最近花了不少时间把《非诚勿扰》所有的视频都看了一遍，很有点意思。其实在此之前就在Youtube上看了很多集国外类似的交友节目《Take me out》。《Take me out》有很多国家都办过，大多在欧洲，有讲英文，德文，西班牙文的甚至还有日文的。

　　中国的《非诚勿扰》几乎就是照搬国外的《Take me out》。舞台形式，包括舞美场景，T形的舞台、背后的灯柱、面前的灯台都同出一辙；轮番出场的男嘉宾都是从柱型梯上降落，在现场众多女嘉宾面前展示自己；在环节设置上也是大同小异，包括才艺表演、互相提问回答、男生反选等，最终实现男女嘉宾的“双向选择”,达到男女约会成功的目的。对比了国内外的这些节目，散粉思考者觉得有些话实在不说不痛快。节目的形式很近，但是反映出来的本质东西却差得很远。《非诚勿扰》让我看到中国女人在择偶上赤裸裸的物质欲，而西方的女人在节目中表现出在交友中更注重的是兴趣和爱好等精神层面上的要求。

　　《非诚勿扰》让我们看到不少中国女人在择偶上表现的物质欲是那么赤裸裸，甚至到了以耻为荣还洋洋自得的地步。那个想在宝马车里哭的马诺，那个要找月薪 20万，张口豪宅闭口豪门的朱真芳就是这些物质女人的代表。真富豪怕的就是你只对他的钱感兴趣。所以如果她自己不走，或者不设个托给自己找台阶，那是肯定配不出去的了。而那个女博士，大学老师许贺，说自己没有什么大目标，就是找到个人平平淡淡过日子，人各有志也无可厚非。但是当那位小胖子30岁的“半个”千万富翁出现时，她却失态地当众痛哭流涕，急不可耐地说终于找到了。让人原本对她频频被拒的同情一下子换为鄙视了。不是不赞成找富翁，可是自己不上进，就想不劳而获的人太多了，连海归的女博士也被环境同化了。

　　节目中只要说‘我想跟女友一起奋斗’的男嘉宾都统统被拒绝。而英国小伙亚历山中文名叫王豆腐的人，当他说出自己当DJ 每天赚300时，很多灯灭。当展示到他为了环保，爱地球爱环境，平日有收集废品、变废为宝的习惯时，遭集体灭灯。乐嘉同学差不多是跳起来的逼问。你老爸干什么的？你老妈干什么的？你家缺钱吗？为什么要去捡垃圾？

　　可以想象，老外在听到这些提问的时候心里的诧异。为什么要提自己老爸老妈的工作还有经济状况呢。因为老外肯定不理解这是中国女人最为关心的事情。当知道他老爸是银行家，老妈是艺术家，人家并不差钱的时候，女孩们会不会为自己的“急躁”后悔？中外青年在择偶的标准上差距如此之大的确让人惊叹。《非诚勿扰》也让我们看到女嘉宾和王豆腐之间心灵财富的巨大落差。

　　如果说女人表现了对物欲的追求，而男人的表现也半斤八两和女人的要求很配，高尚不到哪里去，基本上还停留在貌的表层上，而且往往凭“第一印象”,坚持到最后。因而“女博士”外貌关过不去，自然就杯具了。我觉得许贺的杯具在于她内在太不自信，同时也太低调了，举手投足和言谈也没表现出一个博士的学识和气势。外貌的欠缺是可以通过气质弥补的，很可惜她没做到这一点，以为把自己要求降低了，姿态放低了，就会有人要了，最后却落得虎落平阳被犬欺。

　　《非诚勿扰》有一个环节上和《Take me out》很不同，充分体现了中国特色。那就是公开男嘉宾的收入。这在西方国家是属于隐私范畴的东西，在我们国家却可以大张旗鼓的彰显。这也说明了一个问题，我们国人的婚恋还基本上建立在男财女貌的基础上。我觉得比较可悲的一点是大家把女人要男人财力当作是理所当然的事情接受，而把兴趣爱好等没有摆到应有的位置。男人不忌讳显收入，对图他财而不是图他人的女人能欣然接受，因为看重的是对方漂亮的肉体而不是灵魂，女人呢也把自己作为交换产品，对物欲表现得赤裸裸。这现象说到底还是东方文化主导下男权社会的结果。虽然新中国成立后国家就赋予了妇女和男子相同的权益，但散粉思考者看精神和物质上真正的男女平等在中国还有很长的路要走。

(最后我解释一下什么是散粉思考者,散粉思考者是指能客观看待娱乐圈，客观看待明星，有自己的思想，不人云亦云的人。也就是不是娱乐圈明星的纯粉丝，崇尚独立思考，客观看待明星人物的人.这个是我百度出来的.)

