简介：secur1ty just lik3 a girl. b0th of th3m h4ve s0me h0les. y0u alw4ys try to f1nd the h0le, but n0t 3very tim3 y0u c4n 3xpl0it it!

原站：http://hi.baidu.com/aullik5

指数：

“大风起兮云飞扬”的内容更新

累计：282 篇（自 2008-10-23 起）

更新：约2篇/周，最后更新9 天前

大风起兮云飞扬

几张DLP（data loss protection）的图

看图不说话。来源：https://securosis.com/blog/implementing-dlp-integration-priorities-and-components 阅读全文 类别：象牙塔 查看评论... (9 天前)

http://inezha.com/w/g7gb548c

大风起兮云飞扬

谈谈那些转变的观念

随着这些年经历的人与事，原来的一些观点有的发生了变化。我决定把这些变化的观点小结一下，因为这会是件很有意思的事情。当然这些观点也许以后还会随着阅历的增长再发生变化，谁知道呢。 waf无用论 在刚工作的头几年，安全界才刚刚提出waf这个概念。当时我是waf的反对者，并在blog中也写过一些文章谈waf的优缺点。当时的我认为安全方案应该嵌入到代码中实现，“在正确的... (62 天前)

http://inezha.com/w/uqqhiy8l

大风起兮云飞扬

关于网盘产品前景的一些设想

写完这篇文章后，我犹豫了很长时间要不要发出来，因为其中的观点我觉得并不是特别成熟，我毕竟不是一个专业的产品经理。最近试用了一下迅雷的vip账户，感觉确实已经实现了我所想的一些东西，似乎也是走在这条路上的。 在出发去机场前，还是决定把此文公开，也希望大家讨论，欢迎各种批评和建议。以下是正文。 近两年来网盘产品逐渐兴起。除了一些以网盘为主业务的站点（... (73 天前)

http://inezha.com/w/z0oe1y8p

大风起兮云飞扬

新书的目录，以及书名征集

新书主要是站在甲方的立场，介绍web安全的方方面面。从攻击原理，到防御方案的设计经验。 书名难取，原本我想取名叫《web安全之道》，但主编认为这个题目太虚太大，所以目前暂定名为： 主标题：《完美防线》 副标题：《web安全企业级解决方案与最佳实践》 副标题问题不大，主要是主标题还是要改，和市面上很多xx防线差不多。 前两天我想了个主标题叫”白帽子... (90 天前)

http://inezha.com/w/qjg17y8h

大风起兮云飞扬

Discuz! authcode() 弱IV缺陷

与上一篇一样，此文是2011 owasp主题演讲的补充。本文中也会发布在演讲中提到的演示代码。如果读者对密码学不是很熟悉，请先阅读之前的两篇blog文章。 discuz!的authcode()函数是一个经典的流密码算法实现，discuz和ucenter的很多产品都使用此函数进行加解密。我从网上找了一份算法分析，并自己补充了一些注释，如下（觉得枯燥的朋友也可以跳过此部分，不影响阅读）：=====... (91 天前)

http://inezha.com/w/29qs6y89

大风起兮云飞扬

PHPWind strcode() 加密算法设计缺陷

本文只是补充owasp 2011上主题演讲的一些细节。想了解背景可以参考此ppt。 由于时间匆忙，且家里发生了一些事情，所以这些都是2个月前的一些研究结果。代码也写得很粗糙，但基本能用。 描述 在phpwind 8.x 中（甚至包括一些老版本），strcode()函数是核心的加密函数，用于很多地方，比如cookie的加密。但strcode()函数只是简单的实现了xor加密，由于缺乏hmac和iv，使得s... (92 天前)

http://inezha.com/w/8moaly8v

大风起兮云飞扬

OWASP 2011 Asia演讲PPT：流行应用的加密算法实现缺陷与

似乎owasp cn不会发布演讲ppt。所以放在这里。 下个月还会去velocity大会讲一次，内容大同小异。 http://www.slideshare.net/ph4nt0m/ss-10147512 蛋疼，百度禁用了allownetwork，只能贴链接了。 阅读全文 类别：象牙塔 查看评论... (94 天前)

http://inezha.com/w/o4gg5y8t

订阅者 ( 4 )

相关订阅源