山西新闻网的跨站漏洞
跨站漏洞其实就是利用JavaScript脚本的一种攻击,原理很简单,看如下代码:
|
1 |
<script language="javascript">alert("这是一个跨站攻击脚本");location.replace("http://zhangqian.me/");</script> |
有点做网站的基础的话,都知道这是一个很简单的JavaScript,一般用在网页中的信息提示,然后再转向其它页面的效果,就是这么一段简单的代码,就有着非常惊人的杀伤力。有些人可以用跨站攻击来出售流量,或者“抓鸡”等等危害性很强的攻击。
这种漏洞一般出现在留言中,由于在入库之前没有对客户端提交的数据进行合法性判断,致使漏洞有机可乘,当其他人访问了显示这条留言的页面时,又由于没有对HTML脚本进行过滤,致使直接执行了JavaScript脚本,直接转向了带有病毒或者木马的页面,从而感染病毒。这种攻击对于流量大的网站是非法可怕的。
所以如果有留言之类的客户端不需任何验证即向数据库添加内容的功能,在入库前要对客户端的数据进行严格的判断。我的方法是直接禁用HTML标签,即带有“<>”的全部替换为空,再使用UBB来实现简单的文字效果。当然,我在显示留言的时候又做了一次判断,以保证数据的绝对安全。
图为山西新闻网的跨站漏洞利用
12321存在的危险(漏洞)
今天中午手机刚开机,就收到两条诈骗短信,内容分别是:
尊敬的用户:您在情缘点歌台有一首歌及朋友留言未收取,请及时拨打101764182收听.本条免费.客服010-60535769.B
发信人:13165954628
汇到这个账号 邮政储蓄60602003 9200202020户名:蒋敬生 那个号停了 汇完给这个手机发个短信就行
发信人:15518669057
我还从来没有收到过这种诈骗短信,只是以前在博友的文章中看到提及过。隐约记着有个地方可以举报这些诈骗短信,所以吃过午饭后便在Google中查找举报方式——“12321网络不良与垃圾信息举报受理中心”,可以使用短信的方式直接转发诈骗短信至“12321”即可,格式:“发信人*短信内容”。
网站还提供“举报短信查询”服务,输入你的手机号,通过短信内容将验证码发送到你的手机上,然后再进行“举报短信查询”,很方便、很安全的一个功能。自己最近在做一个WAP的项目,想了解一些关于无线通信的东西,所以便看了看12321的这个给手机发送验证码的功能,结果就被我发现这个低级而且杀伤力大的“漏洞”了。
可以通过一个URL给任意手机发送任意内容的短信,只要12321不去查,甚至可以做成“短信群发系统”,最可怕的是发信人是“12321”。很容易被一些人用来搞一些非法活动,例如中奖信息、罚款通知等等诈骗短信。
这个“漏洞”我已经通过E-mail的方式给予了反馈,大家也不要再试图进行非法利用,很有可能因此你被12321叮住?!
山寨“开心网” 千橡理直气壮
昨天从“新浪科技频道”得知,沉默已久的“开心网(kaixin001.com)”已正式向法院提起诉讼,状告被业界戏称“山寨版开心网(kaixin.com)”持有方“千橡互动”不正当竞争,要求其立即停止使用近似网站名称,并公开赔礼道歉。
千橡对此发表了回应声明对此次诉讼表示遗憾,并保留追究相应方法律责任的权利。
“开心网(kaixin001.com)”由“北京开心人信息技术有限公司”于2008年3月份创办,并以其独特的营销和产品成为互联网行业中的一匹黑马,迅速成为人民最受关注的社交网站。
千橡给我的印象,其就是搞收购的一家公司,旗下“Donews”、“猫扑”、“校内”均以收购方式获得。有知情人透露,08年9月千橡曾向开心网提出巨资收购要求未果,于10月购得“kaixin.com”域名,并开通同样名为“开心网”的网站,当时“山寨”这个词又一次被迅速升华。
可怜的“开心网(kaixin001.com)”还在内测期间,就被千橡以相同的网站名称、相同的服务对象、相同的服务内容,甚至页面风格都那么相近的“山寨版开心网(kaixin.com)”给打了个措手不及。
千橡有猫扑、校内、DoNews的人气,还有其域名感觉要比kaixin001.com更直观,再加上其为山寨做的广告,足以以假乱真。人们是不是会认为“kaixin001.com”山寨的“kaixin.com”?!“不在沉默中爆发,就在沉默中灭亡”,一直保持沉默的开心网意识到了危机的存在,终于爆发了,一纸诉状将千橡告上法庭。
千橡倒是理直气壮,一点都没有感觉自己抄袭别人的意思。是个明眼人都能看出来,“开心网(kaixin001.com)”建成早于“山寨版开心网(kaixin.com)”,只有可能后来者抄袭前者,不可能前者抄袭后者;再退一步,我们看页面风格以及布局,和kaixin001.com几乎一样。本身互联网抄袭现象并不少见,但是千橡在互联网上有着决对的优势,山寨开心网凭借自己优势与开心网竞争,怎么能说是公平?
