近日在做一些日志分析的时候，发现了数千次的来自 bom.php 的误报，一般来说也就直接忽略掉了（相对于数十亿的基数来说），但本着严谨的态度，我还是查了查这个文件，然后确实发现了一点有意思的事情，这是一起自动化的扫描。

bom.php 这个文件会泄露本地文件目录，并被用于扫描：

(部分扫描日志)

    写这本书的一个很重要的初衷就是，平时工作中缺少一本称手的参考书。遇到具体问题时，往往要去翻自己以往写的blog，或者是google查资料。因此想写这么一本书，把平时工作中的经验总结下来，把具体的技术细节整理出来，以便备查。

    所以这本书，没有忽悠人的内容哦，都是我的经验和心得，不然就把我自己也忽悠进去了。

    每个方案、每个技术点，我都自己验证过，所以是比较靠谱的结论。如果读的认真

虽然没讲技术细节，却是我自己最满意的一场演讲，因为终于讲清楚了什么是“云计算”，什么是“云计算安全”

这是我对云计算的理解，我对云计算安全的战略判断。这回可没有藏私哦，公司内部都没讲过的，老板也不知道我来讲什么，所以是“未阉割版”。

战略很美好，但能不能做出来还得两说，继续努力吧，竞争对手们也是。 

嗓子这两年来是越来越差了，连续讲10分钟，嗓子就会哑，所以一直在咳嗽，10分钟后明显声音都不太对了。

PPT也没有太多时间准备，

拙作《白帽子讲Web安全》这个月终于要与大家见面了。

今天朋友在china-pub上发现了这个接受预订的页面，然后告知了我。

http://product.china-pub.com/199115

“前言”是我自认为写的最满意的一篇，前后认认真真的修改了若干次，也写出了我很多真正想说

在做产品时遇到了一些问题以及我的看法，本来应该发在公司邮件组里，但想想发到这里效果更好，也可以和大家分享分享。

（本文没有歧视任何用户的意思，如措辞有些激烈，请谅解。）

首先摘录一段话：“乔布斯却坚信用户“不知道自己要什么”。当年，福特也曾有过类似的话——如果你问19世纪末20世纪初的人要什么，他们绝不会说是汽车，而会说我要一匹跑得更快的马。”

最近我们在做产品时

看图不说话。

来源：https://securosis.com/blog/implementing-dlp-integration-priorities-and-components

    随着这些年经历的人与事，原来的一些观点有的发生了变化。我决定把这些变化的观点小结一下，因为这会是件很有意思的事情。当然这些观点也许以后还会随着阅历的增长再发生变化，谁知道呢。

    WAF无用论

    在刚工作的头几年，安全界才刚刚提出WAF这

    写完这篇文章后，我犹豫了很长时间要不要发出来，因为其中的观点我觉得并不是特别成熟，我毕竟不是一个专业的产品经理。最近试用了一下迅雷的vip账户，感觉确实已经实现了我所想的一些东西，似乎也是走在这条路上的。

    在出发去机场前，还是决定把此文公开，也希望大家讨论，欢迎各种批评和建议。以下是正文。

    近两年来网盘产品逐渐兴起。除了一些以网盘为主业务的站点（如115.com、rayfile

    新书主要是站在甲方的立场，介绍web安全的方方面面。从攻击原理，到防御方案的设计经验。

    书名难取，原本我想取名叫《Web安全之道》，但主编认为这个题目太虚太大，所以目前暂定名为：

    主标题：《完美防线》

    副标题：《Web

    与上一篇一样，此文是2011 OWASP主题演讲的补充。本文中也会发布在演讲中提到的演示代码。如果读者对密码学不是很熟悉，请先阅读之前的两篇blog文章。

    Discuz!的authcode()函数是一个经典的流密码算法实现，di

    本文只是补充OWASP 2011上主题演讲的一些细节。想了解背景可以参考此PPT。

    由于时间匆忙，且家里发生了一些事情，所以这些都是2个月前的一些研究结果。代码也写得很粗糙，但基本能用。

描述

    在PHPWind 8.x 中

    似乎OWASP CN不会发布演讲PPT。所以放在这里。

    下个月还会去velocity大会讲一次，内容大同小异。

 http://www.slideshare.net/ph4nt0m/ss-10147512

    蛋疼，百度禁用了allownetwork，只能贴链接了。

    最近一年来很少写blog，主要原因是三个，一是一直以来在blog里说的，稍微带点技术的东西，因为可能未来在公司里用得上，所以不方便在blog上讲；二是最近转战微博了，也算是顺应潮流；三是最近一年多来，博文视点约我写了一本书，仅有的那么一点时间也要投入到写书大计中，实在没什么时间再写博客这种奢侈的东西。好在这本关于Web Security的书终于是快要写完了，在最近应该能够交稿，一共写了18章，第一次写书，没什么经验，还有很多不尽如人意的地方，但丑媳妇

    这两天利用喝下午茶的时间与同事一起就当前国际形势交换了意见，并对世界和平的进程进行了展望，当然也顺便聊了下关于云计算、云应用的事情。

    以下所述仅代表个人观点，因为在今天随便找十个人来问一问什么是云，估计会得到十个完全不同的答案。

    在”日”还是天上的那个火球，“草泥马”还是一种马的时代，“云”这个字眼还没有被搞臭，但在今天还敢站直腰板自称云的，估计只有

    昨天介绍了一下PHP中is_a()函数功能改变引发的问题，后来发现很多朋友不认同这是一个漏洞，原因是这是通过良好的代码习惯能够避免该问题，比如写一个安全的__autoload()函数。

    我觉得我有必要讲讲一些安全方面的哲学问题，但这些想法只代表我个人的观点，是我的安全世界观。