1． PD和PM：正常来说，PD指的是产品设计，PM指的是产品经理，但在有的公司，产品经理统称PD，PM指的是项目管理。
2． 产品和运营：有些公司产品和运营是区分开的，团队里有专门负责产品的产品人员，有专门负责运营的运营人员；也有的公司产品和运营不分家，通常产品经理，所以投简历时一定要注意该公司环境、该职位的工作职责——这份工作到底适不适合自己。
3． 产品设计、产品规划、产品经理：不同的公司对于职称有不同的定义，看过很多产品相关的文章，发现自己只是做了产品经理的一部分工作，于是拿产品经理作为目标来鞭策自己
4． 战略规划：菜鸟的终极目标是从需求的执行方，上升到产品战略规划，但现状产品的大方向都是老板规划好的，自己在小方面有全完的自主权，通过产品来实现老板的大产品生态圈。
5． 产品经理的定义：
引用《人人都是产品经理》的一段话
只要你能够发现问题并描述清楚，转化为一个需求，进而转化为一个任务，争取到支持，发动起一批人，将这个任务完成，并持续不断以主人翁的心态、维护这个产物，那么，你就是成品经理。

（2）产品经理需要的能力

1) 沟通是基础
很多人都会把沟通能力作为自己的亮点提出，其实沟通能力只是一个产品经理所必需的基础能力，可以说没这项能力，你就成为不了一个好的产品经理。包括：
1. 输入能力：作为产品需求的发起人、执行者，要具备良好的需求理解能力，从客户、老板、用户那边接到需求，正确理解用户需求；同时要把用户需求转化为产品需求。
2. 输出能力：作为一个跨部门协助的人，产品人员需要有良好的表达能力，在项目初期你要拿你的概念去忽悠老板，让老板同意立项。在产品的中期，要组织UI、开发、测试产品相关人，把自己的想法输出给他们，这主要体现在产品的评审会上，产品评审、UI评审、测试评审等， PRD文档以及后续的开发、测试跟进，确保开发出来的效果符合产品初衷。
3. 演示能力：产品上线前的产品介绍、产品培训，作为立项和演示用的产品规划PPT
2) 具备市场感觉
我见过的很多产品，其实根本没想好我们为什么要做，市场定位和产品核心价值都不明显，看别人都在做，于是跟风趋势。比如之前的SNS热和现在的微薄、团购门。
要做一个有天分的产品经理，其关键是必须要以市场为导向。要进行市场调查，做市场细分，这个市场大不大，有没有前景，做的人多不多，进入这个市场有没有堡垒，需不需要特定资源的优势。通盘考虑了这些，然后利用SWOT，做竞争对手分析，了解各自的强项和弱项，找到机会在哪里，威胁在哪里，并进行分析，我们来做合不合适，合适的话如何制订未来的战略。
3) 用户意识
所谓用户意识，并不仅仅是把用户拿在口头上，把用户体验作为说服老板和研发人员的武器。
产品设计最重要的是意识，了解和尊重用户的意识；策划最重要的是感觉。所谓感觉，特指你对用户的了解程度，越了解用户，感觉也就越准。这种感觉尤其体现在对特定用户群，在特定应用情景下的了解。
4) 文档能力
如果用时间刻度来衡量产品经理的工作，20%时间在思考，30%时间在沟通，50%时间在写文档。一般来说，产品人员所要求的专业技能，具体体现在产品所撰写的各类文档中。
说起文档，MRD市场需求文档我也没写过，听易趣的一个朋友说，MRD是市场部人员写的；PRD文档是写得最多的，一份PRD文档包括了项目背景、用户说明、业务流程和原型；竞品分析，狭义上的定义是理清好产品概念后，通常会去看看看市场上相对应的产品有哪些，有哪些功能和设计思路可以借鉴。广义上的竞品分析指的是针对竞争对手的情况做一个通盘的分析，包括市场、用户、团队、产品细节、运营手段等，然后形成一个报告，比如之前流传的《梦幻西游》；产品说明书指的是产品上线前、交付用的产品介绍说明书，用来做培训和销售卖点的特征。培训手册，用来给内部人员培训的，特别是给面对用户的客服人员，产品人员也是客服支持人员。
5) 技术能力
很多人都在讨论产品人员需不需要了解技术，正常来说，产品经理部需要去了解技术的实现手段，但是对于基础的技术原理一定要了解，比如基本的HTML/CSS知识，AJAX的原理、PHP的基础、用户规模对数据库的要求。
6) 团队的力量
一般来说，刚入社会，人与人的差别并不明显，学校里教的只是基础的东西。个人的力量是渺小的，这个时候需要借用团队的力量。产品经理很多时候都是在协调，协调资源和人员，这个时候更需要发挥团队的力量

（3）个人核心技能
如果说产品经理的核心能力，那一定是产品规划能力。
个人的核心技能是什么？据我理解，个人核心技能一定是独立的分析和解决问题的能力。在这里面可能涉及到已有实践工作的经验积累，工作方式和专业技能。时间管理、个人知识管理、等个人的方法和模式；以及学习能力，信息知识的获取和成长。

（四）激情、信仰
记得08年刚入门时，有个前辈跟我说过，我们是互联网的创造者，我们的工作，是在改变人类的生活。听之，并未记在心上。
09年，在和我们产品总监的一次聊天中，他提到了他以前的一个很成功的产品，他的激情让我很震撼，他提出的口号，让人类的生活更美好，我知道，并不仅仅是一种号召语，而是融入灵魂的一种信仰。
无独有偶，苏杰《人人都是产品经理》的副标题是“好产品改变世界”、王坚的《结网》的标题是“互联网产品经理改变世界”、QQ的产品理念是打造人类在线生活社区。
做产品2年多以来，我也发现了自己早已把产品习惯融入了生活中的很多细节，比如写文章之前总是喜欢先用MM画好结构图、做个详细的学习、工作计划 LIST，隔一段时间会迭代更新、喜欢规范和模板利用，不仅在工作中会运用到，生活中的学习模式、文件管理也如此。
所以，首先，找到你最喜欢的事（产品和行业），做你喜欢的事，你才能充满激情，告诉自己这是一份伟大的工作，相信我们所做的产品是在改变生活、改变世界，让我们一起努力。

• No related posts.