阅兵式是阅兵，不是阅领导，你个2bccav，大半部分对着领导数，你简单交代一下台上站了几个人都是谁后就够了，别一直把镜头对着领导，
阅兵都开始了，仪仗队都开始走了，您还在拉近镜头，然后在匆忙之中切到仪仗队，停留个１０秒，紧接着又开始数领导。。。。您照领导没错，可你也别老照啊，人家领导也不愿意啊，人家能保持几个小时都是笑容满面，激情四射？看看你给那几个镜头，你说你给升国旗的方队给了几个镜头？就给前面拿旗的3个人镜头，而且还是同一角度的，你就不能来个45°角给方队么，人家训练了几个月白训练了？关键的仪仗队帅气的升旗过程都没看见，光听靴子砸地声音了。。。而且反复的在那给我插几个人在那鼓掌的傻镜头，你说要是偶尔来一下也就算了，你还来劲了，重复播个不停，那些人是您亲生父母？最最nb的是，想讨好领导还没那福分，切领导镜头的时候专逮着人家做动作的时候去拍，你这不自己找抽么？还有，您最最最牛逼的是，阅兵进行时，我期待已久英姿飒爽的女兵方队来了，你个 2b+sb，您先给咱hu主席一个严肃的镜头，然后立即切成女兵方阵，然后马上切成hu主席高兴拍手的镜头。。。你认为胡主席是什么人？。。。我当时都乐翻了。。我太佩服您的幽默和勇敢了

北京为了这阅兵牺牲了多少，大家辛苦得要命啊～您倒好，这么多资源让你利用，您却跟这一顿霍霍。。。说实话，阅兵的恢宏的气势我是一点没看出来，看到的竟是一些零零散散的业余镜头，而且我就纳闷了，您用个45度角度的拍摄能怎么了?非要从大正面或者大侧面拍，而且离了八丈远，我们能看见个p啊！！！最可恶的是海军的那段居然都没放就过去了。您对得起人家的辛劳和苦劳么？9月底那一顿忽悠，央视独家又是怎么怎么地，又是什么飞猫什么的，你飞猪吧你。。。瞅你那诡异的机位架设，nb的镜头切换，逆光拍摄还不补光.......额滴神啊，该看想看的全没看见，一些没啥关系的人聊天说话的镜头倒是不少。主席台下那个在一直变换的由人组成的字，您是到了也没让我们看见里面到底是怎样的。反倒不停用您那恶心的脑残创意，想玩个高端的---从一位哨兵的肩膀处的徽章将镜头慢慢切出去，然后对焦，哦，哎呀才发现人都走过去了，然后赶紧切个一堆人鼓掌的镜头敷衍。。。。您还能再傻点么？没那金刚钻能别揽那瓷器活么？还有，原本帅气的飞机编队，让你个废物拍的零零落落，连个镜头都拿不稳唉。。。最后我都基本没看了。。。。太次了。。不过大家是好样的，可惜让你丫个垃圾给毁了！！

还有，中间冷场多少次，半天不知道咋了，就是一个镜头，也没人说话，然后突然有个人冒出来：我宣布。。。。你大爷的，你连个流程都搞不懂没搞明白就敢出来瞎得色？tao哥在车上阅兵的时候，你TM居然敢给背后的TOSHIBA那么大的镜头。。。毫不避讳，你把领导当代言人么，还是咱们60大庆是东芝赞助的？你真牛比+2b。我很怀疑你有没有点导播基本的常识？搞不懂为什么这种人还能在糟蹋了08奥运之后再来糟蹋60大庆，我对CCAV真的很无语。。。。。
导播女人啊，而且长的不咋滴，人丑我不说啥，可你不能这样糟蹋咱们祖国的大寿啊，还是那句话，赶紧回家抱孩子吧！！！
末了，我严重同意您和奥运开幕式导播是亲兄弟，这一脉相承啊，这nb创意啊，这低劣水平啊，您对得起新中国60年么?垃圾玩意？

    俄罗斯总检察长办公室8月6日在其网站上发表声明说，下诺夫哥罗德地区的检察官正在对一起非法低价出售4架米格-31远程战斗机事件展开刑事调查，原本每架至少370万美元的飞机被卖到令人咋舌的5美元。 

    声明说，这些由下诺夫哥罗德的Sokol飞机制造厂制造并库存的战斗机被出售时并没有配上引擎和武器系统，不过即便如此，每架飞机最低也价值370万美元。

    联邦特勤人员和该地区检察官办公室的调查人员称，在2006年10月到2007年7月期间，联邦储备局伏尔加联邦地区分部的一些官员滥用职权，将这些战斗机写入该局要出售的资产名单中。

    当地一家评估公司将这些战斗机估价为每架约5美元，政府通过招标将飞机卖给了一家空壳公司Metalsnab，而这家公司没有资质进行军火或军事器材的交易。这笔交易给联邦财政带来巨额损失。 

    调查人员还表示，他们还无法确认参与这起交易的官员身份，现在这些战斗机的下落也还没有查到。 

    据悉，如果被认定有罪，涉案人员可能面临最高10年监禁的惩罚。

    不过Sokol飞机制造厂负责联络的副主管伊戈尔·切尔尼琴科6日告诉《莫斯科时报》，这些飞机仍然安全地保存在该厂内，他说：“他们已经在这里放了差不多20年。”他还否认该厂的官员卷入这起蹊跷的案件中。据报道，这家工厂是俄罗斯国营的联合飞机制造公司下属的一个工厂。

    米格-31战斗机是一种专为对付敌方的巡航导弹和轰炸机设计的远程高速截击机，速度快、载弹量大、截击能力强。原型机于1975年首飞，1979年投产，1982年形成战斗力，目前仍是俄罗斯空军主力战机之一。 

   看来是我们没遇上这么好的事情,要不我们也可以搞一架自己的飞机,5美元,也就40多块钱,太便宜了,比国美搞活动还便宜!

