忙碌是一种幸福:)
秀下我的Swiss Champ
[
2008/06/29 18:45 | by bigfee ]
2008/06/29 18:45 | by bigfee ]
"冠軍刀王" 33 用 瑞士刀
Swiss Champ #1.6795.2
聞名全球的瑞士百年大廠VICTORINOX創立至今,研發出無數膾炙人口的多功能瑞士刀,它的足跡遍佈世界各角落,33多功能瑞士冠軍刀王是一款無論在功能及應用範圍上最為寬廣的型號。適合野外求生、旅行探險、渡假或宿營駐紮甚至遠征,無所不在的足跡讓您在生活中不知不覺便產生對它的信任及依賴。
它精巧的設計及全面的功能能應付各種狀況,是最為理想的裝備;不僅如此,它還是瑞士軍刀的經典代表,同時被紐約現代藝術博物館、慕尼黑應用藝術博物館,按 "世界設計經典"收藏。擁有它,您也與有榮焉。
本款刀片為防鏽鉻鉬鋼,外殼握柄為美國進口之賽璐璐亮面塑膠片材質,有絕佳的絕緣效果,亮眼的藍色,突破傳統的紅,讓您耳目一新;搭配精美的原廠LOGO尼龍套,攜帶上更顯便利。
* 註:凡於瑞格華公司購買之瑞士刀,都享有永久售後服務,項目如下:1. 免費磨大刀、小刀、剪刀;2. 免費更換牙籤、小鑷子、剪刀彈簧、鉗子彈簧;3. 免費清潔、保養、上油;4. 免費刻字。
型號:1.6795.2-Swiss Champ
从前听老师讲,厂家在生产一个产品的时候,会故意让这个产品会多少存在一些缺陷,然后在下一代产品中会略微对缺陷进行弥补,但弥补的同时又会故意暴露新的缺陷……这样,无论厂家生产多少代,总不会有完美的产品出来~但就是这样,才会吸引消费者不停得往里面砸钱……
弟弟送我了个ipodclassic,160g的,用起来超爽,但用着用着,发现ipodclass功能稍微少了点,幻想为什么ipodclassic不把收音、摄像、录音……功能集中在一起……按苹果公司的能力,完全可以做到的呀~后来经搜索了下苹果公司的配件后,我明白,苹果公司真是太会挣钱了!这些功能它都想好了,但要实现就要你花钱去买配件,比如:
想听收音机,需要ipod radio remote
想录音,需要TuneTalk
……
哎。。。哎。。。还是那句话,苹果公司太会挣钱了……
弟弟送我了个ipodclassic,160g的,用起来超爽,但用着用着,发现ipodclass功能稍微少了点,幻想为什么ipodclassic不把收音、摄像、录音……功能集中在一起……按苹果公司的能力,完全可以做到的呀~后来经搜索了下苹果公司的配件后,我明白,苹果公司真是太会挣钱了!这些功能它都想好了,但要实现就要你花钱去买配件,比如:
想听收音机,需要ipod radio remote
想录音,需要TuneTalk
……
哎。。。哎。。。还是那句话,苹果公司太会挣钱了……
跨站脚本漏洞导致的浏览器劫持攻击[转]
[ 2008/06/21 20:56 | by bigfee ]
2008/06/21 20:56 | by bigfee ]
|=———————————————————————————————–=|
|=—————–=[ 跨站脚本漏洞导致的浏览器劫持攻击 ]=—————–=|
|=———————————————————————————————–=|
|=————————————-=[ By rayh4c ]=————————————=|
|=——————————-=[ rayh4c@80sec.com ]=—————————-=|
|=————————————————————————————————=|
原始来源:http://www.80sec.com/relea...
0×00 唠叨两句
网上看见很多人研究跨站脚本漏洞,好像跨站脚本漏洞已经成为Web安全中的一大热点了,但实际上很多人并不了解这一漏洞能造成什么程度的危害,某同 学曾经报过一个参数类型的URL链接XSS给某程序,被厂商鄙视了下,说这种漏洞有什么用,只能弹个框给自己看,最后一笑了之。
0×01 题外科普
跨站脚本漏洞主要分为两类:
一类是存储型XSS,主要出现在让用户输入数据,供其他浏览此页的用户进行查看的地方,包括留言、评论、博客日志和各类表单等。应用程序从数据库中 查询数据,在页面中显示出来,攻击者在相关页面输入恶意的脚本数据后,用户浏览此类页面就可能受到攻击。另外一类是参数型XSS,主要是将脚本加入URL 地址的程序参数里,参数进入程序后在页面直接输出脚本内容,用户点击类似的恶意链接就可能受到攻击。传统的XSS攻击都是盘算如何盗取客户端 COOKIE,然后劫持客户端和WEB服务端的会话,其他还有利用XSS进行网络钓鱼的攻击方法,这类攻击都是针对客户端进行攻击,而近年流行的XSS WORM攻击方式,是通过AJAX技术把恶意的XSS数据感染到每一个用户,可以对WEB服务造成很大的影响,间接实现了对WEB服务端的攻击。
|=—————–=[ 跨站脚本漏洞导致的浏览器劫持攻击 ]=—————–=|
|=———————————————————————————————–=|
|=————————————-=[ By rayh4c ]=————————————=|
|=——————————-=[ rayh4c@80sec.com ]=—————————-=|
|=————————————————————————————————=|
原始来源:http://www.80sec.com/relea...