漏洞介绍：nginx是一款高性能的web服务器，使用非常广泛，其不仅经常被用作反向代理，也可以非常好的支持PHP的运行。80sec发现其中存在一个较为严重的安全问题，默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析，这将导致严重的安全问题，使得恶意的攻击者可能攻陷支持php的nginx服务器。

漏洞分析：nginx默认以cgi的方式支持php的运行，譬如在配置文件当中可以以

location ~ \.php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;
include fastcgi_params;
}

的方式支持对php的解析，location对请求进行选择的时候会使用URI环境变量进行选择，其中传递到后端Fastcgi的关键变量SCRIPT_FILENAME由nginx生成的$fastcgi_script_name决定，而通过分析可以看到$fastcgi_script_name是直接由URI环境变量控制的，这里就是产生问题的点。而为了较好的支持PATH_INFO的提取，在PHP的配置选项里存在cgi.fix_pathinfo选项，其目的是为了从SCRIPT_FILENAME里取出真正的脚本名。
那么假设存在一个http://www.80sec.com/80sec.jpg，我们以如下的方式去访问

将会得到一个URI

/80sec.jpg/80sec.php

经过location指令，该请求将会交给后端的fastcgi处理，nginx为其设置环境变量SCRIPT_FILENAME，内容为

/scripts/80sec.jpg/80sec.php

而在其他的webserver如lighttpd当中，我们发现其中的SCRIPT_FILENAME被正确的设置为

/scripts/80sec.jpg

所以不存在此问题。
后端的fastcgi在接受到该选项时，会根据fix_pathinfo配置决定是否对SCRIPT_FILENAME进行额外的处理，一般情况下如果不对fix_pathinfo进行设置将影响使用PATH_INFO进行路由选择的应用，所以该选项一般配置开启。Php通过该选项之后将查找其中真正的脚本文件名字，查找的方式也是查看文件是否存在，这个时候将分离出SCRIPT_FILENAME和PATH_INFO分别为

/scripts/80sec.jpg和80sec.php

最后，以/scripts/80sec.jpg作为此次请求需要执行的脚本，攻击者就可以实现让nginx以php来解析任何类型的文件了。

http://www.80sec.com/80sec.jpg/80sec.php

POC： 访问一个nginx来支持php的站点，在一个任何资源的文件如robots.txt后面加上/80sec.php，这个时候你可以看到如下的区别：

访问http://www.80sec.com/robots.txt

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:05:30 GMT
Content-Type: text/plain
Content-Length: 18
Last-Modified: Thu, 20 May 2010 06:26:34 GMT
Connection: keep-alive
Keep-Alive: timeout=20
Accept-Ranges: bytes

访问访问http://www.80sec.com/robots.txt/80sec.php

HTTP/1.1 200 OK
Server: nginx/0.6.32
Date: Thu, 20 May 2010 10:06:49 GMT
Content-Type: text/html
Transfer-Encoding: chunked
Connection: keep-alive
Keep-Alive: timeout=20
X-Powered-By: PHP/5.2.6

其中的Content-Type的变化说明了后端负责解析的变化，该站点就可能存在漏洞。

漏洞厂商：http://www.nginx.org

解决方案：

我们已经尝试联系官方，但是此前你可以通过以下的方式来减少损失

关闭cgi.fix_pathinfo为0

或者

if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}

• Nginx做负载均衡时X-Forwarded-For信息头的处理

Adobe CS5 通用破解补丁使用方法：

下面以安装 Photoshop CS5 为例：

第一步：下载 Photoshop CS5 简体中文版 与 Adobe CS5 通用破解补丁
第二步：以试用方式安装 Adobe Photoshop CS5，不需要输入序列号
第三步：将破解补丁 amtlib.dll 文件复制到Photoshop CS5的安装目录，覆盖同名文件

PS：如果覆盖后还出现注册或者输入注册码的选项，选择以后注册和试用即可。其他软件破解步骤与 Photoshop CS5 没什么差别，最多就是 amtlib.dll 原文件位置不一样，大家可以用搜索软件 (推荐EveryThing) 找出来再覆盖。
PS2：使用64位系统的朋友请下载64位的补丁！
PS3：如果你安装多个软件，例如同时装了PS CS5和 DreamWeaver CS5，那么每个不同的软件需要覆盖一次amtlib.dll

下载地址

32位下载地址：http://www.rayfile.com/files/ded81dca-65b5-11df-b251-0015c55db73d/

64位下载地址：http://www.rayfile.com/files/156c2e80-65b6-11df-846e-0015c55db73d/

• No related posts.

纪念PAC-MAN诞生30周年。真是很极客，很“生活大爆炸”，让人觉得GOOGLE里面全是一群SHELDON。然后突然发现这个是能玩的首页，音效和红白机里的一样，真怀念啊！

• No related posts.

一有新的会及时发上来，今天先发三个

http://t.qq.com/invite/0962cfd22fb3d9fa2247
http://t.qq.com/invite/4764cac53ecdd3a3be49
http://t.qq.com/invite/7c8fa582500a83b3806b

先看到的先认领吧，我会定期更新

• No related posts.

先来看一下X-Forwarded-For的定义：
X-Forwarded-For:简称XFF头，它代表客户端，也就是HTTP的请求端真实的IP，只有在通过了HTTP 代理或者负载均衡服务器时才会添加该项。它不是RFC中定义的标准请求头信息，在squid缓存代理服务器开发文档中可以找到该项的详细介绍。
标准格式如下：
X-Forwarded-For: client1, proxy1, proxy2
从标准格式可以看出，X-Forwarded-For头信息可以有多个，中间用逗号分隔，第一项为真实的客户端ip，剩下的就是曾经经过的代理或负载均衡的ip地址，经过几个就会出现几个。

按照上图的Web架构图，可以很容易的看出，当用户请求经过CDN后到达Nginx负载均衡服务器时，其X-Forwarded-For头信息应该为 客户端IP,CDN的IP 但实际情况并非如此，一般情况下CDN服务商为了自身安全考虑会将这个信息做些改动，只保留客户端IP。我们可以通过php程序获得X-Forwarded-For信息或者通过Nginx的add header方法来设置返回头来查看。

下面来分析请求头到达Nginx负载均衡服务器的情况；在默认情况下，Nginx并不会对X-Forwarded-For头做任何的处理，除非用户使用proxy_set_header 参数设置：
proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;

$proxy_add_x_forwarded_for变量包含客户端请求头中的”X-Forwarded-For”，与$remote_addr用逗号分开，如果没有”X-Forwarded-For” 请求头，则$proxy_add_x_forwarded_for等于$remote_addr。

$remote_addr变量的值是客户端的IP

当Nginx设置X-Forwarded-For等于$proxy_add_x_forwarded_for后会有两种情况发生

1、如果从CDN过来的请求没有设置X-Forwarded-For头（通常这种事情不会发生），而到了我们这里Nginx设置将其设置为$proxy_add_x_forwarded_for的话，X-Forwarded-For的信息应该为CDN的IP，因为相对于Nginx负载均衡来说客户端即为CDN，这样的话，后端的web程序时死活也获得不了真实用户的IP的。

2、CDN设置了X-Forwarded-For，我们这里又设置了一次，且值为$proxy_add_x_forwarded_for的话，那么X-Forwarded-For的内容变成 ”客户端IP,Nginx负载均衡服务器IP“如果是这种情况的话，那后端的程序通过X-Forwarded-For获得客户端IP，则取逗号分隔的第一项即可。

如上两点所说，如果我们知道了CDN设置了X-Forwarded-For信息，且只有客户端真实的IP的话，那么我们的Nginx负载均衡服务器可以不必理会该头，让它默认即可。

其实Nginx中还有一个$http_x_forwarded_for变量，这个变量中保存的内容就是请求中的X-Forwarded-For信息。如果后端获得X-Forwarded-For信息的程序兼容性不好的话（没有考虑到X-Forwarded-For含有多个IP的情况），最好就不要将X-Forwarded-For设置为 $proxy_add_x_forwarded_for。应该设置为$http_x_forwarded_for或者干脆不设置！

参考文章：http://salogs.com/qi

• nginx文件类型错误解析漏洞
• Ubuntu 服务器上安装 SSH Server
• 善用tar
• 向WINDOWS说再见
• Ubuntu Linux操作系统常用命令详细介绍

实际上，在我思想中，企业搞web安全，这是两个主攻方向了。(PCI标准也这么要求)

我习惯上把WAF归纳为过滤层，就是在应用的架构中有这么一个 filter-tier, 他起的作用是过滤和净化危险输入。在架构中的位置可以是多样化的：单独的硬件、apache mod、应用里面捕获输入；

WAF如果开启阻断功能的话，就可以起到虚拟补丁的功能。在这个意义上来说，可以减小程序员的工作量。

而WAF的最大阻力则是：
1. 误报
2. 对性能的影响
3. 稳定性

而AppSec这些公司推的WAF都属于硬件产品。包括mod-security等，他们都自己有一套漏洞规则，然后卖给甲方。这也是他们产品难推的原因，尽管你吹的天花乱坠，但实际上敢开启block模式的估计不会有多少，实际上jeremiah grossman自己也承认了，并引用了一段话

“When you know nothing, permit-all is the only option. When you know something, default-permit is what you can and should do. When you know everything, default-deny becomes possible, and only then.”

要了解所有的东西，就要从一开始就上WAF，对于很多半路出家搞安全的网站来说，这显然是很难接受的。

所以真正要实现好的WAF，只能是自己开发，自己部署，通过“学习模式”，来消除误报。而且自己的东西，是可控的，至少从心理上来说是可控的。

WAF的模式是有一定的作用，但不是万能的，也没厂商吹嘘的那么玄乎。这玩意治标不治本，无法带给你的网站安全； 只有有人不断专业维护的WAF，才能从一定程度上说可以带给你安全。这就是我一直在强调的： 安全是一个持续的过程。

与WAF对应的另外一个方向是code review。 code review也有很多方向，不是随便从网上抄个规范来就行的。 同样的，code security review可以做为sdl中的一个核心过程，在软件工程中发扬光大。 每个企业都需要找到自己代码的特色，从而定制出符合自己特色的代码规范，和代码漏洞扫描工具。 这些思想也是我在 《安全幻想曲2008》中曾经强调过的，可惜从CB的反馈看来，真正能看懂我那篇paper背后意思的人的恐怕不多。

code review 是一个治本的过程，也需要长期坚持。不过review code的成本会比较大，有人力也有时间的投入，还有更多的沟通成本。code review的方向 应该是尽可能降低对个人经验的依赖，这就需要有优秀的规范和规则。

在应用安全里， WAF和code review应该是相辅相成的。但是我看现在不少厂商为了牟利，鼓吹WAF的优越性，让WAF走上了歪路，企业冤枉钱花了，却只是一个花架子的安全，一戳就破。如何正确应用，才是甲方安全人员需要思考的问题。

先瞎扯这么多，这两个话题可以讲很深，以后再慢慢一一侃来。

• 国内WEB安全市场分析
• Web Application Firewall(WAF)入门
• WAF防火墙评估标准。
• UTM，上网行为管理，防病毒网关，Web安全网关
• 金融股市回暖 金融证券网站挂马大幅增多
• 网站防篡改 立即部署WEB应用防火墙
• 金融危机促使Web应用防火墙走强
• Web应用安全思维导图

什么是web应用防火墙？

    有趣的是，还没有人能真正知道web应用防火墙究竟是什么，或者确切的说，还没有一个大家认可的精确定义。从广义上来说，Web应用防火墙就是一些增强 Web应用安全性的工具。然而，如果我们要深究它精确的定义，就可能会得到更多的疑问。因为一些Web应用防火墙是硬件设备，一些则是应用软件；一些是基于网络的，另一些则是嵌入WEB服务器的。

国外市场上具有WEB应用防火墙功能的产品名称就有不同的几十种，更不用说是产品的形式和描述了。它难以界定的原因是这个名称包含的东西太多了。较低的网络层（Web应用防火墙被安置在第七层）被许多设备所覆盖，每一种设备都有它们独特的功能，比如路由器，交换机，防火墙，入侵检测系统，入侵防御系统等等。然而，在HTTP的世界里，所有这些功能都被融入在一个设备里：Web应用防火墙。