本文来源于：[H.S.T.]十六进制信息安全网官方网站     作者: hackest

此文转载于4ssass!n* 's Blog

真的是大开眼界了!乐山大佛也能唱歌!经典!

    近日，微软公司通过其Messenger支持博客公告称，自5月20日起，由于美国政府的禁令，微软将禁止生活在美国政府实施贸易禁令的国家的用户访问其Windows Live Messenger(即MSN)即时消息服务，微软发言人已经证实了公司采取的这个举措。

    目前，包括古巴、叙利亚共和国、伊朗、苏丹和朝鲜这五个国家用户登录Windows Live Messenger时，会出现如下错误提示：“810003c1：我们无法为你提供.NET Messenger服务”(见下图)。

    对此，国内知名电子商务研究与传播机构中国B2B研究中心认为，过去我们普遍认为的“互联网是没有国界” 的观点存在一定解读误区。从互联网内容分享上这话没有错，但从互联网的地域化应用及意识形态上，上述观点则是行不通的。而微软迫于美国政府的压力，关闭上述与美国政府关系“微妙”的五国的MSN服务，而这五国其中包括了两个社会主义国家。这恰恰说明了互联网无形存在的“国界”，互联网也具有浓厚的“意识形态”特征。
    这样看来,会不会我们有一天使用的windows也会遭到如此下场,结果不可质否.

　总原则：　　

　　a， 西服套装的颜色为整体形象的主色调，所以衬衫、领带、鞋子、袜子、皮带必须和西服套装的颜色相配，一般绝对不要超过三种颜色！！！

　　b，穿着条形或格子面料的西装，那么衬衫领带必须是无条形或格子的；穿着条形或格子面料的衬衫，那么西装领带必须是无条形或格子的；和领带也一样。

　　c，深色西装浅色衬衫，浅色衬衫深色西装。

　　d，皮肤黑的人不要穿黄色，皮肤白的人就没什么担忧的了。注意服饰的颜色必须和皮肤头发的颜色相和谐。

　西装：

　　细条纹面料比粗条纹大格子有品味；

　　长西装短夹克当购买套装时一定要注意实用性和性能价格比，比如你花2000买一件名牌服装，每个月可以穿8次以上连穿5年，不但穿着好看，而且性能价格比高（每天平均4块）；相反如果在路边花80块买一件质量差的衣服，穿3次后觉穿之无形弃之可惜，送给别人，别人又不要最后还是扔了，你说哪个合算？

　袜子：

　　深色袜子可以和任何颜色的衣服相配，但夏天呢，如果穿浅色的衣服，袜子颜色也可以浅一些，但是一定要略深于衣服颜色。把你鞋柜里的白色袜子扔了吧，如果你没有白色运动鞋！ 请不要用白色袜子搭配你的任何颜色的皮鞋！！！