0×00 唠叨两句
网上看见很多人研究跨站脚本漏洞,好像跨站脚本漏洞已经成为Web安全中的一大热点了,但实际上很多人并不了解这一漏洞能造成什么程度的危害,某同 学曾经报过一个参数类型的URL链接XSS给某程序,被厂商鄙视了下,说这种漏洞有什么用,只能弹个框给自己看,最后一笑了之。
0×01 题外科普
跨站脚本漏洞主要分为两类:
一类是存储型XSS,主要出现在让用户输入数据,供其他浏览此页的用户进行查看的地方,包括留言、评论、博客日志和各类表单等。应用程序从数据库中 查询数据,在页面中显示出来,攻击者在相关页面输入恶意的脚本数据后,用户浏览此类页面就可能受到攻击。另外一类是参数型XSS,主要是将脚本加入URL 地址的程序参数里,参数进入程序后在页面直接输出脚本内容,用户点击类似的恶意链接就可能受到攻击。传统的XSS攻击都是盘算如何盗取客户端 COOKIE,然后劫持客户端和WEB服务端的会话,其他还有利用XSS进行网络钓鱼的攻击方法,这类攻击都是针对客户端进行攻击,而近年流行的XSS WORM攻击方式,是通过AJAX技术把恶意的XSS数据感染到每一个用户,可以对WEB服务造成很大的影响,间接实现了对WEB服务端的攻击。
下班运动完毕,洗完澡,开始了回家的行程~单位离家有段距离,最快只要55分钟就能到了,最慢要花费2个小时.突然想起小时候,傍晚的时候,会和好朋友们在大柳树下乘凉,打弹子.....即使蚊子咬得身上一大块一大块包也不舍得离开~想想现在的生活,每天在单位与家之间不停的奔波,生活变得如此地单调.........于是决定用最慢的方式回家,不去赶车, 不去想工作,不去想感情,不去想所有的所有,把手机关掉,享受这难得的平静.....
已经有两天没用电脑了,手痒痒,心痒痒,第一次这么渴望着去上班,匆忙来到单位以后,美美的上了一天的网,这一天里,大脑都处于极度兴奋的状态(说明下:不是打游戏、聊天的兴奋= =!),似乎现在的状态超好,碰到的好几个技术方面的难题都在今天里解决了,而且是将一种很老的技术加以拓展、变化,衍生出一种新的更强大的技术。提醒下自己,以后千万不能因简单就嗤之以鼻,往往简单中蕴涵着很多不简单的东西~
最近对发送垃圾邮件小做了点研究,发现现在发送垃圾邮件的软件自定义化越来越明显,可选择性也越来越多,特别使用特定的模版或者特定的主题列表库进行更换,或者使用多个邮件服务器进行轮换,这使得现在邮件服务器对屏蔽垃圾邮件似乎没有什么特别有用的办法,这或许也是垃圾邮件泛滥的原因。
网上对垃圾邮件现在的发展趋势特定做了个分析,貌似就是我上面说的一种书面话的语言吧,估计写论文的朋友可以用到,呵呵~:
同时,现在越来越多的人打着营销的旗帜开始制作推销邮件群发工具,购买这种软件还是有着一定的市场,买一个正式版用一年大概需要400块不到点……哎……暴力呀!于是和飞竹同学找了下,终于找到一个国外的免费版本的,可能用起来没有这个国内的版本这么傻瓜化,但自定义程度却是非常的高,测试了下,发送成功率也是相当的高。但为了净化所谓的网络环境,我还是把相关的使用方法及软件名字藏起来吧,呵呵~同时说下,貌似在国外发送垃圾邮件是要坐牢的哦~
但是,如果大家一定要发的话,我这有个变通的方法,用gmail发送,web方式下大概一个邮箱一天能发400封……具体如何灵活使用就要看大家自己了~最后补充下,gmail虽好,但也不要乱用哦~呵呵
网上对垃圾邮件现在的发展趋势特定做了个分析,貌似就是我上面说的一种书面话的语言吧,估计写论文的朋友可以用到,呵呵~:
引用
l 智能型垃圾邮件(多种技术综合应用,变得越来越智能)
l 样本多样化,随机化
l 复杂图片合成技术、复杂附件技术的应用
l 样本多样化,随机化
l 复杂图片合成技术、复杂附件技术的应用
同时,现在越来越多的人打着营销的旗帜开始制作推销邮件群发工具,购买这种软件还是有着一定的市场,买一个正式版用一年大概需要400块不到点……哎……暴力呀!于是和飞竹同学找了下,终于找到一个国外的免费版本的,可能用起来没有这个国内的版本这么傻瓜化,但自定义程度却是非常的高,测试了下,发送成功率也是相当的高。但为了净化所谓的网络环境,我还是把相关的使用方法及软件名字藏起来吧,呵呵~同时说下,貌似在国外发送垃圾邮件是要坐牢的哦~
但是,如果大家一定要发的话,我这有个变通的方法,用gmail发送,web方式下大概一个邮箱一天能发400封……具体如何灵活使用就要看大家自己了~最后补充下,gmail虽好,但也不要乱用哦~呵呵
最近在交大听课,虽然老师讲的内容很浅,但时不时脑子中会冒出很多新的思路,其中老师提到了一个叫“应答/挑战”的东西。
网上搜了下,找了个最浅显的解释放在这,他讲的跟老师一语带过讲的内容实质差不多
顾名思义,基于挑战/应答(Challenge/Response)方式的身份认证系统就是每次认证时认证服务器端都给客户端发送一个不同的"挑战"字串,客户端程序收到这个"挑战"字串后,做出相应的"应答",以此机制而研治的系统.
