不要太把自己当回事。无论自己多么优秀,在遥远的地方可能还有一些十五岁的年轻人每天花20小时来争取做的更好。

简单逻辑学之全神贯注

2010年8月21日 11 条评论

事件起因:前几天的一个晚上,我看到一个小区门口一个象棋残局破解,有一群人围观,遂上前观察。不出 10 分钟,给他的残局破解了,又遇一盘,又破之~~ 不过没带钱,只是试玩。前天晚上又见残局,发现该棋局与上次一样,马上掏出 100 进行破解,可想而知,100 块没了~~而一仔细想:Y的,这棋换了一个仔,造成我输棋。

今天看《简单的逻辑学》,第一篇内容,就解释了我的错误做法,摘取出来:

   许多错误的产生源于我们注意力不够集中,尤其是在面对相似的情景时。相似性使得我们忽略眼前的实际情况,对应该关注的地方视而不见,草率做出结论。一般情况下,我们总是想当然地认为相似的情景只不过对曾经历过的事物的简单重复。但从严格意义上来说,世界上没有两片绝对相同的叶子。每个情景都有它的特殊性,而我们必须对此特殊性保持敏感。
   俗话说,观察是知识的重要来源,这正说明注意力是有价值的。注意力要求我们对所处的每个环境以及组成环境的每个要素都做出敏捷主动的反应。全神贯注与被动接受是不兼容的。不要对周的事务漠然处之,要用心去看,用心去听。学会关注细节,不因事小而疏忽。古语有云:不积跬步,无以至千里。

第一段指出我错误的做法,第二段指出方案:应该如果针对不同的环境做出敏捷主动的反应。

时间管理

2010年8月7日 5 条评论

  你是否和我一样,工作内容突然多了许多许多?感觉时间太少?最近感觉这些问题越来越多,准备组织一个分享会,找个大牛给分享一下。今天Kj给了我个链接,关于时间管理的,希望能够给一些像我初入社会没几年的朋友一些帮助。

其中摘取一些对我就目前状态而言,最关键的事情:

1、如何区别重要与不重要的事情

  1)、会影响群体利益的事情为重要的事情;
  2)、上级关注的事情为重要的事情;
  3)、会影响绩效考核的事情为重要的事情。
  4)、对组织和个人而言价值重大的事情为重要事情。(重大包括金额和性质两方面。)

该时间管理方法常常被以如下图式表示: 阅读全文…

分类: 娱乐休闲 标签:

我游上来了

2010年6月12日 7 条评论

是的,从上次说到“决定潜水三个月以上”以后,三个月未发表任何技术文章,倒发了 4 个招聘信息(现在招安全的人不易啊),现在我游上来了,不再潜了,因为我深深的了解到潜水的坏处!简单的总结一下这三个月的事情吧:
1、工作
     工作有了很大的调整,从中国北边跑到了南边,离家又远了好多,不过目前工作很好,深深体会到了一句话:快乐工作,认真生活。
2、爱情
     这个很悲剧,经历了一个长达 1 个月的爱情,让我重重的受到了一次打击,现实哇现实,本地人一般都排斥外地的打工仔,这不可否认的,很心痛,这让我心理上成熟了很多。还是村姑好哇!说不定过几年经不过父母的催促回家娶村姑去了。。
3、生活
    不知道是因为百X培训,还是长期爱情然后失恋,还是对生活的认识改变,认识我的人都说我变了,是的,我外表变的非常离谱,但是我的内心依然那么单纯,幼稚——–这个不是装B。

这三个月来,我自身的变化连我自己都不敢相信,我觉得我应该再调整一下,我觉得工作和爱情完全不能同在,有了爱情,工作就会不理想。如果单身的话,工作,技术就有很大提升!可能是我自己对于如何处理这方面问题有欠缺的地方吧,还是单身的好,很矛盾,又想找女友,哎!另外,从想法上还要更进一步的升华,对安全的宏观考虑还待提高。

本文关键句:
1、快乐工作,认真生活。
2、激情研究,提升想法。
3、强身健体,勤奋读书。
3、出来混的,要么混的牛B,要么回家种地!

分类: 娱乐休闲 标签:

决定潜水三个月以上

2010年3月16日 7 条评论

   RT,不为别的,只因我很菜,潜水学习中。期间不再更新文章,谢谢大家。

分类: 娱乐休闲 标签:

生日快乐

2010年3月8日 13 条评论

  现在是凌晨 0:08,农历 1.23 日,俺的生日,先祝自己生日快乐。
  嗯,从今天开始就是新的启程,新的开始啦。希望自己在以后的安全道路与人生道路上越走越远,更加拼搏。谢谢大家:)
  好冷,刚洗完澡,就穿一秋裤,不写了,睡觉。

分类: 娱乐休闲 标签:

Safe3 SQL Injector 3.0免费版发布

2010年3月4日 6 条评论

帮朋友发一下,有需要的下载试一下:)

Safe3 SQL Injector 3.0免费版终于在众人期盼下发布。

软件特色

1.全面支持HTTP类型

    * 支持HTTP 1.0/1.1;
    * 支持POST/GET /Cookie方法;
    * 支持Basic/NTLM /Digest验证;
    * 支持基于公钥或者私钥的 SSL;

2.全面的数据库类型识别   阅读全文…

分类: 工具收集 标签: ,

一年了,纪念3.1

2010年3月1日 1 条评论

  今天3.1号,整整一年了,该纪念一下,继续努力。

分类: 娱乐休闲 标签:

条形码XSS

2010年2月25日 5 条评论

只看图,等成功了再说话。

Link:
XSS, SQL Injection and Fuzzing Barcode Cheat Sheet
http://www.irongeek.com/xss-sql-injection-fuzzing-barcode-generator.php

分类: 网络安全 标签:

javascript事件解码引起的问题

2010年1月22日 8 条评论

在javascript 事件中,当参数是经过编码的值,javascript 会将期解码进行执行,如下代码。

<a href=# onmousemove="&#97;&#108;&#101;&#114;&#116;&#40;&#47;&#119;&#111;&#121;&#105;&#103;&#117;&#105;&#47;&#41;">xxx</a>

另外,由于 javascript 支持 函数参数可以是 函数特性,如下代码:

<script>x( alert(1) );</script>

利用两种特性,就可以引发如下的安全问题:

<a href="#" onmousemove="xxx('&#39;+alert(1)+&#39;',44);return false;">woyigui</a>

当 javascript 代码经过编码带入页面,可以利用事件执行时解码的特性对单引号进行闭合,然后利用 函数参数 可以是 函数的特性进行代码。该方法不能直接用于 《script》内,比如如下代码是不能执行的:

<script>
xxx('&#39;+alert(1)+&#39;');
</script>

由于如上问题,在特定应用环境中,处理与解决 DOM 型XSS 的时候,将更具有挑战。解决方法就是在解码后,再次使用 \ 符号对其处理,但是考虑到特殊应用可能有所影响。

分类: 网络安全 标签:

discuz 7.2 的反XSS函数

2010年1月8日 4 条评论

因这个 0day ,看了一下代码,发现 common.inc.php 文件中包含如下简单的防范代码:

if($urlxssdefend && !empty($_SERVER['REQUEST_URI'])) {
        $temp = urldecode($_SERVER['REQUEST_URI']);
        if(strpos($temp, '<') !== false || strpos($temp, '"') !== false)
                exit('Request Bad url');
}

用于防止XSS攻击,只支持反射型的,在某些环境下是可以绕过的。估计是N早加入了,估计是我out了。。

分类: 网络安全 标签: