June 18, 2009 10:05 | by 
昨天和 Symantec 的一销售一起去拜访了客户,期间除了我讲完了评估的方法论和项目的实施介绍后,就听 Symantec 的销售在和客户进行沟通。自己一直在旁边仔细的听着,感觉 Symantec 的销售确实很 NB ,和我之前见到的一些安全公司的销售完全不一样,应该说是走的路线不一样。
这可能和公司的背景以及资历有关。一些小公司没有很深的公司背景和技术的积累做支撑,在客户那边一般都处于劣势,简单来说一般小公司的销售奉行的是客户就是上帝,只要你买了我的产品,你说什么都行。而像 Symantec 和 IBM 之类的公司则完全不一样,他们有很强的公司背景和技术积累,和客户的沟通只是建立一种合作的关系,所以有时候很强势。
这可能和公司的背景以及资历有关。一些小公司没有很深的公司背景和技术的积累做支撑,在客户那边一般都处于劣势,简单来说一般小公司的销售奉行的是客户就是上帝,只要你买了我的产品,你说什么都行。而像 Symantec 和 IBM 之类的公司则完全不一样,他们有很强的公司背景和技术积累,和客户的沟通只是建立一种合作的关系,所以有时候很强势。
June 12, 2009 10:17 | by
还记得几年前因为一次 QQ 被盗而导致对黑客技术产生了浓厚的兴趣,而想想现在的状况已经趋于平静了....
很多人都和我一样,刚开始都是出于兴趣,谁也不曾想过要靠当初学习到的这点黑客技术来养活自己,来赚钱。当时真好,纯粹是为了兴趣和满足自己年轻时那种爱表现、爱炫耀的心理,现在想想仍然历历在目。
几年后的今天,坐在公司里,想想过去几年的种种,再想想日后的路应该怎么走?不免有点彷徨和迷茫...技术?金钱?哪样更加重要?几年前和很多一样,崇尚技术第一,虽然也没学到什么技术,但那时依然狂热的追求技术,整天泡在网上,学习各种攻击技巧,那时的脑子想的是什么?想的是怎样利用最新的漏洞攻克更多的网站,怎样使得自己和凯文米特尼克或者小榕那样出名。
很多人都和我一样,刚开始都是出于兴趣,谁也不曾想过要靠当初学习到的这点黑客技术来养活自己,来赚钱。当时真好,纯粹是为了兴趣和满足自己年轻时那种爱表现、爱炫耀的心理,现在想想仍然历历在目。
几年后的今天,坐在公司里,想想过去几年的种种,再想想日后的路应该怎么走?不免有点彷徨和迷茫...技术?金钱?哪样更加重要?几年前和很多一样,崇尚技术第一,虽然也没学到什么技术,但那时依然狂热的追求技术,整天泡在网上,学习各种攻击技巧,那时的脑子想的是什么?想的是怎样利用最新的漏洞攻克更多的网站,怎样使得自己和凯文米特尼克或者小榕那样出名。
作者:Mickey
这几天看了篇叫"Penetration: from application down to OS (Oracle)"的文档,感觉挺有意思的,文档的 大概意思就是说,如果 ORACLE 服务是用 administrator 账户启动的,你只要有一个具有 resource 和connect 权限的数据库账户,就能利用 metasploit 的 smbrelay 功能,本地搭建一个 SMB 欺骗服务器,来得到系统的访问权限。我本地测试了下,还真的成功了。:-)
这几天看了篇叫"Penetration: from application down to OS (Oracle)"的文档,感觉挺有意思的,文档的 大概意思就是说,如果 ORACLE 服务是用 administrator 账户启动的,你只要有一个具有 resource 和connect 权限的数据库账户,就能利用 metasploit 的 smbrelay 功能,本地搭建一个 SMB 欺骗服务器,来得到系统的访问权限。我本地测试了下,还真的成功了。:-)
PS:这都是什么样的社会?一个病态的社会,好人不能做,做了要赔钱····首先看来自 Sina 的消息:
原文:http://news.sina.com.cn/s/2009-06-04/024717945520.shtml
[quote]快报讯(通讯员 何明 于萍 见习记者 李蓓超) 前天下午,浦口区江浦街道市民广场,一位七旬老人倒在地上,口吐白沫动弹不得,可是20分钟内,周围围了一圈人却没人伸出援手。最后,城管队员小赵喊来了救护车把他送到医院进行急救。目前,民警仍在与其家属联系中。
原文:http://news.sina.com.cn/s/2009-06-04/024717945520.shtml
[quote]快报讯(通讯员 何明 于萍 见习记者 李蓓超) 前天下午,浦口区江浦街道市民广场,一位七旬老人倒在地上,口吐白沫动弹不得,可是20分钟内,周围围了一圈人却没人伸出援手。最后,城管队员小赵喊来了救护车把他送到医院进行急救。目前,民警仍在与其家属联系中。
June 2, 2009 20:26 | by
可能很多朋友发现前一段时间我的Blog 的主域名 www.lengmo.net 无法访问,这是因为一个星期前,我正在办理域名过户。
此域名 www.lengmo.net 一开始是由 redbin 送我的,所以域名的管理和续费都是 redbin 帮我维护和续费的,因为逐渐感到这样很不方便,有时候需要更改 DNS 等信息,redbin 又不在线,所以很麻烦··
一直想办理域名过户,但是一直都嫌麻烦,因为域名又要到期了,所以这次一下狠心,就将域名过户了,本来想免费过户的,但一看,域名要停止一个月呢,所以就花了 40 块钱,等了一个星期才过户完成···不容易啊··NND ···
此域名 www.lengmo.net 一开始是由 redbin 送我的,所以域名的管理和续费都是 redbin 帮我维护和续费的,因为逐渐感到这样很不方便,有时候需要更改 DNS 等信息,redbin 又不在线,所以很麻烦··
一直想办理域名过户,但是一直都嫌麻烦,因为域名又要到期了,所以这次一下狠心,就将域名过户了,本来想免费过户的,但一看,域名要停止一个月呢,所以就花了 40 块钱,等了一个星期才过户完成···不容易啊··NND ···
From:CB
微软今天发布警告表示,一个Windows操作系统种的关键安全漏洞已经被黑客利用来远程执行恶意代码.
这一漏洞出现在Windows的DirectX组件中,在浏览器自动播放QuickTime文件时会被激活,使用Vista系统的人们只需要访问恶意网站提供的恶意文件就可以中招,而Windows Server 2008和Windows 7不受影响,并且漏洞也不出现在QuickTime上(不是苹果的错).
问题主要出现在DirectShow的处理支持QuickTime文件时包含提升权限漏洞,漏洞较为严重,微软已经针对这一DirectX应用程序编程接口的漏洞作了修正,虽然目前利用该漏洞的攻击很有限,但微软通过其合作伙伴的主动保护计划宣布了这一问题.
微软今天发布警告表示,一个Windows操作系统种的关键安全漏洞已经被黑客利用来远程执行恶意代码.
这一漏洞出现在Windows的DirectX组件中,在浏览器自动播放QuickTime文件时会被激活,使用Vista系统的人们只需要访问恶意网站提供的恶意文件就可以中招,而Windows Server 2008和Windows 7不受影响,并且漏洞也不出现在QuickTime上(不是苹果的错).
问题主要出现在DirectShow的处理支持QuickTime文件时包含提升权限漏洞,漏洞较为严重,微软已经针对这一DirectX应用程序编程接口的漏洞作了修正,虽然目前利用该漏洞的攻击很有限,但微软通过其合作伙伴的主动保护计划宣布了这一问题.
From:Ph4nt0m Mail List
MS IIS 6.0 WebDAV Auth. Bypass Exploit v1.1 Options
MS IIS 6.0 WebDAV Auth. Bypass Exploit v1.1 Options
请不要吝啬你的赞美,因为你的一句简单的赞美可能带给人家一天的好心情···
这是突然的感悟,以前都不好意思说,因为感觉关系很好的朋友、同事或者亲人之间都懒得说这样的话,虽然有时候对方有的事情做的很出色、很棒,但一般也绝不说夸奖或赞美之类的话。而最近感觉在适当的时候说些赞美对方的话,会带给别人一天的好心情...
有时候情侣之间也是这样,很多时候时间长了,可能双方都会觉得很熟悉了,没必要了,其实不然,在对方做一些出色的事情上,应该给予赞美或夸奖,譬如“你真棒、你很厉害”等等之类鼓励对方的话,这样既能使对方开心,虚荣心得到满足,又能增加两人之间的感情,这样的事情何乐而不为呢?所以请大家在适当的时候,对自己的家人、亲人、朋友、同事之间说一些赞美之类的话吧···
这是突然的感悟,以前都不好意思说,因为感觉关系很好的朋友、同事或者亲人之间都懒得说这样的话,虽然有时候对方有的事情做的很出色、很棒,但一般也绝不说夸奖或赞美之类的话。而最近感觉在适当的时候说些赞美对方的话,会带给别人一天的好心情...
有时候情侣之间也是这样,很多时候时间长了,可能双方都会觉得很熟悉了,没必要了,其实不然,在对方做一些出色的事情上,应该给予赞美或夸奖,譬如“你真棒、你很厉害”等等之类鼓励对方的话,这样既能使对方开心,虚荣心得到满足,又能增加两人之间的感情,这样的事情何乐而不为呢?所以请大家在适当的时候,对自己的家人、亲人、朋友、同事之间说一些赞美之类的话吧···
May 21, 2009 10:03 | by
为朋友 冰的原点 的新书打个广告,希望大卖···大家多捧场···
简介
本书的内容在写的过程中尽量的去避免那些多余的理论上的东西,更注重实际上的操作和细节问题。为了照顾菜鸟和一些已经起步的读者,本书也从各个角度、不同的深度去看待一些问题。如第一章就简单的介绍了下一些术语名词的意义;第二章虽然是写弱口令的,如果你仔细的读,你会发现里面的精彩内容也是令你期待的,同一个问题不同的手法;第三章讲到的则是大名鼎鼎的MSF的简单利用;第四章则是本书的重头戏,基本上现行网络上的各种攻击技术都已网罗其中,并且不乏新的攻击手法和思维;第五章则不忘把XSS单成一节以让大家了解其严重的危害性;第六章除了简单的利用搜索引擎的动力话,还讲述了如何利用人性的弱点去攻击对方,这里可是实战的例子哦;第七章则很明显的是大家都很关注的问题,权限和内网,除了常规思路的讲解外,还有新方法和新思路等重头戏……
简介
本书的内容在写的过程中尽量的去避免那些多余的理论上的东西,更注重实际上的操作和细节问题。为了照顾菜鸟和一些已经起步的读者,本书也从各个角度、不同的深度去看待一些问题。如第一章就简单的介绍了下一些术语名词的意义;第二章虽然是写弱口令的,如果你仔细的读,你会发现里面的精彩内容也是令你期待的,同一个问题不同的手法;第三章讲到的则是大名鼎鼎的MSF的简单利用;第四章则是本书的重头戏,基本上现行网络上的各种攻击技术都已网罗其中,并且不乏新的攻击手法和思维;第五章则不忘把XSS单成一节以让大家了解其严重的危害性;第六章除了简单的利用搜索引擎的动力话,还讲述了如何利用人性的弱点去攻击对方,这里可是实战的例子哦;第七章则很明显的是大家都很关注的问题,权限和内网,除了常规思路的讲解外,还有新方法和新思路等重头戏……
