Author Archive

很久很久没有关注网络安全方面的信息了，偶然看到乌云被关了，于是看了下乌云的微博，看到了这个漏洞，本地测试了下无力巨大，找了个目标进行了测试可能数据量不够效果不明显。

攻击的原理很简单, 目前很多语言, 使用hash来存储k-v数据, 包括常用的来自用户的POST数据, 攻击者可以通过构造请求头, 并伴随POST大量的特殊的”k”值(根据每个语言的Hash算法不同而定制), 使得语言底层保存POST数据的Hash表因为”冲突”(碰撞)而退化成链表.
Read more

CSDN600W用户数据泄露，人人网500W用户数据泄露，最近接连的黑客泄露用户名信息的发生，也许有人会鄙夷那些黑客的毫无道德，也许有人会困惑为何黑客会如此短时间内泄露如此多的数据呢？

几百万数据的窃取无论从数据量还是时间跨度来看都非常专业，黑客完全不必公开这些数据去黑市卖一个好价格。在这个是简单发生这么一件事，所有的真相直指一件事情——网络实名制。在世界上唯一实行“互联网实名制”的韩国，所有大网站都要求用户用真实姓名和身份证号码进行注册。结果，2011年7月，韩国发生了前所未有的信息外泄案件。韩国SK通讯旗下的韩国三大门户网站之一Nate和社交网站“赛我网”遭到黑客攻击，约3500万名用户的信息外泄。泄露的用户信息非常详尽，包括用户名、名字、生日、电话号码、地址、加密的密码和身份证号码等。该案件涉及面广，几乎牵涉到了所有韩国网民。

想象一下，如果中国互联网业实行了网络实名制，那么这次大规模泄露事件将是何等恐怖？最近在Twitter上已经公布了中国互联网网络实名制的技术方案，预计明年将会正式开始。而正在这时，中国的黑客用自己的方式警告当局者——千万别一意孤行，否则后果不堪设想。

一年一度的圣诞节即将来临，你是不是在为圣诞节送什么礼物好而心烦呢？下面给你精心挑选出来的创意礼物，买一个送给心爱的Ta吧！

圣诞节创意礼物送女朋友

刮刮卡台历

刮刮上面有印刷黑色日期,下面有白色字，刮刮可以刮掉。要细细品味刮刮卡台历的各个细节，每处都体现了浓浓的爱意。

价　　格：38.00元

淘宝网购买地址： >点击进入
Read more

博客搬家了，原因只有一个，备案号被莫名其妙地取消了。

收到邮件的时候，很气愤，现在很平静，还是搬到了godaddy上，其他真的无话可说。

首先如果是中文网站不太推荐UTF-8，理由是UTF-8对中文支持不好，举个例子就是你在记事本里只输入私募两个字，保存后重新打开，你会看到什么？没错，乱码！

当然UTF-8也有UTF-8的好处，比如使用AJAX的时候默认都是UTF-8，这样就不需要转码了。

再者，gb2321和GBK，GBK对汉字的支持比gb2321要好很多，gb2321对于很多偏僻的汉字都不支持。比如琩、晿等，但是GBK全部都是支持的。

此外进行str_replace函数进行替换的时候使用GBK编码的话会，有时替换后会出现乱码，必须要先转换为UTF-8进行替换后在转换为GBK。当然如果一个字符串里面的汉子有简体又有繁体，那替换起来更麻烦。、

从上所述，如果你不介意某些汉字以乱码出现，那用UTF-8，你不怕麻烦那就用GBK。

晒晒IQ网入会测试是什么？

这是由晒晒IQ网建立一个高智商俱乐部，通过充满挑战性的俱乐部活动而使参加者的高智商获得承认、肯定和不断提高，并分享彼此的成功。

晒晒IQ网入会目的是什么？

为会员提供宝贵的智力刺激、交流和发展的机会，培养开发人的智力，致力于提供创新、有趣、有意义的内容。

晒晒IQ网会员都有什么样的特点？

除了高智商外，对于会员并没有其他要求，可以是不同的年龄、不同的职业。加入晒晒IQ网俱乐部的惟一途径就是参加在线智力测试并且从中脱颖而出。对于绝大多数参与者来说，参加入会测试只是为了给自己的心智予以一种激励，以及体验与同样聪明的人交流的快乐。因而大多数会员充满幽默感，热衷于交流和挑战。
Read more

