翼隻笨鳥的力量

     今天帮一个朋友清除了Z-Blog里的一个系统漏洞。

　  家里的电脑中了一个很奇怪的病毒。

　　人们刚开始使用密码没多久，就有人发现很多人一再使用完全相同的密码，即使是拼错的密码也惊人地一致。事实上，正因为人们对密码的设置可以被猜测出来，所以大部分黑客都会用到下面的常用密码表。从下列500个最常用的密码中，你可以洞悉安全意识薄弱的人有多么危险。如果你在这个表中看到了自己常用的密码，赶紧换掉吧。要知道，下面列出的每个密码都至少被成百上千的其他人使用过。

　　一年一度的日本年度汉字评选结果揭晓。日本汉字能力鉴 定协会宣布，“爱”字被评选为2005年度代表日本世态的年度汉字。2005年正逢日本皇室纪宫公主的结婚大喜，加上日本爱知世博会的成功举办，这些都是 “爱”字当选的重要原因。

　　然而对于我来说，刚刚过去的这一年给我的感觉很不好。我想，很多人会和我有相同的想法。

　　这 不，今天，我看到Postshow发起2005“年度汉字”评选活动，于是我也凑个热闹，投一票。

　　2005“年度汉字”评选，我选择 “封”。

　　虽然前一阵服务器被人攻击，但是我也得到了很多经验教训。配置服务器为hisecweb模板后，可以抵抗一般规模的DDOS攻击了。服务器CPU通常只有5％的使用率。但是被攻击时候会增高到30％上下。

　　本文档列举出一些建议和最佳做法，以保证 Web 上运行 Microsoft Windows 2000 和 Internet Information Services (IIS) 5 的服务器的安全。这些设置侧重于安全性而不是性能方面。因此认真阅读以下的建议并运用它们来获得适用于自己企业的设置是很重要的。

　　Win2000操作系统的一个主要特色就是将IIS融入其内核之中，并提供一些用来配置和维护软件的向导工具，使构建一个Internet网站轻松易得。但是，如果要创建一个安全可靠的Internet网站，实现“地面部分”－Win2000操作系统和“空中部分”－IIS的双重安全，还需要更加全面和深入的工作。本文就对这些稳固工作中的空中部分－IIS进行讨论，旨在帮助管理员一步步地实施网站安全构建工作。

　因为IIS（即Internet Information Server）的方便性和易用性，使它成为最受欢迎的Web服务器软件之一。但是，IIS的安全性却一直令人担忧。如何利用IIS建立一个安全的Web服务器，是很多人关心的话题。

　　自从搞ASP+ACCESS没少为避免数据库下载而伤过神，网上的奇淫技巧更是数不胜数，本文就是同大家共同探讨各路前辈的留下的秘笈并指中其中的优劣，最后为大家提供一种最佳的解决方案

　　通常地，大多数Web站点的设计目标都是：以最易接受的方式，为访问者提供即时的信息访问。在过去的几年中，越来越多的黑客、病毒和蠕虫带来的安全问题严重影响了网站的可访问性，尽管Apache服务器也常常是攻击者的目标，然而微软的Internet信息服务(IIS) Web服务器才是真正意义上的众矢之的。

仅仅代表我的观点.不怕见笑.有问题请大家指教!我想如果你是牛人,那这个已经不是值得你看的内容,只是觉得对与很多刚入门的ASP程序员来说还是有点实际意义,所以不怕被大家笑话,写了贴在这里!

众所周知，FileSystemObject组件的强大功能及破坏性是它屡屡被免费主页提供商(那些支持ASP)的禁用的原因，我整理了一下，本来只找到两种方法，后来被某人一刺激，硬是想到第三种不为人所知的方法，呵呵，也不知道是不是这样的。

    随着ASP 技术的发展，网络上基于ASP技术开发的网站越来越多，对ASP技术的支持可以说已经是windows系统IIS服务器的一项基本功能。但是基于ASP技术的木马后门，也越来越多，而且功能也越来越强大。由于ASP它本身是服务器提供的一贡服务功能，所以这种ASP脚本的木马后门，不会被杀毒软件查杀。被黑客们称为"永远不会被查杀的后门"。由于其高度的隐蔽性和难查杀性，对网站的安全造成了严重的威胁。因此针对ASP木马的防范和清除，为我们的网管人员提出了更高的技术要求。下面我结合个人的经验，谈一下对两款比较典型的ASP 木马的防范方法，希望对大家能够有所帮助。

看完入门篇和进阶篇后，稍加练习，破解一般的网站是没问题了。但如果碰到表名列名猜不到，或程序作者过滤了一些特殊字符，怎么提高注入的成功率？怎么样提高猜解效率？请大家接着往下看高级篇

　在入门篇，我们学会了SQL注入的判断方法，但真正要拿到网站的保密内容，是远远不够的。接下来，我们就继续学习如何从数据库中获取想要获得的内容，首先，我们先看看SQL注入的一般步骤：

随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高，程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入

　　Google终于开通了我们梦寐以求的SSL搜索功能，这有什么好处本人不再在这里赘述。然而，我们每次输入 https://www.google.com 总是自动跳转到 http://www.google.com.hk 的主页，这极其不方便我们使用SSL搜索功能。

　　改版，是一个问题。越来越多互联网公司产品人员意识到这个问题，无论是豆瓣的改版，还是Facebook的改版都遭到了用户的疯狂抵制。