　　袜子要包住小腿部位不能只到踝部 ，不要让人看见你的裸露的腿毛，如果是，这将是你最大的失败！

　　深色、精致、面料大方简单 ，花花的袜子留给女孩子去吧！

　衬衫：

　　那个男人没有几件白色的衬衫？白色为衬衫里的经典色，应该多买一些白色衬衫，也可以买一些如象牙色、灰色、浅蓝色等柔和色调的衬衫，浅色衬衫比深色衬衫更容易搭配！

　　长袖比短袖更正规，细条纹比粗条纹典雅，千万不要在西装里穿短袖的衬衫，天，多糟糕！

　　衬衫要熨好，如果是皱的，最好别穿了，再好的西服也会掉价的！

　　外套袖口到大拇指尖应该保持1/4英寸，衬衫袖口到大拇指尖保持3/4英寸----- 男人应该时时牢记在心的准则！

　　你要是想一天舒服的话，领圈就要留一定的空隙，90%的男士领圈都绷紧紧的，这样显得很臃肿，一天下来，不疼也给闷死！~

　　脖子短的人应该选择低领衬衫，长脖子应该选择相对高一点的领子

　　浅蓝色衬衫最上镜头，在电视采访或录象时穿最佳，你拍照别忘了~

　鞋子：

　　系带皮鞋更庄重正规，一脚登比较适合夹克衫和宽松装，请在正式场合穿系带皮鞋！

　　黑色的皮鞋可以配任何颜色的服装，可以在任何场合使用！

　　低跟皮鞋更有绅士风度，粗犷豪放的厚跟皮鞋只适用于另类！

　　不要让你皮鞋有灰，每两天擦一次鞋，锃亮的皮鞋给人感觉很酷，很有教养~

　领带：

　　灵魂就在这——深色、条纹花案小，简单的领带具有很高权威性，斜条、暗格、几何图形的领带更能让人接受，不要带那种飞机、坦克、高尔夫球图案的领带，如果你不是百万富翁！

　　1，如果是外表不甚复杂、颜色单纯的衬衫，则可与花色繁复、色彩多变的领带相搭配。

　　2，花衬衫已经极富变化感时，素色的领带才能跳脱出来，领带要是再加入战场一起花，只会产生眼花撩乱，找不到视觉重点的感觉。

　　3，格子衬衫，搭配小圆点的领带是不错的选择。

　　4，条纹衬衫配素面、斜纹、成规则布点的小花纹、圆点等样式之领带皆行的通。

　　5，这几年来时兴衬衫与领带同色系的搭配方式，则是领带比衬衫的颜色来的深沉，份量比较对些。

　皮带和背带：

　　皮带和鞋子颜色一致，最好和手表带一致，黑色皮带适用于任何颜色的服饰

　　皮带不要太宽或太细，太宽的适合牛仔，太细适合女孩子！

　　皮带扣应该大小适中，金色为最佳颜色，银色的也比较好！

　　背带应该颜色和服饰相配，背背带就不系皮带，不可同时，但如果你的腰不粗，我劝你不要用吧，中国人不适合！

　附属装饰品：

　　首饰应该少而精，越简单越好，不要珠光宝器 ，有品位和品味就在这了。

　　领带夹已经不在流行，不要用了！

　外套大衣和雨衣和雨伞 ：

　　外套大衣的首选颜色为蓝色、黑色、驼色、碳灰色，最好选羊毛质地，和西装不同颜色没什么关系！
 

2数据库安全
asp结合access数据库是最常见的，access数据库最大的缺点就是容易被搜索到，然后被下载，而暴露帐号和密码，防止数据库被下载的常见方法有如下几种，如果你有更好的方法请告诉我。我也是菜鸟·~~~~：
1．        将数据库改成自己都无法记住的BT名字。这种方法对爆库没用，而且使用google也有可能搜到数据库路径。
2．        在数据库名字中加#号或者%24=$等特区字符，利用URL编码特性防止下载。
3．        去掉后缀，不要扩展名，系统有可以解析成路径，从而无法下载，当然XP下测试是可以下载的，我的格式是fat32。其他系统没测试，有人测试了告诉我下，谢谢！
4．        加系统文件的后缀，如后缀改为.db，.temp等。听说系统是不允许下载这些后缀的文件的！
5．        在数据库中建立一个nodown的表，建立一个字段数据类型选择ole对象。
6．        网络上最常见的方法是，把数据库后缀改为asp等系统可以解析的后缀。

第6个是网络上使用的最多的方法，但是也不是完美的，如果别人可以通过留言等其他方法向数据库提交数据，那就危险了，如果别人提交<%execute(request("a"))%>到数据库，那么访问数据库就可以执行了此语句，这样可以执行提交的任意代码。
当然这个也是可以消除的，我们可以通过在ole对象中加入如<%loop <%loop <%1=2<%2=1这样的语句，让asp出错来防止下载。实现这种效果我采用两种方法实现过，一.
建立一个nodown的表，nodown的字段，类型选择ole对象，然后建立一个文本文件。里面的内容为<%loop <%loop <%1=2<%2=1，然后打开nodown表，选择nodown字段，右击选择插入对象，选择由文件创建，浏览对位到刚才建立的文本文件，加入nodown表中，然后把数据库改为asp后缀，在访问，发现出现如下错误：
Active Server Pages, ASP 0116 (0x80004005)
Script 块缺少脚本关闭标记(% >)。
/198816/dataasp.asp, 第 577 行
说明成功实现。这里nodown表一定要在其他表的前面，注意了！（我也不知道需要不需要）。
二．
使用asp代码，向数据库中增加nodown的表和字段，代码如下：
<%
db="data.mdb" ‘这里改成数据库的地址
Set conn = Server.CreateObject("ADODB.Connection")
constr="Provider=Microsoft.Jet.OLEDB.4.0;Data Source=" & Server.MapPath(""&db&"")
conn.Open constr
conn.execute(“create table nodown(notdown oleobject)”)
set rs=server.createobject(“adodb.recordset”)
sql=”select * from nodown”
rs.open sql,conn,1,3
rs.addnew
rs(“nodown”).appendchunk(chrB(asc(“<”))&chrB(asc(“%”)))
rs.update
rs.close
set rs=nothing
conn.close
set conn=nothing
%>
网上的方法还有很多，大体就这两种，我就不重复了。这里还有一点数据库的问题，就是删除掉大量数据后，数据库大小并没有改变，这里只要使用工具－〉数据库实用工具－〉压缩和修复数据库，就可以了！
我的设置如下：
密码设置复杂点，并且ＭＤ５加密，使用第一种方法加入nodwon表和字段，数据库后缀改为asp，名字改为%24#$%da#%ta@##%conn#.asp.
我觉得对于个人主页来说，已经比较安全了，但是安全不是绝对的.

3万能密码
这个就是传说中的'or'='or'了，虽然危害很大，可直接饶过后台验证，进入后台，但是确实是到处可见。
原理：
如都输入'or'='or'则如下语句为真，
sql="select * from admin where adminname='"&request.form("adminname)&"' and adminpass='"&request.form("adminpass")&"'"变成了
sql="select * from admin where adminname=”or'='or” and adminpass=”or'='or”
从而返回真，跳过认证。
利用：
后台帐号和密码都或使用一下一种：
1："or "a"="a
2： ')or('a'='a
3：or 1=1--
4：'or 1=1--
5：a'or' 1=1--
6："or 1=1--
7：'or'a'='a
8："or"="a'='a
9：'or''='
10：'or'='or'
11：最短的万能登陆密码 'or'1
12：'or 1 or'或'or''=''or'
还有其他很多！
防范：
有方法是过滤掉单引号，好象其他数据库里面还要过滤到单引号的其他编码。如：
dim name,Pass
name=replace(trim(request.Form("name")),"'","")
Pass=md5(replace(trim(request.form("Pass")),"'",""))
我的登陆验证还采用了，
ivcode=trim(request.form("ivcode"))，ivcode是写在配置asp文件中的变量，这样安全更好了，即使知道密码，存在这个漏洞，不知道定义的ivcode值，一样无法登陆后台！

4上传
上传这个漏洞比较难以理解，也许大家是多抓包，改包，nc上传不太熟悉，多练习几次就可以了。个人主页中有可以会用到上传各种文件，如rar，gif，swf，等这样必须为这些文件分类存放，这样在上传时选择上传类型，传递想对类型的路径给上传页面，大家是不是都很熟悉，呵呵，其实这样就形成了上传漏洞了！
原理：
一、        FilePath.此为变量，为上传页面传递到保存页面的变量，这里我们就可以修改其值该为asp□，然后利用服务器在读取这段变量时，因为“□”是二进制的00，服务器认为该变量语句已经结束了，于是“□”后面的字符也就被忽略掉了，这样一来，上传的文件就保存为了asp后缀了。
二、FileName.这里指可以上传修改了后缀为aaspsp ccerer等类型的asp文件，而饶过过滤和认证.得到shell.，还有通过很多方法饶过认证。还是那句话，我们不知道的并不表示不存在。
利用：
可以采取用WinSock抓包，然后用记事本保存提交数据并增加、修改相关内容，再用WinHex修改空格为二进制，最后用NC提交.建议使用上传工具直接上传！免的修改包的麻烦！
防范：
一.        路径定义为常量.
二.        过滤服务器可以解吸的文件类型，并且检测到上传危险文件则停止上传，并且定义只可以上传的类型！

5注入
首先我们在IE的“Internet选项→高级”中有一个“显示友好HTTP错误信息”的选项，取消前面的钩。这样才可以显示注入！SQL注入的漏洞通常是由于程序员对它不了解，设计程序时某个参数过滤不严格所致。通常通过在如show.asp？id=79后加单引号，如果出错则初步认定存在注入，然后加and 1=1 ;and 1=2，这里分辨两次提交的页面有不同没？如果有不同则判定存在漏洞！当然也有字符型和搜索型的，原理都差不多。网上说的太多了，我就不重复了，防范也一般网上都有防范注入的代码，下过来，包含到需要放注入的页面即可！

6跨站
一般都是带有象JAVAScript等这类脚本代码，这样在服务里一旦被执行就形成了所谓的跨站攻击了。一般来说对于人机交互行比较高的程序，比如论坛，留言版这类程序都比较容易存在跨站script攻击。所谓跨站脚本漏洞其实就是Html的注入问题，恶意用户的输入没有经过严格的控制进入了数据库最终显示给来访的用户，导致可以在来访用户的浏览器里以浏览用户的身份执行HTml代码.如<script>alert(’xss’)</script> <img src="javascript:alert(/xss/)" width=100>，这样的代码如果过滤的不是很好的话，直接放入数据库，再在浏览器里显示出来，就构成了跨站。个人主页用的最多的是自己写的留言本了，这里如果不加任何的过滤就直接放入数据库，那么就构成了跨站，通过<iframe src=”马地址”>就可以直接挂马！
防堵跨站漏洞，阻止攻击者利用在被攻击网站上发布跨站攻击语句，不可以信任用户提交的任何内容，首先代码里对用户输入的地方和变量都需要仔细检查长度和对”<”,”>”,”;”,”’”等字符做过滤；其次任何内容写到页面之前都必须加以encode，避免不小心把html tag弄出来。这一个层面做好，至少可以堵住超过一半的XSS攻击。所以防范数据的转换和过滤是可以在3个地方进行转换的，在接受数据的时候可以转换下，在进入数据库的时候可以转换下，在输出数据的时候也可以转换下.所以我们写留言本的时候，建议所有数据直接通过htmlencode转化再放入数据库，这样就万无一失了.

7session安全
在计算机专业术语中，Session是指一个终端用户与交互系统进行通信的时间间隔，通常指从注册进入系统到注销退出系统之间所经过的时间。具体到Web中的Session指的就是用户在浏览某个网站时，从进入网站到浏览器关闭所经过的这段时间，也就是用户浏览这个网站所花费的时间。因此从上述的定义中我们可以看到，Session实际上是一个特定的时间概念。一般来说，后台管理员在登录页面输入账号密码后，程序会拿着他提交的用户名密码去数据库的管理员表里面找，如果有这个人的账号密码就认为你是管理员，然后给你一个表示你身份的Session值；或者程序先把你的用户名密码提取出来，然后到数据库的管理员表里面取出管理员的账号密码来和你提交的相比较，如果相等，就跟上面一样给你个表示你身份的Sesion值。然后你进入任何一个管理页面它都要首先验证你的Session值，如果是管理员就让你通过，不是的话就引导你回到登录页面或者出现一些奇奇怪怪的警告，这些都跟程序员的个人喜好有关。个人主页很少使用cookie验证了吧？因为session验证比较安全，也比较方便。但是session也可以欺骗的，只是局限性比较大。
我们自己写的个人主页后台这里最需要注意的就是session的安全了，每个页面都要加上判断是否存在session的语句，最好是把这个放到一个页面，在后台每个页面都连接进来，或则出现直接输入后台页面就可以操作后台，那就后台的验证白做了！这里要最要注意的就是上传页面的验证了。一定要判断session验证了没，否则别人直接输入上传页面就可以直接上传文件，那你就等着中马吧！