SEO优化:规范网站中的URL
SEO的目的无疑是让搜索引擎“喜欢”上你的网站,这样自然就达到了最终的目的——提高网站的访问量。那要想制作一个让搜索引擎“喜欢”的网站,就要去迎合搜索引擎的习惯,尽管搜索引擎的一些不符合正常逻辑的规则,你也要必须遵守。
今天我要谈的就是搜索引擎的一个不符合正常逻辑但又不得不遵守的规则——URL的大小写混写。可能有的朋友就要问了,URL的大小混写是什么意思?
|
1 |
<a href="http://zhangqian.me/Search.Asp?Part=Tag&TagName=%E6%90%9C%E7%B4%A2%E5%BC%95%E6%93%8E">搜索引擎</a> |
上面的HTML代码中的URL,其中便运用了大小写混写的方式。虽然大小写好像对静态网页或者大多数动态网页没有什么影响,但是对搜索引擎确有着很大的关系,所以网站程序员在开发程序时,最好不要使用URL大小写混写的方式。
URL大小写混写对SEO到底有着怎样的影响?我博客的URL采用的便是大小写混写的方式,虽然无论是大写还是小写,客户端显示的结果都一样,但是对于搜索引擎来说,如果URL有大小写的区别,搜索引擎会将其视为两个不同的URL地址,这将会搜索引擎对网页权值分配的流失。也就是说,如果别人转载了你的一篇文章,并在其文章中加上了你的链接,很有可能URL已经被程序或者人为改为了小写方式。如果搜索引擎在索引的时候,便会索引小写方式的URL,这样便使得搜索引擎认为你的网站中有重复的内容、重复的标题标记、重复的元说明等内容抓取错误,不仅影响页面的PR值,还会影响网站的整体质量。
URL大小写不同也直接影响着PR值的不同,所以在建网站的时候就应该重视这个问题,所有URL都使用小写方式,以免以后产生不必要的麻烦。
我的博客采用的是基于ASBLOG2.1为核心,然后经过自己扩展的程序,当时没出于网站整体质量考虑,没有修改。但上个星期在对网站进行重构时,我决定把大小写混写的URL全部改为了小写方式,之后便发现在“Google 网站管理员工具”的“内容分析”中发现了很多“重复的标题标记”错误。在网站管理员帮助论坛中试图寻求更好的解决办法,可直到现在也无人回复,所以只能等到搜索引擎对网站的重新索引了。
戒烟心得
还是那句话“戒烟其实很容易,意志坚定很重要”,只要你下定死的决定心来戒烟,肯定可以马上把烟戒掉。古人云:“世上无难事,只怕有心人”,只要下定决心并且为之不懈努力,再难的事情也能办得到。
说实话,这次戒烟完全是为了可以节省生活中的开销,本来就拿着一点点微薄的工资,再加上我现在身上的担子很重,所以戒烟也是无奈之举,尽管可以省出来的钱微乎其微。以前公司的经理时常说“省下的就是赚下的”,尽管我到现在也不同意这种说法,但为了攒钱不得不戒烟了。
因为这次戒烟的目的是出于省钱,所以并没有完全不抽烟,只是不会花钱去买,当然也不会问别人要。不怕众人笑话,晚上回到宿舍,我便拿父亲曾经种下的烟叶来抽。这些烟叶是我上个月回来时带过来的,当初没想要戒烟,就是想着在没钱的时候拿这些烟叶来解解烟瘾。
从小学的时候就开始抽烟,除了上次戒烟之外一直没有断过,没想到这次戒烟会如此顺利,决定戒烟后就再没有买烟抽过,倒是晚上回来的时候便拿烟叶卷一支来解解烟瘾,其实不抽也罢,只不过由于戒烟的目的,并没打算立马戒掉,以后烟叶抽完后也不打算继续买烟,然后从此以后便不再沾这东西了。
