善用搜索是从傻瓜到砖家的第一步

update: 我发现国内的搜索引擎似乎都把“高级搜索”的链接从首页上移走了。看来确实是点击率太低,所以被废了。只有Google的首页上还保留着“高级搜索”的链接。百度的高级搜索功能可以通过在百度搜索框中输入“百度高级搜索”来访问,我猜是百度上下严格贯彻总裁“框计算”战略的行为吧,去除复杂且不常用功能?。 想写这个文章已经不是一天两天了,网上有很多关于Google搜索的奇技淫巧,安全界的淫...

好习惯不是养出来的,是逼出来的

我承认这个标题是唬人的,但以下我要说的确实都是自己的真实成长案例。从这些自己的亲身经历中,我确实体会到了“好习惯不是养出来的,是逼出来的。” 案例一:及时洗衣服(坏习惯强迫) 上大学时,很多男生寝室总是“臭气”熏天,这“臭气”的来源嘛其实就是堆在某个角落的脏衣服、臭袜子,whatever。许多人也许会说,这是男生“懒”的表现。确实,我也懒过。一次偶然的“事故”,我的两个盆被摔坏了一个。懒...

邮件沟通的艺术和技术

update:2011/03/30 今天看到一个让我深有同感,说出我心声的邮件:《千万不要写长邮件》。 最近因为工作的原因,我每天都要处理数量可观的邮件和简历。许多优秀的学生简历其实很漂亮,内容充实,过往表现可圈可点,但简历的精彩无法遮掩他/她邮件的丑陋“外表”。如果是一个“外貌”协会的会员来处理这个邮件,最可能执行的操作就是“批量已读”,甚至是“标记为垃圾邮件”。 一封邮件的“外表”都...

[译]CERT Secure Coding Standard — C语言安全编程规范(5)

写在最后的话 规范很精彩,评论更精彩。很多建议和规则虽然本身写的有瑕疵,但是当你看了建议/规则页的评论之后,你会发现你并不是第一个提问的人。很多时候你的疑问和疑惑别人已经给你解答了。在我看来,CERT的这个C语言安全编程规范的最重要的意义不是告诉你怎样使用C语言编写一个“无漏洞”的系统,重要的是通过阅读这个规范,你会知道怎样使用C语言会编写出一个“有漏洞”的系统。和很多安全编程规范一样,《...

[译]CERT Secure Coding Standard — C语言安全编程规范(4)

11. 信号 规则/建议条目全称 例外 笔记 /备注/点评 SIG00-C. 屏蔽由不可中断信号处理函数处理的信号 POSIX标准建议使用sigaction...

[译]CERT Secure Coding Standard — C语言安全编程规范(3)

08. 内存管理 规则/建议条目全称 例外 笔记 /备注/点评 MEM00- C. 在同一个模块、同一个抽象层次上分配和释放内存 不遵循该建议所导致的常见软...

[译]CERT Secure Coding Standard — C语言安全编程规范(2)

04. 整数 规则/建议条目全称 例外 笔记 /备注/点评 INT00-C. 理解你的代码实现中的数据模型 数据模型定义了标准数据类型的存储空间大小。如c...

[译]CERT Secure Coding Standard — C语言安全编程规范(1)

译序 看完cert的C安全编程规范已经有2个多月了,我在阅读的过程中顺手把官方文档的主要目录翻译了一 下,其中包含了171条“建议”和106条“规则”,个人认为把这些作为一个C语言安全编程规范的cheatsheet是相当不错的。 说明: 1.关于“ 建议(Recommendation)”:可以理解为“可选”的规范,一般是和最终软件产品的安全需求有关。遵循“建议”有助于改进系统安全性...

自己动手搭建缺陷Web App

搞Web安全的研究,没有一个本地实验环境是不行的,不能在互联网上乱试。给别人添点麻烦还算是小事,要是一不小心真让你拿下了一个站,结果发现是个蜜罐,你就等着警察叔叔上门吧。所以,安全第一,即使你是在研究安全。 Google Vulnerable Web Applications大约返回了467,000条搜索结果,看来这个需求挺常见,也挺容易满足。 Google的第一条搜索结果总会给我们带来...

invisible CAPTCHA to defeat spam

好久没有写与安全相关的技术文章了,没啥可写的是主因,没啥能写的是次因,没啥该写的是扯淡。今天一天的工作告一段落,各方面进展良好,看了看我的草稿箱,就挑这个主题update一下发布了。 写在前面的科普 anti-spam最早的含义应该就是指的反垃圾邮件,没别的原因,就是早期互联网的一个重要应用就是电子邮件,所以利用电子邮件进行垃圾信息传播是spammer们的主要工作内容。随着互联网技术的发...