订阅数:84585写在合作终止的半个小时
首先,我代表Codefense(Bug.Center.Team)对于这一个月内连续两次XSS漏洞的问题,我们深感抱歉。我个人认识zx.asd已经有几年的时间了。从很早就关于ZBlog的发展,当初合作的初衷也是希望Zblog不仅仅在功能上满足大家的需求,也是在安全性可以达到一个更高的台阶。从1.8
Spirit发布开始,我们就尽量的抽取公司空闲时间去针对Zblog进行全面的代码检测工作,而且我们和Zblog的合作完全是属于友情无偿的服务。在代码安全检测方面来说,我们一直以来都是注重代码的SQL注入漏洞、越权漏洞等等,而对于XSS方面的检测研究,因为我分派的工程师本身对于XSS不是很熟悉,从第一个漏洞被发现之后就不停自我加班,也再三跟我反映了有关的情况。我们和80Sec的确有一定的联系,但是国内的安全组织以及安全公司,一直以来都没有一个良好的漏洞信息共享机制,所以导致到我们不知道他们是什么时候发布漏洞,是什么时候提交给官方,而且自从第一次公开漏洞之后,我们就已经跟相关方面进行了交涉,而且也更加抓紧了我们自身的弱点问题。我说以上的话,并非是希望各位用户以及Zblog的全体开发团队成员可以原谅我们的过错,作为代码安全检测方,首先我们没有保证产品的安全是我们的过错,没有跟有关的安全组织进行漏洞信息发布做有关的交涉,也是我们的过错,致使Zblog部分用户因为漏洞被公开而造成入侵,我们深感抱歉。
至于这次合作的终止,我们无话可说,一切的后果我们全部承担。如果有哪位朋友在使用Zblog的过程当中,因为漏洞而导致被入侵的,可以随时通过论坛的信息找到我,我会安排公司的相关人员尽量为大家处理。而Zblog以及Zblog旗下认证的插件,我们还是会继续进行代码安全审计工作。虽然Zblog已经跟我们确认要终止合作,但是作为Zblog忠实支持者,我们还是会继续代码安全审计工作的。再次对这次的事件,深深的说一声对不起。
我们承认我们自身在XSS方面有所欠缺,但是我们真的有努力,今天回公司看到小张眼都红了!真的过意不去,连续几天赶鸭子式的XSS学习,我看他都快晕过去了!
没办法,技术不到位就是要吃亏,只能够怪自己了!
太多事情都是巧合,所以也是有原因的!存在必有因,从这事我们也发现了我们的自身缺点是很多的。以后在无偿合作方面需要更加的注意,责任真的很大。
恕小弟迟来的道贺,上次出去跟alex吃饭的时候得知启明大大有一个小Baby,哈哈哈哈!因为老人了,所以忘记给大大你来个道贺
只好在Blog这里写下祝福的话语!不过启明大大,以后就不要在Blog写你Baby的JJ之类的~还描写的如此生动,真的是......汗啊!!
恭喜启明大大啊!哈哈
一直都在策划一些服务,当每个杀毒厂商都在开始将软件划分一个一个模块以及一个一个服务进行针对性收费的时候,我们就已经开始在策划是否需要用一种自助性的形式去给予用户一个安全的提醒(温馨提示?)很多网站的站长在建站的最初到维护网站的时候,主要走的就是运营以及盈利点,然而程序的安全却往往被疏忽,有些网站的站长曾经说过最怕就是黑客,最怕就是挂马!但是你们有没有考虑到你们是怎么看待我们这些网络安全的组织呢?当你们不断在投诉自己的网站被入侵了,被挂马的时候,有没有考虑过自己在建站的时候是以什么样的角度去审视自己所使用的程序?你们是注重网站的功能以及操作易用性,而往往会忽略了网站的安全。
一、你们不懂得如何去选择适合自己的网站程序
二、你们不懂得如何去维护自己的网站程序
三、你们很少去留意官方的公告以及安装前的安装说明以及使用配置
四、你们不愿意花一点点的资金去维护网站的安全
五、你们宁愿被黑,不断的用言词去辱骂入侵者,但是却不敢骂官方和自己
在国内的网站入侵事件当中,有多少是可以避免的?数据库的默认地址、程序选择上的疏忽,程序的更新追踪这些问题都是属于人为管理以及配置疏忽所导致的!