认证过程为:
1) 客户向认证服务器发出请求,要求进行身份认证;
2) 认证服务器从用户数据库中查询用户是否是合法的用户,若不是,则不做进一步处理;
3) 认证服务器内部产生一个随机数,作为"提问",发送给客户;
4) 客户将用户名字和随机数合并,使用单向Hash函数(例如MD5算法)生成一个字节串作为应答;
5) 认证服务器将应答串与自己的计算结果比较,若二者相同,则通过一次认证;否则,认证失败;
6) 认证服务器通知客户认证成功或失败。
以后的认证由客户不定时地发起,过程中没有了客户认证请求一步。两次认证的时间间隔不能太短,否则就给网络、客户和认证服务器带来太大的开销;也不能太长,否则不能保证用户不被他人盗用IP地址,一般定为1-2分钟。
密钥的分配和管理:
密钥的分配由维护模块负责,当用户进行注册时,自行设定自己的口令字。用户的密钥由口令字生成。
一个口令字必须经过两次口令字检查。第一次由注册程序检查,强制口令字必须有足够的长度(如8个字符)。口令字被加密后送入数据库中,这个口令字标记为' 未检查的'。第二次,由离线的口令字检查工具进行检查,将弱口令字进行标记,当下一次用户认证时,认证服务器将强制用户修改口令字。
密钥的在线修改由认证服务器完成,它的过程与认证过程基本类似。
这样的认证过程是安全的吗?我认为安全是相对的。如果有人在服务器和用户之间动了点手脚,比如说伪造成为一个中间人,比如说对服务器及用户进行欺骗。那么,这样的安全防范没有任何意义。但事实上,真要做伪造成一个中间人是很难很难的。所以……相对而言这样的“挑战/应答”还是安全的……
网上搜了下,找了个最浅显的解释放在这,他讲的跟老师一语带过讲的内容实质差不多
引用
顾名思义,基于挑战/应答(Challenge/Response)方式的身份认证系统就是每次认证时认证服务器端都给客户端发送一个不同的"挑战"字串,客户端程序收到这个"挑战"字串后,做出相应的"应答",以此机制而研治的系统.
认证过程为:
1) 客户向认证服务器发出请求,要求进行身份认证;
2) 认证服务器从用户数据库中查询用户是否是合法的用户,若不是,则不做进一步处理;
3) 认证服务器内部产生一个随机数,作为"提问",发送给客户;
4) 客户将用户名字和随机数合并,使用单向Hash函数(例如MD5算法)生成一个字节串作为应答;
5) 认证服务器将应答串与自己的计算结果比较,若二者相同,则通过一次认证;否则,认证失败;
6) 认证服务器通知客户认证成功或失败。
以后的认证由客户不定时地发起,过程中没有了客户认证请求一步。两次认证的时间间隔不能太短,否则就给网络、客户和认证服务器带来太大的开销;也不能太长,否则不能保证用户不被他人盗用IP地址,一般定为1-2分钟。
密钥的分配和管理:
密钥的分配由维护模块负责,当用户进行注册时,自行设定自己的口令字。用户的密钥由口令字生成。
一个口令字必须经过两次口令字检查。第一次由注册程序检查,强制口令字必须有足够的长度(如8个字符)。口令字被加密后送入数据库中,这个口令字标记为' 未检查的'。第二次,由离线的口令字检查工具进行检查,将弱口令字进行标记,当下一次用户认证时,认证服务器将强制用户修改口令字。
密钥的在线修改由认证服务器完成,它的过程与认证过程基本类似。
这样的认证过程是安全的吗?我认为安全是相对的。如果有人在服务器和用户之间动了点手脚,比如说伪造成为一个中间人,比如说对服务器及用户进行欺骗。那么,这样的安全防范没有任何意义。但事实上,真要做伪造成一个中间人是很难很难的。所以……相对而言这样的“挑战/应答”还是安全的……
四川地震,因为我们服务器在四川,所以我们boofee随着地震也无法访问了....不过在2008年5月23日终于恢复了...纪念下
