第一次收到google adsense Support.

iso27001信息安全管理和内控体系是个交集，关于两者的不同点，考虑了一些，如下：
1.1 iso27001与sox内控的主要不同点
1、目的和关注点不同，内控涉及的信息系统范围和内容比安全管理体系(iso27001)小。
安全管理依据iso27001是国际标准，是为了保障组织系统安全，关注整体信息系统的完整性、保密性、可用性。
内控是为了满足美国证监会对上市公司财务报表数据真实性的要求，主要是针对与财务相关的系统，关注点在数据的真实性。

from:http://www.4v1.org/thread-487-1-1.html

» 阅读全文

我对跨站请求伪造（Cross Site Request Forgery，即csrf）技术有一定研究，但是对网站开发者应当采取的措施研究不深。这些日子在编写一个对用户和管理员（这些人对他们的任务并不明晰:P）有高度安全要求的分布式网站程序时，我被这个话题深刻的纠缠了。

针对这种情况，我必须考虑程序最终可能受到的各个方面的可能的攻击威胁。

给我最多麻烦的就是Session欺骗（或者csrf，你可以按照自己喜欢的方式称呼），因为这种攻击是完全以用户的身份，因此并没有百分百的可能性来防止它。

如果你对我刚才说所的Session欺骗并不太了解，那么你可以阅读：http://www.playhack.net/view.php?id=30

» 阅读全文

我不认为渗透是个技术活，就是体力活。他奶奶的。

现在国内大至也就是溢出，SQL注入，XSS攻击，远控，ARP，社工等等，不过也远远不只有这些。渗透也就是将这些玩艺儿巧妙的接合。怎么接合就是关键了。

渗透时要是多想想，对自己有点信心，离成功就不远了。

北京这鬼天气竟然下起雪来了，唉！！

发现自己现在技术停滞了。技术啊，还是要有交流才能得到进步啊！朋友们好像都在忙着赚钱了，呵呵，都忙。

以前转过BAOZ前辈的70,80"黑客"，写得是很实在。但是任何事情都是双面性的，不能只从单一的方面去分析。就说为什么现在出来交流技术的人越来越少了呢？因为这些东东已经成为了这群人吃饭的家伙了。别人怎么可能把吃饭的家伙拿出来交流呢。这帮人绝大部分是做为无业游民在四处转悠，又没什么高的学历，可能他们除了会这点东东外，一无所有。

On February 9, zero-day exploit code [1] was posted on milw0rm site. It exploited
vulnerability in linux kernels Versions 2.6.17 to 2.6.24.1. This bug allows
an unprivileged local user to gain root privileges. This vulnerability was
assigned CVE-2008-0600.
There are reports that this exploit is reliable and actively used in the wild.
The inner workings of this exploit are quite interesting from the
technical point of view; let’s have a look.

» 阅读全文

在mysql执行show status，通常更关注缓存效果、进程数等，往往忽略了两个值：

Variable_name	Value
Aborted_clients	3792
Aborted_connects	376

通常只占query的0.0x%，所以并不为人所重视。而且在传统Web应用上，query错误对用户而言影响并不大，只是重新刷新一下页面就OK了。最近的基础改造中，把很多应用作为service运行，无法提示用户重新刷新，这种情况下，可能就会影响到服务的品质。

» 阅读全文

明天终于是可以回家了

但是上海这破天气，又下起雪来了。不知道明天能不能飞得了哦。郁闷。

祈祷天气好起来吧，不然这么多人还真是没有办法回家和家人团聚了。一年到头就希望能和家人团聚，回次家不容易。

祝大家新年快乐。