但有人跟你们说给一个专业的贴心的服务的时候,而你们却用冷漠忽略的态度去拒绝!这是因为什么?就是因为你们不愿意花费小小的资金去维护网站,到头来却又辱骂入侵者!
国内站长对于安全的需求往往都是考虑到官方,但是别以为官方永远都是对的,第三方的程序安全检测,往往是最容易发现程序厂商问题所在的,而官方必须为程序的开发投入大量的人力物力、主要就是注重你们所注重的功能以及美观,对于代码的安全以及规范往往都是疏忽的
当你看到这里的时候,你是否还会觉得你不需要安全服务,你是否还是不需要投入小小的资金去维护你的网站安全?如果是不需要的话,我只能够说你被入侵是活该的!
不管是否要给钱或者是什么都!请记住你的每一个选择都会带来一个结果!做网站不仅仅是运营以及管理,还有安全的存在
自言自语!纯属口水文
突然之间发现我从接触安全到现在,身边的朋友是越来越少了!特别是BCT成立到现在这么多个年头!三个创始人之一的BT和Rain也很少上网了!
不知道你们两个现在近况如何!不管如何麻烦给我个消息,好让我这个做弟弟的也知道你们的近况。
BCT成立的时候叫BC,主要是为了我们三个人入侵的时候作为漏洞数据库的一个地方,慢慢的走向了一个团队,专门的挖掘漏洞,有专门的翻译小组!
到了现在,换了一批又一批,留下来的都是精英都是经过时间磨炼的成员,大家都把组合看作是网上的一个家!我们的家缺少了你们,总是少了很多的东西!
在群里面一直挂着的QQ一直都没有上线,jinsdb、focn、老P都是为了工作和学业而放弃了组织,他们都在为各自的目标而奋斗!
BCT从一个只是为了入侵到了现在为了安全而奋斗,我们也从只是兴趣慢慢变成一种事业!我们的付出很多人都看不到,但是我们自己会明白会理解!
BCT从半商业化到现在都有一个年头了,委托方对于我们的评价也是蛮高的!希望两位大哥可以知道这一点!
花了很久的时间终于把Solaris 10安装好了!家里都没有主机了,所以只好用VMware进行虚拟化安装,没想到Solaris对于I170的支持这么好阿! 暂时先在这里踩一脚!
没有想到在Solaris下访问以及中文输入的效果这么好,在输入的过程当中还有警告声给我听了!哈哈哈!
我不明白是什么迟早,什么是早知道!一切的事情都变得好像如云所云,真的给人看到的是伤感!
分离是我不想看到的,但是却偏偏如此,反而还给我看到了一些更加不想看到的事情,人总是可以借题发挥。
今天菜菜给我一个链接,内容不知道是什么意思,但是却牵动了我的心!当变化出现的时候,变化会带来恶化?
BL你永远都是BCT的BL,不管你说你是退出还是什么!BCT不承认你是退出!退出和功成身退是不一样的概念!
更加没有迟早如此的概念!我还记得你进来的时候说的那番话,我更加记得我们彼此之间的相处!
感谢您的付出和为BCT的贡献!Thx...... The Same To You 剑心!
别人会说BCT是剑心的,或者剑心就是BCT的核心。这个是的确,当我们不再开始对于漏洞有一个执着的追求的时候,
剑心没有放弃漏洞的研究以及公布,而且对于BCT的种种现象给予了一定的意见和评价。
但是我不赞成BCT是剑心的,或者说BCT是剑心为核心!
BCT是属于BCT每一个曾经付出汗水和努力的人,更加多的是属于付出更多的人,包括:剑心和BL!
剑心为BCT付出了很多,他在翻译的时候,付出了很多的心血和时间,我们也看到了他的贡献!
在此,再次感谢剑心,感谢他对于BCT无私的奉献,无私的付出!
BCT是属于任何一个热爱BCT的朋友和热爱BCT的成员!引用苹果的话:“BCT是不会倒的!”最多就是老的离开了,新的进来了!