一只脚踩扁了紫罗兰，紫罗兰却把香味留在那脚上，这就是宽恕。每年的12月6日对于我来说都是新年的第一天。

就目前人人网的内容来看，小学同学在晒孩子幼儿园的成绩，初中同学在晒宝宝，高中和大学同学在晒结婚，研究生同学在晒被子,而我只能晒晒IQ。

昨天做梦，梦见自己参加一场婚礼，而婚礼的现场大家正在进行密室逃脱，我也在拼命做智力题，但我不知道新娘是谁，也不知道新郎是谁。

优秀的女生就像连弩，只要你挂上了，如果手中没有几个无懈，过不了多长时间就会被抢走。不是失恋太痛苦，而是替代者不购好。女朋友就像制衡，你永远不知道下个会不会更好。找对象一定要找个学过器乐的，因为他们都靠谱。
Read more

文章写得有点晚，漏洞是前几天看到的。

漏洞大致情况是在人人网发布日志的时候，在插入图片地址的地方放入人人网登出连接。（如果想做点修饰的话，可以把地址转化为短地址），然后发表日志。所有浏览了该日志的用户全部都自动登出了。

我刚测了不到半小时，想看看还有什么其他的利用价值的时候，漏洞就被补上了。如果把地址换成新浪微博的登出地址，浏览后新浪微博也同样会被登出，应该请求图片的时候，访问了那个地址，把session给清空了，但其他操作都不能执行。

在物价与国际接轨的今天，连竞彩也要要开始和国际接轨了，就比如推出了这个竞彩足彩。

1、北单可以单选的，竞彩足彩的固定奖金模式必须2串1.

2、北单的SP值是根据用户投注比例自动生成的，竞彩足彩的SP值基本参照欧洲足彩公司开出的赔率，然后小幅低于这个赔率。

3、北单最后的奖金要乘以返奖率的（65%),而竞彩足彩不需要。

4、北单让球更多盘口更大，胜负平的SP值更为均等，竞彩足彩则相反。

纵上所述，可见竞彩足彩相比北京单场难度更小（让球少），奖金更高（不需要乘65%）。不过也并非如此，如果是多场串投得话（N>5）可能效果就不一样了，假设原本中了6场的赔率分别为a1、a2、a3、a4、a5、a6，北单的奖金为a1*a2*a3*a4*a5*a6*0.65，竞猜足彩则是0.9a1*0.9a2*0.9a3*0.9a4*0.9a5*0.9a6=0.53a1*a2*a3*a4*a5*a6 (不一定是0.9 可能是其他 这里就举个例子 因为他要略低于欧洲足彩公司赔率。)所以结论是北京单场适合多场串投，竞彩足彩最适合2串1.

想起以前有位老师说过，足彩可以当做投资组合中的一种，虽然目前为止还没有完全理解这句话，不过可以相信的是真是因为有了赌博才有了概率这门学问。

原本是两件毫无相关的事情，但偶然地发生在同一天，高智商和高德商让顿时觉得这两件很捉急。

1、那天园区请了一位专家进行了软件注册权方面的培训，了解了很多相关的政策。原来拥有了软件注册权就可以申请软件企业，就可以享受从盈利年开始免2年所得税，第3年所得税减半的优惠，此外申请注册权当年的软件开发员工的个人奖金可以免个人所得税。是不是觉得这个政策很不错？是的，我也是这么觉得的。但是捉急的地方在于在中国统一个政策在各个部分执行起来口径却是不同的，税务局偏偏不会从你盈利年开始，而是直接从你获得认证那年开始，即使你前几年都是没有盈利的。正所谓屁股决定脑袋，谁管你是死是活，尽可能地多收税也算是天朝的一大特色吧。
Read more