来源于:邪恶八进制信息安全团队

      一般来说，安全套装的杀软通常都是商业软件，如卡巴斯基、诺顿等等。而Comodo的互联网安全套装除了商业版本外，还提供了免费的版本，并且对于一般家庭用户只要使用免费版就足够了。也是就说，我们可以在正版、免费的前提下，使用到一款同时整合了防病毒与防火墙的安全软件，并且可以随时在线升级。相信对于广大的网友们使用这样的杀毒软件除了能省钱外还能省下不少心了吧……

      Comodo Internet Security(互联网安全套装)的免费版提供了病毒防御、网络防火墙与主动防御(Defense+)3大功能。这次的新版本最大的特色就是提供了完全成熟的HIPS主机入侵防御系统，命名为Defense+来保护你的重要系统文件，在病毒和恶意软件获得机会安装前就阻止它。Comodo提供了非常友好人性化的图形用户界面，以及高度细化的设置选项、容易理解和有益的报警提示、优秀的信任区侦测功能。下面我们一起来看看Comodo吧。

Comodo已经支持有官方的中文版了！安装时选择中文即可

安装时可选安装反病毒和防火墙

注意小心选择哦，不然你又得骂它流氓了，呵呵

Comodo Internet Security 主界面截图

免费的Comodo也可以在线升级，享受正版的待遇，哈哈

      X-Force在选用安全软件时，重要性放在第一位的，是这款软件会否给我的机器性能带来下降，如果它会影响我的效率，拖慢机器速度，那么无论它有多么牛逼，我只会无视之。其次才是大多数人最看重的杀毒能力或防火墙的防御能力。经过我的试用，Comodo在开启了防病毒、防火墙和Defense+功能后，它的主进程占用内存也就5M左右，而且CPU占用率也一直没有高过，并不会让人感觉到丝毫的卡机现象，可以说是相当的不错。

      根据国外的评测，Comodo每次在网络防御方面的测试均拿到的非常高的分数，总是超前卡巴斯基与诺顿不少哟！而杀毒能力方面相对就要弱一些了。但我个人觉得，论综合能力，Comodo是不会输给卡巴斯基和诺顿的。当然，如果你比较在意杀毒能力，那么有一个比较好的方案就是安装Comodo时只选择安装它的防火墙，而另外再安装一款你喜欢的杀毒软件。像X-Force现在的组合就是NOD32杀毒+Comodo的防火墙组合了，并不是嫌Comodo的杀毒太差，只是个人比较喜欢NOD32罢了，说不准当我的NOD32过期后就用Comodo的组合了。无论如何，Comodo的这款优秀且又免费防火墙你可不要错过呢。

按照Comodo优秀的防火墙

防火墙有多个级别可以让你设置

      当然，如果想要真正安全的PC环境，最终要的还是得养成良好的上网习惯和一定的防范意识，不然再牛逼的安全软件也是假的。相反，如果你的安全意识较强，那么随便一款不会差得离谱的安全软件也能保证你机器的不受侵害。相信对于不想在安全软件上花钱，又不想麻烦地去找什么破解，或者比较注重版权的朋友，Comodo Internet Security是一个非常不错的选择哟。在自己装机或给别人装机时，这款包含了杀毒和防火墙，能免费升级，还拥有简体中文的界面的安全软件，肯定能帮你省下不少烦恼吧，呵呵……（看完此文后，某同学湿润着眼睛跟我说，以后那帮MM们不用天天跟我说卡巴过期了、瑞星过期了、XX过期了）

迅雷用户点击下载
文件大小:72.25MB

本文来自于异次元.

　　输入serv-u6.exe 43958 “net user test test /add”，添加一个名为“test”的用户。
　　第二步：接着输入serv-u6.exe 43958 “net localgroup administrators test /add”将该账户提升为超级用户权限，如果成功，那么软件界面将会返回提示信息
　　<220 Serv-U FTP Server v6.0 for WinSock ready...
　　>USER LocalAdministrator
　　<331 User name okay, need password.
******************************************************
　　>PASS #l@$ak#.lk;0@P
　　<230 User logged in, proceed.
******************************************************

　　这个时候，你可以使用用户名test，密码test进行登录了，并且发现自己已经成为超级用户了，这里不需要再说明什么了，你已经拥有了系统的超级权限了，入侵者已经可以在你的电脑上为所欲为了。
　　漏洞解决方案：尽快升级到最新版本，由于此本地提升权限漏洞为软件设计问题，并非程序出现异常。

