最近在公司忙sdl的东西，想把WEB开发这一块的流程等东西都按照sdl的一些思想给规范起来。

说是比较容易，但是做起来就麻烦了。具体细节不说了。总之有点难度，还好我们公司的领导现在都还比较重视这一块，这就提供了很大的方便。@amxku

画了个图，共享下，没啥技术含量（根据公司的情况做了些删减），仅供参考，算是抛砖引玉吧。欢迎拍砖。

@amxku luoq.net

--EOF--

很猥琐的submitjacking，在群里看到的。应该不是owasp里提到的clickjacking，但也挺有意思，OWASP会议上的Clickjacking可以看看刺写的OWASP会议上的Clickjacking。

可参见http://www.planb-security.net/notclickjacking/

我不认为渗透是个技术活，就是体力活。他奶奶的。

现在国内大至也就是溢出，SQL注入，XSS攻击，远控，ARP，社工等等，不过也远远不只有这些。渗透也就是将这些玩艺儿巧妙的接合。怎么接合就是关键了。

渗透时要是多想想，对自己有点信心，离成功就不远了。

北京这鬼天气竟然下起雪来了，唉！！

发现自己现在技术停滞了。技术啊，还是要有交流才能得到进步啊！朋友们好像都在忙着赚钱了，呵呵，都忙。

以前转过BAOZ前辈的70,80"黑客"，写得是很实在。但是任何事情都是双面性的，不能只从单一的方面去分析。就说为什么现在出来交流技术的人越来越少了呢？因为这些东东已经成为了这群人吃饭的家伙了。别人怎么可能把吃饭的家伙拿出来交流呢。这帮人绝大部分是做为无业游民在四处转悠，又没什么高的学历，可能他们除了会这点东东外，一无所有。

by luoluo
luoluonet_at_yahoo.cn

javascript函数劫持，也就是老外提到的javascript hijacking技术。

» 阅读全文

inf不错的东东，可以过卡巴的主动，呵呵。

昨天见过一个数据库里是40位的加密散列,实际上还是md5加密,弄得我郁闷了半天。

以admin为例，admin的16位、32位散列：
7a57a5a743894a0e
21232f297a57a5a743894a0e4a801fc3
40位的是7a57a5a743894a0e4a801fc343894a0e4a801fc3,其实就是先用16位md5加密admin，再在后面添上32位MD5散列的后8位，最后把后16位散列[43894a0e4a801fc3]重复一下，就得到了40位MD5加密散列了。

弄了一晚上，终于把SEBUG完全转成了静态。

以后添加完成后就可以直接生成HTML了，不用再用伪静态了，呵呵。静态还是蛮好，就像轮回说的，就算数据库挂掉了，一样可以正常访问。

希望搜索引擎也会多多的光顾一些。也希望大家多多支持，谢谢CCTV，谢谢……