总体来说，Web应用防火墙的具有以下四个方面的功能：

   1. 审计设备：用来截获所有HTTP数据或者仅仅满足某些规则的会话

   2. 访问控制设备：用来控制对Web应用的访问，既包括主动安全模式也包括被动安全模式

   3. 架构/网络设计工具：当运行在反向代理模式，他们被用来分配职能，集中控制，虚拟基础结构等。

   4. WEB应用加固工具：这些功能增强被保护Web应用的安全性，它不仅能够屏蔽WEB应用固有弱点，而且能够保护WEB应用编程错误导致的安全隐患。

但是，需要指出的是，并非每种被称为Web应用防火墙的设备都同时具有以上四种功能。

由于WEB应用防火墙的多面性，拥有不同知识背景的人往往会关注它不同方面的特点。比如具有网络入侵检测背景的人更倾向于把它看作是运行在HTTP层上的 IDS设备；具有防火墙自身背景的人更趋向与把它看作一种防火墙的功能模块。还有一种理解来自于“深度检测防火墙”这个术语。他们认为深度检测防火墙是一种和Web应用防火墙功能相当的设备。然而，尽管两种设备有些相似之处，但是差异还是很大的。深度检测防火墙通常工作在的网络的第三层以及更高的层次，而 Web应用防火墙则在第七层处理HTTP服务并且很好地支持它。

直接更改WEB代码解决安全问题是否更好？这是毋庸置疑的，但也没那么容易（实现）。

    因为，通过更改WEB应用代码是否一定就能增强系统安全性能，这本身就存在争论。而且现实也更加复杂：

    * 不可能确保100%的安全。人的能力有限，会不可避免地犯错误。
    * 绝大多数情况下，很少有人力求100%的安全。如今的现实生活中那些引领应用发展的人更多注重功能而不是安全。这种观念正在改变，只是有点缓慢。
    * 一个复杂的系统通常包含第三方产品（组件，函数库），它们的安全性能是不为人知的。如果这个产品的源代码是保密的，那么你必须依赖商品的厂商提供补丁。即使有些情况下源代码是公开的，你也不可能有精力去修正它们。
    * 我们不得不使用存在安全隐患的业务系统，尽管这些旧系统根本无法改进。

    因此，为了获得最好的效果，我们需要双管齐下：一方面，必须提高管理者和开发者的安全意识；另一方面，尽可能提高应用系统的安全性。

Web应用防火墙的特点

    Web应用防火墙的一些常见特点如下:

异常检测协议

    如果阅读过各种RFC，就会发现一个被反复强调的主题。大多数RFC建议应用自己使用协议时要保守，而对于接受其他发送者的协议时可以自由些。Web服务器就是这样做的，但这样的行为也给所有的攻击者打开了大门。几乎所有的WAF对HTTP的请求执行某种异常检测，拒绝不符合Http标准的请求。并且，它也可以只允许HTTP协议的部分选项通过，从而减少攻击的影响范围。甚至，一些WAF还可以严格限定HTTP协议中那些过于松散或未被完全制定的选项。

增强的输入验证

    就频繁发生的Web安全问题而言，有些是源于对Web设计模型的误解，有些则来自于程序师认为浏览器是可信的。很多WEB程序员用JavaScript在浏览器上实现输入验证。而浏览器只是一个用户控制的简单工具，因此攻击者可以非常容易地绕过输入验证，直接将恶意代码输入到WEB应用服务器。

有一个解决上述问题的正确方法，就是在服务端进行输入验证。如果这个方法不能实现，还可以通过在客户和应用服务器之间增加代理，让代理去执行Web页面上嵌入的JavaScript，实现输入验证。

消极的安全模型VS积极的安全模型

    曾经设置过防火墙规则的人，可能会碰到这样的建议：允许已知安全的流量，拒绝其他一切访问。这就是一种很好的积极安全模型。恰恰相反，消极安全模型则是默认允许一切访问，只拒绝一些已知危险的流量模式。

每种安全模型方式都存在各自的问题：

    消极安全模型：什么是危险的？

    积极安全模型：什么是安全的？

    消极安全模式通常使用的更多。识别出一种危险的模式并且配置自己的系统禁止它。这个操作简单而有趣，却不十分安全。它依赖于人们对于危险的认识，如果问题存在，却没有被意识到（这种情况很常见），就会为攻击者留下可趁之机。

积极安全模式（又称为白名单模式）看上去是一种制定策略的更好方式,非常适于配置防火墙策略。在Web应用安全领域中，积极安全模式通常被概括成对应用中的每一个脚本的枚举。对枚举的每一个脚本，需要建立一个相应列表，表中内容如下所示：

    * 允许的请求方式（比如，GET/POST或者只POST）
    * 允许的Content-Type
    * 允许的Content-Length
    * 允许的参数
    * 指定参数和可选参数
    * 参数类型（比如，文本或整数）
    * 附加参数限制

    上述列表仅仅是个例子，实际的积极安全模式通常包括更多的要素。它试图从外部完成程序员本应从内部完成的工作：为提交到Web应用的信息验证每一个比特。如果肯花时间的话，使用积极安全模式就是一个比较好的选择。这个模式的难点之一，在于应用模式会随着应用的发展而改变。每当应用中添加新脚本或更改旧脚本，就需要更新模式。但是，它适用于保护那些稳定的、无人维护的旧应用。

    自动开发策略可以解决以上问题：

    * 一些WAF能够监视流量，并根据这些流量数据自动配置策略，有些产品可以实时进行这样的工作。
    * 通过白名单，可以标识特定的IP地址是可信的，然后，依据观察的流量，配置WAF，更新安全策略。
    * 如果通过一个全面的衰减测试，（仿真正确的行为，）来创建一个应用，并且在WAF处于监控状态时执行测试，那么WAF可以自动生成策略。

    可见，没有哪个模式是完全令人满意的。消极安全模式适用于处理已知问题，而积极安全模式则适用于稳定的Web应用。理想的做法是，在现实生活中，将二者结合使用，取长补短。