安全对策
　　Serv-U安全隐患重重，那么如何才能防范入侵呢？笔者以Windows 2003 Sp1系统、NTFS分区为例，在保证系统安装好最新补丁的情况下，来对系统进行安全部署。首先安装Serv-U最新版本于非系统分区，由于默认情况下系统盘的一些目录都被赋予了everyone权限，这给攻击者在获取Webshell的时候执行攻击程序提供了环境。安装过程很简单，注意安装过程中是否有必要设置匿名登录，否则禁止匿名登录。
1．系统权限设置
　　第一步：对Serv-U目录设置权限。对用户组进行清理，留下Administrators和system，我们赋予Administrator权限，当然我们还可以新建立一个用户组来对Serv-U操作，把目录赋予此用户完全控制的能力，不过此方法不适合虚拟主机进行日常添加和删除用户操作。
　　第二步：建立一个FTP用户目录，根目录赋予Administrators完全控制权限，System只读权限。
　　第三步：为每个用户创建各自的目录，并赋予如下安全策略：
　　删除 Everyone group（这里尤为关键）
　　该System account's folder's 完全控制
　　添加给用此目录的用户完全访问控制
　　第四步：通过Serv-U设置用户权限，取消“执行”权限。在Web目录中去掉执行权限，以防止取得webshell后运行攻击程序来对Serv-U进行攻击。在进行权限设置的时候请遵循基本规律：有特殊属性的放在前面，共用属性的放在后面！
　　此外，针对Serv-U的插件实现账号隐藏的攻击方式惟有在目录权限设置不当并且入侵者取得WebShell的时候进行文件替换，挂接Dll。只要权限设置合理，定期对Serv-U目录检查，Serv-U安装后文件并不多，此类攻击方式很容易现形。
2．防范大容量文件攻击
　　在安装好FTP软件后，首先需要添加自己的域，然后在域上添加FTP的登录用户，当添加用户后，软件一般默认没有对添加的用户进行文件上传、下载的速率进行设置，因此这样一来就有被攻击的隐患，那就是黑客会利用这个漏洞对FTP软件发送大容量的文件，然后导致FTP处理不过来而造成程序没响应或者自动关闭。
　　在“常规”中能看到“最大上传速度、最大下载速度（KB/秒）”的选项。我们一般默认是不填的，建议用户设置一个具体的数字来限制这个速度。同时，最好把在“空闲超时、任务超时、最大用户数”的选项上也设置一个具体的数值。一般地，默认10分钟就足够了（见图2）。

3．溢出防范
　　近期内暂未发现软件所造成的缓冲区溢出漏洞，但是建议用户关注安全新闻，注意打补丁，新版本中也解决了出现的BUG，最好的方法就是升级，以免造成不必要的损失。当然这是极为被动的方式，但愿广大朋友对安全多一点认识，多一点细致，多一点防范，也就会少一点损失。
4．端口密码设置
　　由于笔者使用的是Serv-U6.0.0.2版本，固可以在ServUDaemon.ini中加上LocalSetupPortNo=12345来改变本地管理端口，不用去改ServUDaemon.exe。修改以后我们要利用IPSec来限制IP访问12345端口。在新版本Serv-U6.0.0.2中已经提供对本地密码进行修改的功能，在其主界面右边，我们可以更改设置本地服务器密码，这样一来，就需要输入密码才能进行本地管理，默认的是#l@$ak#.lk;0@P也就是空，不需要密码就可以管理。我们设置和更改密码的时候，旧密码留空，然后设置好你的本地管理密码。设置完成后会在ServUDaemon.ini中添加LocalSetupPassword=eq8BD223881747 DB4FCC458FC5EE3774D6之类的一段（见图3）。

5．传输安全
　　由于Serv-U在未开启SSL时，FTP传输是以明文方式传输数据，在位于路由或交换环境下，这很容易被嗅探工具捕获，如强大的Sniffer Pro、NetXray，小一点的arpsniffer、Dsniffer都可以抓到，利用此方式攻击，很多安全站点被渗透也不是什么新鲜的话题了。所以下面我们来看看如何启用Serv-U的SSL功能。
　　第一步： 首先为Serv-U创建新的SSL服务器证书，启动Serv-U管理员，Serv-U默认为我们提供了一个证书，但所有默认安装的SSL证书私人密钥均一样。为安全起见，我们需重新建立一个，很简单，打开Serv-U“本地服务器”的“设置”选项，在管理界面右边，打开“SSL证书”，依次填入“普通名称(FTP服务器的IP地址)”、“电子邮件”等相关信息（见图4），点“应用”按钮将会在Serv-U目录下覆盖掉原Serv-U提供的证书ServUCert.crt。

　　第二步：初次使用我们应该对证书进行认证，把它安装到受信任的区域，点击“安装证书”，进入下一步“证书导入向导”，选择默认存储区域，点击“下一步”或者自行选择存储区域、完成，接着会弹出安全性警告(因为没有从证书颁发机构安装)，这里不管它，点击“是”，进行证书安装，成功后会弹出“证书导入成功”对话框，确定后，我们再次打开ServUCert.crt，OK，证书已经信任了，这方便了FTP客户端进行登录时候不会弹出“是否信任”烦人的提示框，下一步我们来设置Serv-U以提供SSL支持（见图5）。

