
SHA1: C159FE37A13A41ED78761806126130E88484D644
CRC32: 8E0ECF01

sebug.rar (305.29 K, 下载次数:256, 上传时间:Thu, 09 Jul 2009 18:36:21 +0000)

20090511_170554.jpg(缩略图)

闲来无事看来下blog的Statistics，无意中发现了Planet的新地址（应该还在测试中，GAE架构的，不过被GFW的风险很大，看看刺头的），牛，赞一个。

发现大牛们都是用百度的空间，看来百度空间还真是深入人心啊。Planet所有的订阅地址中百度空间竟然占到了72%。不过百度空间确实还不错，简洁实用，最重要的是稳定。不是我能够点评的。

没事瞎扯淡，晚上去参加一个朋友的儿子的百日宴会。先恭喜下，希望这小子每天都快快乐乐的。

本笔记将透露：

渗透、术语、脚本、内网、溢出……各种攻击相关的手段和名词
总结、技巧、细节、亮点……不断变化的攻击思想

ASP、PHP、JSP等不同类型的脚本漏洞
ACCESS、MYSQL、MSSQL、ORACLE等不同类型的数据库缺陷
国内、国外已知和末知的渗透工具

前几天全是pst_WebZine_0x03，这两天满城都是＜黑客渗透笔记＞，我就不多介绍了。官方连接：http://www.nohack.cn/bbs/thread-96363-1-1.html

Gh0st控制端逻辑漏洞，Gh0st 发现漏洞一个逻辑漏洞，这些漏洞可以被用户利用，可以从被控端向控制端发送任意文件到任意位置。

---------- 

牛人们都开始捣鼓客户端了，很早就知道有人在捣鼓pcshare的，最近听说有人在捣鼓c/s的游戏客户端。

09果然是牛年。

不知道这个网关限制了什么，绕了半天，写个blog还真是不容易啊。

20090329_213111.jpg(缩略图)