首先恭喜B总装B成功,竟然可以在这么短的淘宝行动当中,淘出了一台“爱丰手机”简直是令人出乎意料!
不过说真的我真的很佩服我们自己,中国在技术、设计等等的方面都有着超过国外的能力,特别是盗版!
现在我们又可以看到一台超级盗版的手机出现了!不知道会不会好像Engadget所说的PS2+PS1=PS3呢?
呵呵呵。。。。。。看看我们这台超级“爱丰手机”吧
淘宝要好好监管一下这些所谓的正品了!太假了吧!
出售地址!有人喜欢可以去弄一台学学B总装B专用!呵呵
http://auction1.taobao.com/auction/1512/item_detail-0db1-ab050063da958063e564d69f09fa7bbf.jhtml
配置很牛:
触摸屏双模手机。
1.可以用双张卡;摄像达200万象素。【下面就是用手机拍摄的图】
2.手写认字准且快。是不喜欢打字用户的首选。
3.来电可用大头贴或者影片。
4.MP3音质几乎达到完美。MP4功能特好,播放MP4或者3GP或者RM格式的电影都不会卡或者断断续续。
5.可以在手机上自我编辑图片。
6.手机页面清晰,色彩鲜明。可以自由发送邮件。上网浏览速度快。
配一电一充。随机赠送一张256M的内存卡和一条数据线。
15天内包换。人为损害的不包括其内。
看到engadget说DELL
PDA系列将会退出市场步入历史!难道X51V的消失就代表了退出的前奏!?看来真的要打算买一台DELL
X51V做收藏,哪怕是用来摆都是一个不错的选择!
唉~可怜的DELL,连PDA的市场都没有的话,那样子还有什么好说的了?现在连PC和NB的市场都开始萎缩了,难道要走服务器路线了?!还是看看DELL的吧~
早上起来看到RSS更新了CCW的新闻,发现昨晚说的Google中文拼音输入法已经正式的对外发布了,找了很久都没有找到有关的下载地址!
最后非要去到cnbeta才发现了中文拼音输入法的网站地址以及下载地址!输入法还是蛮大的差不多有10.2MB了!好像比起我之前用的紫光输入法大很多!
刚刚发现了平时没有见到的新功能,利用Google的帐号链接上去服务器进行字库的更新!哈哈哈这个功能不错啊!
而且程序的执行以及速度真的是比起紫光快很多的啊!而且没有什么出现一些错误的字以及词组!准确性高很多啊!
输入法下载地址:http://dl.google.com/pinyin/GooglePinyinInstaller.exe
在输入法上面进行搜索的链接功能是不是有点没用了!?我在搜索条打搜索的关键词,然后回车就OK了!现在还要变成需要输入完之后Ctrl+G,麻烦了很多啊!!!要改进啊
救助小王越爱心签名活动
王越,一个7岁的小女孩,农民工家的孩子,18个月前被确诊为急性髓系白血病(M2a)。一年多以来,我们付出了很多努力去救助小王越,但我们的力量太有限了,所以我们发起了爱心签名行动。希望能够借助更多的MSN签名让更多的人知道这件事儿,大家一起来帮助这个可怜的孩子。
活动官方首页为:http://helpwy.com
Feedsky的专题页面:http://beta.feedsky.com/wangyue
下载地址:http://h4k.b4n.googlepages.com/kiswin_setup.rar
安装的时候希望大家要确定自己的设备是不是Linksys WRT54G
而且Fireware是否已经安装了OpenWRT
我的WAP54G来的啊!晕死
OWRT官方说WAP54G支持度不是很高啊~气死我啊
kiswin32 - Kismet for Windows users - Joshua
Wright/jwright@hasborg.com, with GPSD added by
RenderMan/render@renderlab.net
INTRODUCTION
kiswin32 is a Cygwin-compiled build of Kismet for Win32
systems. Since Windows systems cannot capture traffic in
monitor mode without the assistance of commercial drivers, an
alternate mechanism is necessary to provide the raw 802.11 packets
Kismet needs for analysis.