及时补丁

    积极安全模式理论上更好一些因为浏览器和WEB应用程序之间的通信协议通过HTML规范进行了很好的定义。现在的Web开发语言都可以处理带有多个参数的 HTTP请求。因为这些参数在Web应用防火墙中都是可见的，因此WEB应用防火墙可以分析这些参数判断是否存在允许该请求。，

当一个应用中的漏洞被发现时大多数情况下我们会尽可能在代码中修补它。受诸多因素的影响（如应用的规模，是否有开发人员，法律问题等等 ），开发补丁的过程可能需要几分钟，或者一直到无限长的是时间。这些时间正是攻击者发起攻击的好机会。

如果开发人员能够在非常短的时间内在代码中修补好漏洞，那你就不用担心了。但如果修补这个漏洞需要花费几天，甚至几周来修复呢？Web应用防火墙就是处理这个问题的理想工具：只要给一个安全专家不错的WAF和足够的漏洞信息，他就能在不到一个小时的时间内屏蔽掉这个漏洞。当然，这种屏蔽掉漏洞的方式不是非常完美的，并且没有安装对应的补丁就是一种安全威胁，但我们在没有选择的情况下，任何保护措施都比没有保护措施更好。

及时补丁的原理可以更好的适用于基于XML的应用中，因为这些应用的通信协议都具规范性。

基于规则的保护和基于异常的保护

    现在市场上大多数的产品是基于规则的WAF。其原理是每一个会话都要经过一系列的测试，每一项测试都由一个过多个检测规则组成，如果测试没通过，请求就会被认为非法并拒绝。

基于规则的WAFs很容易构建并且能有效的防范已知安全问题。当我们要制定自定义防御策略时使用它会更加便捷。但是因为它们必须要首先确认每一个威胁的特点，所以要由一个强大的规则数据库支持。WAF生产商维护这个数据库，并且他们要提供自动更新的工具。

    这个方法不能有效保护自己开发的WEB应用或者零日漏洞（攻击者使用的没有公开的漏洞），这些威胁使用基于异常的WAF更加有效。

异常保护的基本观念是建立一个保护层，这个保护层能够根据检测合法应用数据建立统计模型，以此模型为依据判别实际通信数据是否是攻击。理论上，一但构建成功，这个基于异常的系统应该能够探测出任何的异常情况。拥有了它，我们不再需要规则数据库而且零日攻击也不再成问题了。但基于异常保护的系统很难构建，所以并不常见。因为用户不了解它的工作原理也不相信它，所以它也就不如基于规则的WAF应用广范。

状态管理

    HTTP的无状态性对Web应用安全有很多负面影响。会话只能够在应用层上实现，但对许多应用来说这个附加的功能只能满足业务的需要而考虑不到安全因素了。Web应用防火墙则将重点放在会话保护上，它的特征包括：

强制登录页面。在大多数站点， 你可以从任何你所知道的URL上访问站点，这通常方便了攻击者而给防御增加了困难。WAF能够判断用户是否是第一次访问并且将请求重定向到默认登录页面并且记录事件。

分别检测每一个用户会话。如果能够区分不同的会话，这就带来了无限的可能。比如，我们能够监视登陆请求的发送频率和用户的页面跳转。通过检测用户的整个操作行为我们可以更容易识别攻击。

对暴力攻击的识别和响应。通常的Web应用网络是没有检测暴力攻击的。有了状态管理模式，WAF能检测出异常事件（比如登陆失败），并且在达到极限值时进行处理。此时它可以增加更多的身份认证请求的时间，这个轻微的变化用户感觉不到，但对于足以对付自动攻击脚本了。如果一个认证脚本需要50毫秒完成，那它可以发出大约每秒20次的请求。如果你增加一点延时，比如说，一秒种的延迟，那会将请求降低至每秒不足一次。与此同时，发出进一步检测的警告，这将构成一个相当好的防御。

实现会话超时。超出默认时间会话将失效，并且用户将被要求重新认证。用户在长时间没有请求时将会自动退出登录。

会话劫持的检测和防御。许多情况下，会话劫持会改变IP地址和一些请求数据（HTTP请求的报头会不同）。状态监控工具能检测出这些异常并防止非法应用的发生。在这种情况下应该终止会话，要求用户重新认证，并且记录一个警告日志信息。

只允许包含在前一请求应答中的链接。一些WAF很严格，只允许用户访问前一次请求返回页面中的链接。这看上去是一个有趣的特点但很难得到实施。一个问题在于它不允许用户使用多个浏览器窗口，另一个问题是它令使用JavaScript自动建立连接的应用失效。

其他防护技术

    WAF的另外一些安全增强的功能用来解决WEB程序员过分信任输入数据带来的问题。比如：

    隐藏表单域保护。有时，内部应用数据通过隐藏表单变量实现，而它们并不是真的隐藏的。程序员通常用隐藏表单变量的方式来保存执行状态，给用户发送数据，以确保这些数据返回时未被修改。这是一个复杂繁琐的过程，WAF经常使用密码签名技术来处理。

    Cookies保护。和隐藏表单相似的是，cookies经常用来传递用户个人的应用数据，而不一样的是，一些cookies可能含有敏感数据。WAFs 通常会将整个内容加密，或者是将整个cookies机制虚拟化。有了这种设置，终端用户只能够看到cookies令牌（如同会话令牌），从而保证 cookies在WAF中安全地存放

    抗入侵规避技术。基于网络的IDS对付WEB攻击的问题就是攻击规避技术。改写HTTP输入请求数据（攻击数据）的方式太多，并且各种改写的请求能够逃避IDS探测。在这个方面如果能完全理解HTTP就是大幅度的改进。比如，WAF每次可以看到整个HTTP请求，就可以避免所有类型的HTTP请求分片的攻击。因为很好的了解HTTP协议，因此能够将动态请求和静态请求分别对待，就不用花大量时间保护不会被攻击的静态数据。这样WAF可以有足够的计算能力对付各种攻击规避技术， 而这些功能由NIDSs完成是很耗时的。