　　第三步：打开Serv-U服务器下面的域，比如(www.xhacker.cn)，在右边出现的“安全性”下拉框中，有三个选项，默认的是“仅仅规则FTP，无SSL/TLS会话”，既然我们要对FTP服务器进行SSL支持，我们就选择下面的“只允许SSL/TSL会话”，也可以根据需要选择“同时允许规则FTP，SSL/TSL会话”，应用后，Serv-U服务器就已经具备了SSL传输加密传输功效。
　　为安全考虑，只有对FTP客户端也启用SSL连接。以FlashFxp为例，首先在FlashFxp的快速连接窗口中，选择“SSL”，然后在“安全套接字”下面选择“认证SSL”。这样我们就可以使用SSL连接了，连接成功后，我们将会在FlashFxp的状态栏下看到一把小锁的标志，说明已经进行成功SSL安全连接。现在大家可以用嗅探工具对ftp端口进行嗅探，在未使用SSL传输连接的时候，可以嗅探到明文密码，通过使用SSL加密传输连接，逃过了明文传输被嗅探这一劫。
　　现在Serv-U FTP服务器在国内应用相当广泛，小到个人，大到集团，只要BUG一发现，针对漏洞的攻击代码一流传起来，将给诸多企业及个人用户带来巨大的灾难。对此，我们惟有确保安全部署好系统的情况下，对安全界投以关注的目光，时刻关注最新漏洞，做好防范措施，发现漏洞，及时给系统打上补丁，才能够保证Serv-U不被入侵。

       妈妈说就算你注册的域名再长百度都能搜出来 
       http://www.mamashuojiusuannizhucedeyumingzaichangbaidudounengsousuochulai.cn
       妈妈说就算你注册的域名再长百度都能搜索出来 
       同样的还有个：http://www.mamashuojiusuannizhucedeyumingzaichanggoogledounengsousuochulai.cn 
       妈妈说就算你注册的域名再长GOOGLE都能搜索出来
        http://udiab.com.cn/来来看看镜子里的百度，这个最有趣
        http://www.llanfairpwllgwyngyllgogerychwyrndrobwllllantysiliogogogoch.co.uk 
        这个域名属于一个旨在宣传英国圭内斯郡安格尔西的一个同名村庄，这个名字的意思是“位于急流附近白榛树山谷中的圣玛丽亚教堂和红山洞附近的圣泰西里奥教堂。” 
        http://www.111111111111111111111111111111111111111111111111111111111111.com
         这个域名是由60个1组成的，国外都简称60x1，很有名气的。打开后是一张非常花哨和夸张的图片，有代表美国文化的可口可乐、麦当劳、美国番茄酱、美钞等，哦，还有被ps的布什头像。看了大概意思应该是一个anti-us的网站，图像创意非常棒，设计也不错，就是太占资源了，5分钟都没有下载完页面内容，首页最下方有一个不起眼的"Enter"，点击进入可以看见满屏的萨达姆和拉登的小图片，找地方再点吧，还能看见被丑恶化的布什和麦加万岁这样的主题图片，看了挺爽。 
        http://3.141592653589793238462643383279502884197169399375105820974944592.com/index1.html
你应该知道该网站的内容了吧，的确是，此网站只有一个页面，打开后慢慢等，然后你就能看见精确到小数点100万位的圆周率，谁要是没事干想背圆周率，推荐上去看看。（不想等的可以看这个主页：http://3.141592653589793238462643383279502884197169399375105820974944592.com/ ）
         http://www.thelongestdomainnameintheworldandthensomeandthensomemoreandmore.com
         一共63位，这是目前全球公认的最长的域名了，网站的站长已经向吉尼斯世界纪录申请了世界最长的域名，可惜被吉尼斯给婉言拒绝了，大致原因是认为这就像无法申请世界最长的数字一样。

　　　　因为种种原因被开除了(投胎下凡)。由于管理有方，唐僧的帐号随之被清除(唐僧变为一个凡人)，无法再行使他的特殊的权利。

　　　　于是唐僧不甘心，想重新获得root权限。

　　　　于是他努力学习电脑知识(天天拜佛念经)，最终学有所成，小有名气(成为御弟)。

　　　　一个偶然的机会，唐僧使用扫描工具(观音)，得知网站的ftp端口(西天)还在运行，于是唐僧开始行动了(西天取经)。

　　　　但无奈网管(如来)是个很有经验的网管，网站的安全性很好，防火墙也设置的井井有条(99难)。但这也难不倒唐僧，除了扎实的基本功(念经)之外，唐僧知道合作的必要性。

　　　　于是他找了一些前网站的成员(猪八戒，沙和尚)和曾经攻击过该网站的黑客(孙悟空)，成立了一个合作小组。

　　　　除此之外，为了加强攻击的速度，唐僧还找了一个类似端口扫描器的黑客工具(白龙马)。

　　　　而孙悟空手里也有好工具，是个炸弹类工具(金箍棒)，有很高的杀伤力。在攻击该网站(大闹天宫)时效果不错，该工具是从www.龙宫.com下载的。现在该网站已经不提供这个服务了(没了金箍棒，怎么提供?)。

　　　　虽然网速比较慢(一去几年)，但唐僧具有一个黑客所具有的耐心，从没放弃过攻击。

　　　　一路上，防火墙威力无比(妖魔鬼怪层出不穷)，还有一些弱小的网站请唐僧同志去当网管(www.女儿国.com)。

　　　　当然，唐僧在此过程中，也曾帮助一些网站(如www.乌鸡国.com)解决了一些黑客攻击(网管权限被偷取--国王被换)的问题(他似乎忘了自己也是黑客)。

　　　　最终唐僧获得了自己梦寐以求的root权限!此行为和黑客行为是何等的相似，因此我断言西天取经是黑客行为，而不得不说唐僧是历史上最早的黑客！

转载于:菜帮子的生活