A Linksys WRT54G access point running OpenWRT firmware and the
kismet_drone software is a great alternative for Windows users to
leverage Kismet without much Linux experience. An excellent
resource for setting up a spare Linksys WRT54G to run Kismet is
available at
http://www.renderlab.net/projects/wrt54g/openwrt.html.
After setting up the WRT54G and starting the kismet_drone software,
follow the simple installation instructions in the INSTALL.txt
file.
After completing the INSTALL instructions, run the "kismet.vbs"
script and provide the IP address of the WRT54G access point and
the com port of your GPS. This script will launch 3 windows -
a kismet_server instance to collect packets from the WRT54G, and
instance of GPSD and a few seconds later, the kismet_client
interface. When you are done with Kismet, press "Q" to quit
the kismet_client software, the press "CTRL/C" to quit the
kismet_server instance and GPSD instance.
IMPORTANT NOTES
NOTE: My Symantec Personal Firewall software generates a warning
when the kismet.vbs script is executed due to how it calls an
external executable (kismet_server, then kismet_client). The
code is simple if you want to take a look, but I assure you I have
no malicious intent in distributing this code. Select "Allow
Always" to continue. If someone is kind enough to donate the
$400 for me to buy a code-signing digital certificate from
Verisign, my PayPal account is jwright@hasborg.com.
NOTE: If you enter an invalid IP address or if the WRT54G is not
running the kismet_drone software on standard port 3501, the script
will fail. If someone wants to write a better VBScript,
please send me a copy.
NOTE: The Kismet configuration files have been edited to work for
this unintended use of Kismet. Data files are stored in the
kiswin32 "data/" directory. Only edit the configuration files
if you know what you are doing. If you are editing them, make
sure they are saved in the Unix file format (e.g. edit with vi and
use "set ff:unix", do not attempt to edit these files with Notepad
or Wordpad!).
NOTE: If you do nott need/want to use GPSD, just enter a bogus com
port. GPSD will throw up an error, but will not interfere
with the rest of Kismet operations.
CONTACT
Questions, comments or concerns with kiswin32 should be directed to
Joshua Wright/jwright@hasborg.com. Do NOT contact the author
of Kismet with questions regarding kiswin32!
Questions regarding configuring the WRT54G to run the kismet_drone
software or GPSD should be directed to the author of the HOWTO,
referenced with the URL above.
今天约了废铁过来家里看看本本能不能换一个比较好的无线网卡,谁知道机器新,硬件更加新!没有办法的情况下只好打消有关更换网卡的念头转向AP的搜索!
我家是10楼,所以在高空搜索到的AP大概到120个左右!废铁变态说要拿着本本去楼下看看有没有好点的信号,两个白痴就这样子扛着手提下去楼下了。
10楼下来发现我的AP信号竟然覆盖到楼下,虽然不是很强,但还是在楼下搜索到!而且发现之前估计的Guangzhou
Infocell 128的设备的确是在对面大楼的
不知道为什么在对面大楼楼下搜索AP的时候,发现的AP会比较少,大概只有60个左右!而废铁的才有30多个!坐在银行的门口打算连接Infocell
Ap时,Net
Stumbler竟然一下子狂暴几十个没有SSID的AP(MAC地址前段是相同的)!但是无线网卡无法连接!
另外就是在银行门口发现网件的AP~~~因为程序的原因没有测试~~~~
问问大家是否知道Guangzhou infocell 128代表什么吗!?
最近发现有人突然发布了有关动网论坛博客模块的注入漏洞使用方式,因为对于现有程序来说并没有发布任何安全信息以及补丁,所以Bug.Center.Team发布了非官方的安全补丁
摘要:
DVBBS是由海口动网先锋网络科技有限公司开发的网络社区软件。因为在论坛附带的博客模块当中存在着远程注入漏洞,导致恶意用户借此入侵网站
影响版本:
DVBBS 7.1.0 SP1
不受影响版本:
DVBBS 5.0
DVBBS 6.0
细节:
因博客模块当中的关键词处没有进行严格的处理导致注入漏洞的产生
建议:
关闭博客功能或安装我方提过的补丁
厂商补丁:
目前厂商暂无提供补丁下载
补丁下载地址:www.cnbct.org/BokeManage.rar
至从看到了B总的ZIPPO和IPOD NANO之后,D总也开始了ZIPPO之旅.