    响应监视和信息泄露保护。信息泄露防护是我们给监视HTTP输出数据的一个名称。从原理上来说它和请求监视是一样的，目的是监视可疑的输出，并防止可疑的 http输出数据到达用户。最有可能的应用模式是监视信用卡号和社会保险号。另外，这个技术的另一项应用是发现成功入侵的迹象。因为有经验攻击者总会给信息编码来防止监测，所以防止这样有决心并技术熟练的攻击者获取信息是很困难的。但是，在攻击者没有完全掌控服务器而仅仅尝试WEB应用的安全漏洞的情况下，这项技术可以起到防护效果

• WAF(Web Application Firewall) and Code Review
• 国内WEB安全市场分析
• UTM，上网行为管理，防病毒网关，Web安全网关
• 金融股市回暖 金融证券网站挂马大幅增多
• 网站防篡改 立即部署WEB应用防火墙
• 金融危机促使Web应用防火墙走强
• Web应用安全思维导图

安装前的准备

Ubuntu 之所以好用，就是因为它继承了 debian 的 apt 系统，这一点相信您在昨天装系统的教程中已经感受到了。但是 apt 需要依赖网络，昨天我们装好的系统是暂时上不了网的，我们需要先设置一下。

首先，激活服务器的网卡，命令如下：

sudo nano /etc/network/interfaces

在 interfaces 中添加以下内容：

auto eth0
iface eth0 inet static
address 202.113.235.181
netmask 255.255.255.0
gateway 202.113.235.1

这其中，斜体部分标注的 IP 地址是我服务器的设置，您需要根据您的具体情况修改。当然，如果您的服务器使用的是 DHCP 来分配 IP 地址，只需要写上 iface eth0 inet dhcp 就可以了，无需设置 address/netmask/gateway。

然后，修改 resolv.conf 配置 DNS 服务器：

sudo nano /etc/resolv.conf

添加您的 DNS 服务器地址：

nameserver 202.113.16.10
nameserver 202.113.16.11

完成后，重新启动 networking 服务：

sudo /etc/init.d/networking restart

这样应该就可以连通网络了。如果您使用的是 ADSL，可能还需要装上 pppoe 之类的东西，考虑到服务器很少用这样的配置，这里就不讨论了，需要的话可以在网上查找。

安装和设置 OpenSSH Server

Ubuntu 下安装 OpenSSH Server 是无比轻松的一件事情，需要的命令只有一条：

sudo apt-get install openssh-server

随后，Ubuntu 会自动下载并安装 openssh server，并一并解决所有的依赖关系。当您完成这一操作后，您可以找另一台计算机，然后使用一个 SSH 客户端软件（强烈推荐 PuTTy），输入您服务器的 IP 地址。如果一切正常的话，等一会儿就可以连接上了。并且使用现有的用户名和密码应该就可以登录了。

事实上如果没什么特别需求，到这里 OpenSSH Server 就算安装好了。但是进一步设置一下，可以让 OpenSSH 登录时间更短，并且更加安全。这一切都是通过修改 openssh 的配置文件 sshd_config 实现的。

首先，您刚才实验远程登录的时候可能会发现，在输入完用户名后需要等很长一段时间才会提示输入密码。其实这是由于 sshd 需要反查客户端的 dns 信息导致的。我们可以通过禁用这个特性来大幅提高登录的速度。首先，打开 sshd_config 文件：

sudo nano /etc/ssh/sshd_config

找到 GSSAPI options 这一节，将下面两行注释掉：

#GSSAPIAuthentication yes
#GSSAPIDelegateCredentials no

然后重新启动 ssh 服务即可：

sudo /etc/init.d/ssh restart

再登录试试，应该非常快了吧

利用 PuTTy 通过证书认证登录服务器

SSH 服务中，所有的内容都是加密传输的，安全性基本有保证。但是如果能使用证书认证的话，安全性将会更上一层楼，而且经过一定的设置，还能实现证书认证自动登录的效果。

首先修改 sshd_config 文件，开启证书认证选项：

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile %h/.ssh/authorized_keys

修改完成后重新启动 ssh 服务。

下一步我们需要为 SSH 用户建立私钥和公钥。首先要登录到需要建立密钥的账户下，这里注意退出 root 用户，需要的话用 su 命令切换到其它用户下。然后运行：

ssh-keygen

这里，我们将生成的 key 存放在默认目录下即可。建立的过程中会提示输入 passphrase，这相当于给证书加个密码，也是提高安全性的措施，这样即使证书不小心被人拷走也不怕了。当然如果这个留空的话，后面即可实现 PuTTy 通过证书认证的自动登录。

ssh-keygen 命令会生成两个密钥，首先我们需要将公钥改名留在服务器上：

cd ~/.ssh
mv id_rsa.pub authorized_keys

然后将私钥 id_rsa 从服务器上复制出来，并删除掉服务器上的 id_rsa 文件。

服务器上的设置就做完了，下面的步骤需要在客户端电脑上来做。首先，我们需要将 id_rsa 文件转化为 PuTTy 支持的格式。这里我们需要利用 PuTTyGEN 这个工具：

点击 PuTTyGen 界面中的 Load 按钮，选择 id_rsa 文件，输入 passphrase（如果有的话），然后再点击 Save PrivateKey 按钮，这样 PuTTy 接受的私钥就做好了。

打开 PuTTy，在 Session 中输入服务器的 IP 地址，在 Connection->SSH->Auth 下点击 Browse 按钮，选择刚才生成好的私钥。然后回到 Connection 选项，在 Auto-login username 中输入证书所属的用户名。回到 Session 选项卡，输入个名字点 Save 保存下这个 Session。点击底部的 Open 应该就可以通过证书认证登录到服务器了。如果有 passphrase 的话，登录过程中会要求输入 passphrase，否则将会直接登录到服务器上，非常的方便。

• 善用tar
• 向WINDOWS说再见
• Ubuntu Linux操作系统常用命令详细介绍
• ubuntu下安装SSH及配置方式
• Nginx做负载均衡时X-Forwarded-For信息头的处理

为自己铺路(写给家庭条件一般的青年和少年）

总 说

“学好数理化，不如一个好爸爸。在中国是这样，在美国也是这样。”我的初中政治老师站在讲台上说着，声音里带着三分讥讽、三分怨忿甚至是三分义愤。我完全 理解他的话，不然我不会今天还记得。但我又没有完全理解他的话，不然我不会今天才想起来，才大彻大悟而不是在之前求学的若干年就能经常想起来。