现在想来可笑,烟钱是省出来了,其他地方便又花销出去。其实也省不了多少,主要想借着这次戒烟来考验一下自己的自控力和意志是否坚定。
如果想戒烟的朋友,下定决定肯定可以戒掉,我的烟龄也不算短了,也便说戒就戒,主要是看自己有没有真正下定决定并且为之不懈努力。
Google强力驱动的免费企业邮局
今天从王志勇的博客看到了一篇日志,提及到“Google 企业应用套件“——提供7G免费企业邮局,自己也去申请了一个。基于Gmail应用程序的一个企业邮局,有多么强大就不多说了,至少可以免受垃圾邮件、病毒和其他与邮件骚扰,操作也非常方便,比起WinWebMail来好用多了。最重要的这个强大的邮局系统是完全免费的。
只要你拥有域名的控制权,就可以轻松的免费得到一个属于自己的企业邮局。Google Apps有强大的自定义功能,可以随意设置自己喜欢的域名(如:mail.zhangqian.me),设置完成后,只需要在域名控制面板中创建一个CNAME记录,并指向ghs.google.com。
Google Apps可以添加多个应用服务,邮件服务只是其中的一个,还可以添加一个网站的应用服务,不需要编写任何HTML代码,一键创建一个内容丰富的网站。
万网的速成网站、马坚的WinWebMail,与其花钱用这些,还不如免费使用谷歌的产品呢,谷歌真是太强大了。
谁来规范电视媒体广告
去年CCAV曝光了“搜索引擎竞价提名积弊”引起了不小的关注,百度、谷歌等搜索引擎服务提供商纷纷对虚假医药关键字进行了下架处理,然而做为现主流媒体的电视,其中的虚假广告却无人问津,尤其是地方电视台,虚假广告更是猖獗!
就拿我们忻州的电视台来说吧,一天到晚,除了广告还是广告。什么赵忠祥、高雄等等的演员明星,在不同的电视广告中都会看到他们的身影。这些电视广告大多数以“致富热线”、“健康访谈”、“人物专访”、“专题讲座”等的方式来迷惑电视观众,在广告中还会出现“演员”、“明星”为广告增添“色彩”,以便使电视观众很轻易便相信了广告中介绍的产品。
我肯定没有用过这些产品,但是其对产品进行夸大其辞,使用诱导的方法来吸引消费者,实在是不敢相信其产品的质量。
电视媒体广告中,好像只有CCAV的广告规范一些,很多地方台或者或少会有4、5个频道会涉及此类虚假广告。有的广告发布商看重的便是地方媒体对广告的监管力度弱,几乎不需要任何审核,所以便会同时在不同的地方台都做广告。因为相比CCAV,地方台的广告费也会便宜很多。这样铺天盖地的投放广告,怎么还骗不到几个无知的消费者
?尤其是很多农村的电视观众,有些还没有彩色电视,只能勉强的收看到地方台的电视节目,所以不得不天天看这些广告了。
虚假广告识别八法:
- 说的太绝对的别相信;
- 声称“专治疑难杂症”、“包治百病”、“无效退款”的别相信;
- 用专家、病例、患者做证明的别相信;
- 用部队、大学、研究院科研成果的名言宣传的别相信;
- 广告中只留电话的别相信;
- 没有广告批准文号的别相信;
- 街头路边散发的小广告别相信;
- 和其他产品的功效和安全性做比较的别相信。
ASP已经被淘汰了吗?
今年刚到太原的时候,我到太原市人才市场应聘了一次,想通过这个途径找一个待遇好点的公司。应聘的工作当然不会脱离我的专长,在人才市场转了一圈,看到两家公司招聘程序员的。前者说要招.NET程序员,后者则是让下午去应聘。
ASP.NET我没有接触过,也就没有准备应聘了,所以下午的时候我便到了另外一家网络公司。他们的办公面积大概在150平方米左右,大部分面积被有隔断的桌子占了,大概有20台电脑,这是我见过的硬件设备比较多的一个网络公司了。
面试的时候可能是公司的一个主管,问了下我以前就职的公司。后对我说:“我们只是想招个高级网管,负责一下局域网的维护以及维护曾经做过的一些ASP网站网站,待遇700元。其实我们要求ASP不用懂的太多,只要会点就行了,因为我们现在已经不使用ASP了,现在客户就主动要求使用ASP.NET开发网站,所以可能我们的工作不太适合你。”
我当时心里鄙视的很可以说,先不说ASP.NET与ASP相比哪个好,就他们的这种认识就很可笑,没有一点自知知明,自己ASP运用不好就不要说ASP被淘汰了。51啦便是ASP的,但是运行速度和稳定性都很不错;天涯社区也是ASP的,但是却很成功。
确实,网上关于ASP注入漏洞的文章不少,但这并不是ASP本身的漏洞,就算你用ASP.NET,如果语句写的不妥当,也会很容易产生注入。这只能说明ASP比较普及,因为ASP简单易学,所以关于ASP的漏洞人们便也研究的比较多。回想06年的时候,用挖掘鸡可以挖到一大堆有漏洞的站点,但现在几乎是没有了,程序员都知道了程序安全的重要性,所以比较常见的漏洞也就不会再存在。
去年的时候我问了一下海平一船为什么你们那里不用ASP,而用PHP来做网站呢。他的回答让我很吃惊:“ASP是微软的东西,要收费。”我这才明白了,在港澳地区和其他的部分国家,版权问题很敏感,再加上PHP、jsp、apache、mysql是开源的而且是跨平台的,所以就成了主流,并不是因为ASP安全性和稳定性不好而没有太多的人使用。
ASP不会成为主流,也不会被淘汰。
所以如果是要做中小型的网站,而且也不考虑跨平台,ASP已经够了,因为它低成本、投入少,完全可以用来完成一些小型的网站,如果数据库比较大,可以使用MSSQL数据库。如果考虑到跨平台,PHP+Mysql完全可以胜任。如果要做大型的网站,那们我建议使用JSP。
日记一则 09年4月5日
4月3日我便坐上了回家的列车,一路上想着父亲在世时的每一个情景。父亲在世的时候,我很少给家里打电话,也很少关心父亲的身体,现在心里感觉很愧疚,未能对父亲尽养育之恩。08年6月12日的时候我写过一篇“世上只有爸爸好”的日志,以感谢父亲对我多年来的养育之恩,可父亲不幸一病亡身。我曾经很幼稚的认为,我的父亲将不会有离去的那一天,可谁曾敢想,父亲竟离开的这么突然。
清明那天,我到父亲的坟上,和父亲讲了我在外面的生活,望父亲在天之灵可不为我担心。前几年我没在外地的时候,每到清明父亲便会带我一块去祖坟上拜祭祖先。现父亲已为尘为土,共天地存,我心中悲痛欲绝。父亲一生艰苦,为人忠厚老实,为什么好人就没有好报?
这次回去一点都感觉不到家的感觉,本想这次回去可以和妹妹谈谈她对将来的打算,也希望可以给妹妹开导开导,以尽做长兄的责任,但妹妹在愚人节那天又离家出走了。今天我到妹妹打工所在的酒店去寻找妹妹,但酒店的工作人员说她已经被开除了,但妹妹并没有回家。因明天还要上班,所以我也不能留下来继续找寻妹妹。妹妹现在是我唯一牵挂的人,但我这次回去也未能和她见面,妹妹的事现在让我最头疼,希望在父亲百日的时候她可以回到家,到时候我便可以和她好好谈谈心了。
谷歌音乐搜索 用语言搜索音乐
两个月前就听说谷歌正在研发一项全新的MP3搜索技术,即用“哼唱”的方式寻找想要的歌曲。这样就算你不知道歌曲的名称,只知道歌曲的部分节奏,也可以通过哼唱很轻松的找到你要找的音乐。这是一个很值得期待的全新的MP3搜索技术。
昨天在Google黑板报中得知,谷歌音乐搜索推出了一项名为“挑歌”的MP3搜索服务,可以通过音乐的节奏、声调以及音色等选项来搜索相关的歌曲,还可以选择歌曲的年代、流派和语言。体验了一下,效果还算可以。个人感觉不太实用,当想要搜索一个不知道名字的歌曲时,也很难确定歌曲的节奏、声调以及音色应该属于哪一类,不过可以很容易搜索到自己喜欢类型的歌曲。
谷歌音乐搜索 挑歌(图)
期待谷歌音乐搜索正在研发的“哼唱”搜索技术!