看图不说话。

来源：https://securosis.com/blog/implementing-dlp-integration-priorities-and-components

    随着这些年经历的人与事，原来的一些观点有的发生了变化。我决定把这些变化的观点小结一下，因为这会是件很有意思的事情。当然这些观点也许以后还会随着阅历的增长再发生变化，谁知道呢。

    WAF无用论

    在刚工作的头几年，安全界才刚刚提出WAF这

    写完这篇文章后，我犹豫了很长时间要不要发出来，因为其中的观点我觉得并不是特别成熟，我毕竟不是一个专业的产品经理。最近试用了一下迅雷的vip账户，感觉确实已经实现了我所想的一些东西，似乎也是走在这条路上的。

    在出发去机场前，还是决定把此文公开，也希望大家讨论，欢迎各种批评和建议。以下是正文。

    近两年来网盘产品逐渐兴起。除了一些以网盘为主业务的站点（如115.com、rayfile

    新书主要是站在甲方的立场，介绍web安全的方方面面。从攻击原理，到防御方案的设计经验。

    书名难取，原本我想取名叫《Web安全之道》，但主编认为这个题目太虚太大，所以目前暂定名为：

    主标题：《完美防线》

    副标题：《Web

    与上一篇一样，此文是2011 OWASP主题演讲的补充。本文中也会发布在演讲中提到的演示代码。如果读者对密码学不是很熟悉，请先阅读之前的两篇blog文章。

    Discuz!的authcode()函数是一个经典的流密码算法实现，di

    本文只是补充OWASP 2011上主题演讲的一些细节。想了解背景可以参考此PPT。

    由于时间匆忙，且家里发生了一些事情，所以这些都是2个月前的一些研究结果。代码也写得很粗糙，但基本能用。

描述

    在PHPWind 8.x 中

    似乎OWASP CN不会发布演讲PPT。所以放在这里。

    下个月还会去velocity大会讲一次，内容大同小异。

 http://www.slideshare.net/ph4nt0m/ss-10147512

    蛋疼，百度禁用了allownetwork，只能贴链接了。

    最近一年来很少写blog，主要原因是三个，一是一直以来在blog里说的，稍微带点技术的东西，因为可能未来在公司里用得上，所以不方便在blog上讲；二是最近转战微博了，也算是顺应潮流；三是最近一年多来，博文视点约我写了一本书，仅有的那么一点时间也要投入到写书大计中，实在没什么时间再写博客这种奢侈的东西。好在这本关于Web Security的书终于是快要写完了，在最近应该能够交稿，一共写了18章，第一次写书，没什么经验，还有很多不尽如人意的地方，但丑媳妇

    这两天利用喝下午茶的时间与同事一起就当前国际形势交换了意见，并对世界和平的进程进行了展望，当然也顺便聊了下关于云计算、云应用的事情。

    以下所述仅代表个人观点，因为在今天随便找十个人来问一问什么是云，估计会得到十个完全不同的答案。

    在”日”还是天上的那个火球，“草泥马”还是一种马的时代，“云”这个字眼还没有被搞臭，但在今天还敢站直腰板自称云的，估计只有

    昨天介绍了一下PHP中is_a()函数功能改变引发的问题，后来发现很多朋友不认同这是一个漏洞，原因是这是通过良好的代码习惯能够避免该问题，比如写一个安全的__autoload()函数。

    我觉得我有必要讲讲一些安全方面的哲学问题，但这些想法只代表我个人的观点，是我的安全世界观。

    今天看到云舒在群里贴的漏洞公告，原始的文章在

http://www.byte.nl/blog/2011/09/23/security-bug-in-is_a-function-in-php-5-3-7-5-3-8/

    后来查了下PHP官方的手册，这个问题是在PHP 5.3.7中更新了is_a()函数的功能。is_a()经常被用于条件判断。

    Padding Oracle Attack还是颇具威力的，ASP.NET的Padding Oracle Attack被Pwnie评为2010年最佳服务端漏洞之一。还是看 Juliano Rizzo and Thai Duong 的相关Paper。

    另外就是

阿里巴巴集团安全中心校园招聘日程安排及申请流程：

     http://www.joinaliyun.com/aliyun_01.htm

阿里巴巴集团安全中心校园招聘信息：

     http://www.joinaliyun.com/aliyun_02.htm

背景

    在2009年，Thai Duong 与 Juliano Rizzo 不仅仅发布了ASP.NET的padding oracle攻击，同时还写了一篇关于Flickr API签名可伪造的paper，和padding oracle的paper放在一起。因为Flickr API签名的这个漏洞，也是需要用到padding的。

    两年过去了

断更了两个礼拜，继续回来发图。

4.11号，今天的安排是看日出。

似乎每到一个地方都有个日出可以看。其实我一直向往的是去徒步的过程中看poon hill的日出，据很多攻略上描述，那里的日出非常美。但是由于没去徒步，所以只好选择去萨朗科看日出了。萨朗科就是费瓦湖前面的那个小山，海拔好像是1800多。

在旅馆里提前两天就和老板预定好了去萨朗科看日出的接送，总共400还是500卢比（具体忘了）。去萨朗科最好还是坐车，走过去比较远，还要爬山，凌晨很黑，不安全。坐摩托车也不太安全，建议还是包车。

早