学校主要是以学习成绩论地位的，再加上一些学生活动也就把人定了位，家庭的力量体现不大，所以我们常常在走上社会之后才对这一点有深刻感触。正如我和原来 我班的状元在讨论我与他如今的处境，以及其他一些原本并不努力但因家庭底子好，父母权力大而获得良好处境的同学作对比时总难免唏嘘感慨。

感慨过后就得思考，不然就白感慨了。思考的目的是挖掘根源并寻找解决办法，不然就白思考了。如果你正是这样一位家庭条件一般的青年或少年，例如你的父母是 农民、工人，或者普通的职员、低层的干部，看看我们这些年来总结的精华一定大有裨益。即使你的家庭条件良好，只要你的父母不是极优秀、有相当地位的人，看 看本书也有一定的帮助。而且，越早明白这些事越好。

家庭条件一般给我们带来了什么

金钱的 匮乏

这是最显而易见的。衣食住行都和条件好的家庭有明显差距。而且退一步讲，就算我们不和人家比吃比穿，人家以金钱换来的优势就足以让我们干瞪眼的。我是学习 很努力的，尤其到了高三几乎没有一天睡觉超过8小时，更别说娱乐休假了。当然智力因素摆在这儿，咱也不是华罗庚陈景润，就是熬白了头发也不一定能冲击个状 元什么的，但是从偏远的西北地区（录取名额少，好专业比例低）考上浙大也算不错的成绩了，何况又是女生学理工，不容易的，地球人都知道。就在我们忙着考试 和报志愿的时候，我的一个同学没有参加高考，直接花钱去美国读本科了。我们那时候出国度门课还不像现在这样普遍，那是属于非常时尚和奢侈的事情。她的老爸 是属于既有文化，又赶上了潮流而先富起来的那一批人，在我们当地买着最好的楼盘。她托老爸的福，吃的用的东西都是非常让人惊叹的物品，用那句话说叫“只拣 贵的，不拣对的”。想想当年我还并不羡慕人家，因为我的成绩好，而她并不用功，成绩也是在班上四十名开外。所以在学校这片小地方，她的江湖地位是无论如何 也赶不上我的。而物质享受嘛，更是丝毫诱惑不了我这样意志坚定、党性十足的人的。可当我大学毕业辛辛苦苦干起销售的时候，人家已经读了美国的金融学硕士， 然后进入渣打银行的核心部门了。要知道，从国内申请出国读金融专业就有难度，而进渣打银行这样的地方就连我们名校的毕业生都不一定有机会。当我还在听着磁 带拼命学英语的时候，人家拿起电话和老外呱呱呱就是一顿说。语速那叫一个快呀，整个就是一托福听力。如今我不得不羡慕了，人家老爸的钱是没白花。

工作中差异更大了。一些家在农村的朋友，毕业了就得往家寄钱，换个工作也是瞻前顾后生怕接续不上换房贷。大家要都这样也就罢了，只是人一比人，就要气死人 了。像我一个熟人，30多岁，打从大学毕业就没上过班，老爸给创业资金，他自己找几个项目，这个不行做做那个，就算干不成惊天动地的大事，干个几十人的小 公司也足以过得不错了。

由于金钱的匮乏，可能我们无法得到良好的教育，无法用钱为自己开路，甚至社交都受到一定的影响。我朋友家里负担重，老婆没工作，父母在农村，儿子上了大学 一个月才给500块钱。同学过个生日这孩子连凑个份子给同学买蛋糕的钱都没有，不能不说是一定程度上影响了和同学的融洽关系。虽然我们并不鼓励学生铺张浪 费，但一种气氛一旦形成你个人想超越它脱离它恐怕有一定难度，何况家庭条件好的孩子并不一定会站在他的角度上去想，往往他们想的是“大爷你咋这么抠 nia？”（小沈阳）

人脉关系的不足

看看你家里都有什么人来，看看你老爸一周有几次饭局，看看家里都摆着什么烟什么酒什么礼盒，再看看你老爸老妈在给别人送什么烟酒什么礼盒，就知道你们家的 人脉圈子是个什么情况了。

如果你老爸一星期连一次饭局也没有，家里逢年过节超不过三个花花绿绿的盒子，那你们家的人脉力量就接 近高危线了。一个人的力量是一，假如他认识 十个人，这十个人都可以帮助他解决问题，这样十个人的力量都加在他身上就变成了十，而这十个人每个人都再认识十个人，于是他的力量就变成了一百。如此连 接，人际关系形成一张大网，很多个人力量解决不了的问题通过人脉网就可以解决了。可惜我们一般条件的家庭没有这样的资源，而且就算有一些零星的渠道，没有 金钱也很难在这张大网上行走。就像我高考时提前志愿报了军医大学，档案一递上去就已经乱成了一锅粥，招办的老师忙着接来自各处首长的电话，手里的条子压得 像书一样厚。我的父母虽没有本事，但爷爷奶奶还是相当级别的干部，虽然老早退了休不在职，但凭着老脸找到个把关系还是可能的。我父母勒紧了裤腰带拿出 5000块钱（90年代西北的工人阶级认为这已经是一笔大钱了）给人家拿去疏通关系，人家一看牙都笑掉了：“同志呀，这个当零头都不够哇。看看你孩子的造 化吧。”几天以后，好几个比我分低的同学都录取了，我出局了。圣人说过，“成绩好不是万能的”，我这才信了。