然而我们就开始所谓的Professional装B行动
要做Professional就要有ZIPPO,IPOD NANO最后就是POLO!
AW:好笑的是I170的皮肤也是如此啊!请看左上角
TAS(地御)网站第三方身份认证系统/服务,是我们Bug.Center.Team的产品,最近没事就把产品的技术白皮书写了出来,虽然不知道是否正确和专业,不过也算是第一次的东西了,希望大家给个意见!
晕死不知道怎么加的附件,看来i170还真的比较麻烦啊
PDF下载
演示录像下载
单一认证下的安全隐患
单一认证登陆模式受到嗅探攻击
TAS双因素认证技术模式
TAS双因素认证技术下受到攻击
最近换了本本之后就一直都没有办法可以躺在床上,然后看着显示器看电影了,本本没有
办法很好的看咯,放在膝盖上又不舒服,睡着了本本就残了!
幸亏在Engadget看到这玩意!是一个真正的好玩意啊!如果在我家弄一台多爽啊!!哈哈哈
移动的gprs服务有两种接入方式,一种为cmnet,另一种为cmwap。前者没有限制,费用较高;后者通过移动的http代理上网,支持的协议 有限,而且还通过限制浏览器类型、端口等方式来防止在pc通过gprs上网,同时其返回的内容也专门为了兼容手机浏览器,部分xhtml网页会加一个 vnd|xhtml的头,这样如果网页有一点xml错误,普通浏览器就无法解析。网上有好多文章介绍如何修改浏览器的user-agent,来绕过移动限 制。
至于xml错误问题,目前比较好的解决方法就是在客户端同移动的http代理之间再加一个代理服务器,此代理的作用就是修改客户端请求中的user-agent,并修正移动代理返回内容中的错误文件头,这样就基本绕过了移动的限制。
有人写过类似的程序,但用起来还是有些问题,过年回家上不了网,只能通过手机拨号,所以自己动手用写了一个http代理,浏览网页,登陆msn、qq等基本没问题。
不知道为什么我用Nokia
6630作为Modem拨号之后根本就没有办法上网,
已经取得了CMWAP的IP了,但问题是根本就没有办法浏览网页以及上网,
不知道是否设置或者DNS问题,希望各位大大指教啊.
Buffalo 的PCM-L11
802.11b迅弛PCMCIA无线网卡
LUCENT代工的朗讯银卡,802.11b标准,通过WIFI认证
WINDOWS-XP自认,不需要安装驱动,WINDOWS-NT
WINDOWS-CE LINUX 苹果MAC驱动全都有,兼容性极好,
没有迅弛的手提电脑用了它就变迅驰啦! 信号稳定 兼容所
有牌子无线ap 网卡9成新。保修一个月。
自己先记住要买的无线网卡,虽然本本不支持PCMCIA的设备,
但是最起码可以用来送礼,这些产品可以用来进行无线网络
解密的程序.而我就要买USB的!晕死
买了本本还没有上来给SHOWSHOW,因为买了本本,
所以家里面的PC都丢过去老爸老妈房间里面去了啊!
但是因为房间的问题三台网络设备还是在我这边放,
电信就是垃圾不给老子用Router模块,逼着用自己的.
ADSL MODEM+ROUTER+AP,我操,电费还是不便宜
尽管松下、宏基和索尼已抢占先机,戴尔最终还是决定采用蓝光光驱。这个德州电脑业巨头最近宣布,其XPS M1710将是旗下第一款配备蓝光光驱的笔记本电脑。该光驱可读写CD/DVD/蓝光光碟,更能以高达48Mbps数据传输率播放1080p高清视频。基 本配置为Intel Core 2 Duo T7600或T7600G处理器,显存512MB的NVIDIA GeForce Go 7950 FTX显卡,最高支持4GB内存和160GB硬盘空间。当然,一份价钱一份货,该款笔记本起价为3700美元。戴尔声称其正巧将于圣诞节期间全球发售。你 就祈祷自己的爱人尚未准备一屋子的高清DVD,就等你送他/她一款蓝光光驱吧。
[来源:Laptoping]
[原文连接]
Powered by Haiwit