如今我的客户是煤炭行业的央企，于是我就不可避免地接触到了与煤炭挖掘、运输和销售有关的各色人等。只要家里有关系的都参与了开煤矿，或者搞起了煤炭经 销，关系再强一些的都搞起了上千万甚至上亿的生意。有一个小老板，家里一个亲戚在国营小煤矿当领导，另有一个亲戚在当地的银行。于是就靠这两样，人家就白 手起家了。这可是真正的白手起家，贷款拿了煤（这煤只卖她不卖别人，煤是紧缺资源是卖方市场），在手里压几个月到了秋冬季价位高的时候出手。这样一年只做 一两次生意就有五六十万的进账，其他时间全用来吃喝嫖赌。虽然我并不拥护吃喝嫖赌，但我拥护五六十万的进账啊，于是我跟她说老姐我跟你混吧，人家一听笑 了：“妹子俺们不要大学生，公司就我一人，剩下的都是煤堆里扛煤挑煤我临时雇的，你来也扛煤去？”我没话了，圈内人排斥圈外人啊。我一个小蚂蚁般的角色倒 无所谓了，只可惜早期的好多温州商人在煤炭行业不景气的时候到这里开矿，如今煤炭火爆了，当地利益集团就把没有人脉的温州人全挤出去了。多年的心血毁于一 旦，又跟谁说去呢？刚才提到的还只是女流之辈，是煤炭圈子的小羚羊。而角马级别的都有自己的矿了，每年百万到千万不等。至于狮子级别的，那就是和最高利益 集团联系在一起，由于众所周知的原因，我在这里就不便描述了。

我们做大客户销售也是一样，我们销售的产品或者是高技术含量的设备，或者是额度很小的必备设备用品。你要问为什么不能做别的东西呢？我告诉你像这样的央企 或政府客户，有许许多多的人围绕着它在做生意，其中很大一部分就是这些企业或机关单位领导的子女、亲戚或朋友。那些合同额度大、技术含量低的工程项目都让 他们揽过去了，剩下一些技术门槛高、他们没能力做的产品和一些额度太小、他们不屑于做的产品才是我们这些没有根基的企业要考虑的内容。

再说一些大家容易理解的情况。比方说如今公务员考试异常火爆，但那些肥缺的差事恐怕不是仅仅分高就能拿得到的。国家划了一条线那是智商的竞争，只要过了线 那就是情商和关系的竞争了。于是八仙过海各显神通，最终折桂者那是天时地利人和缺一不可。同样的，在石油、电信、电力等待遇超好的央企和一些事业单位，你 要是没有过硬的技术或特殊本领而只想争取一个是人都能干的一般岗位，如果没有系统内的关系恐怕是连一丁点儿的可能性都没有。金融危机的时候中石油裁员，下 的全是些没有背景的，加油站的工人首当其冲，而每个加油站的三四个站长（远远超编了）却还稳坐钓鱼台呢。

教育的缺陷

认识这一点就有难度了。“穷人的孩子早当家”，“自古英才出寒家”这类话和“龙生龙，凤生凤，老鼠的儿子会打洞”形成了两派观点。到底哪种观点更有道理 呢？你会说都有道理，恭喜你，答对了（王小丫）！家庭条件一般的孩子往往在吃苦（尤其是物质上的）、节俭和生活自理方面更胜一筹，有一些还往往有强烈的通 过奋斗改变个人和家庭现状的愿望，这些都是非常良好的品质。而家庭条件好的孩子经常在知识面、思维能力上表现出优势，一些干部家庭的孩子经常具有出众的为 人处事的能力，有的很小就具有了领导才能。

虽然两方都各有优势，但最终的比例会怎样呢？统计数据显示，最终成为人才的，出自教师家庭的高居榜首，其次是干部、商业精英等，而农民和工人子弟排在最 末，比例也少的可怜。不论你在任何一个国家调查，比例都大致相当。统计数据压倒性地说明了家庭条件一般的孩子绝大多数都表现普通。那，为什么呢～～～？除 了因为前面所讲的金钱和人脉的缺乏以外，更重要的是教育上的缺陷。
那我们就一起来看看这些教育的缺陷。

一、 读书方面教育的缺陷

这个好理解。平凡的父母自己的文化水平就有限，如何能指导孩子念书呢？连孩子碰到的一道题都做不出，更谈不上在方法和思路上指导孩子了。我印象中我妈就只 指导过我先乘除后加减和说过写作文要多用比喻句才不会变成流水账，此外就无能为力了；我爸就只教过我经线是竖圈纬线是横圈和地球是圆的，此外一道数学题都 做不出，于是之后就全靠我自己了。那些我开了窍的科目学得都还顺利，开不了窍的像数学、历史，也就一直没有找到方法，也没有人指点，只好算了。那时候我们 都特羡慕父母是老师的同学，觉得他老爸（妈）教的那一门课他就不用愁了。后来才发现，老师的孩子大部分门门课都不赖，因为他得到了学习方法和思路的指导， 自然一通百通了。我一个熟人是化学博士在外企做技术，老婆是中学物理老师，他们儿子如今在人大附中名列前茅，想本科考去哈佛读呢。我在想人家是怎么教育 的，一次和他们一起吃饭，发现在饭馆等上菜的时候人家孩子就拿出练习题做了起来，随时有任何疑问随时问父母，连吃肉的间隙都思考着肉的物理状态，调料的化 学反应。父母的指导当然都不是直接的告知，而是引导他思考：“宝贝你想XX遇到XX会怎么样呢？下一步又会产生什么呢？条件呢？……”孩子再笨在这种气氛 中也能学会思考，何况人家两口子的基因怎么会生出笨儿子呢。

虽然羡慕人家感慨自己，但现如今比起万恶的旧社会那真是天上地下了。感谢共产党，感谢新中国，感谢红太阳，我们有了公立学校，有了义务教育有了希望工程， 所以只要你肯学，就算父母没力量指导你，学校的老师也会帮助你。所以读书的过程还不算是一个大问题。真正的大问题在于父母如何向你解释读书的意义，这可是 个难度系数为7.0的问题。一般的父母会说，“好好学习才能找到好工作，找到好工作才能找着好媳妇，找着好媳妇才能……”，虽然目的导向是对的，但并没有 言中学习的真正作用——储备知识，锻炼思维，进而增强能力。所以孩子们也只知道考上大学能找好工作，至于为什么能，自己也说不清楚。而且学习只重目的，过 程中就缺少了趣味性，学习也难免会成为任务和负担。如果能让孩子知道学习的过程中自己的思维得到了训练，方法得到了加强，他就明白了学习的根本作用也能在 每一阶段更喜爱学习。

遗憾的是理解到这个程度的家长真是寥寥无几，而且面对现今大学生找不到工作的社会大现实似乎就更难以说服孩子了。所以这一点始终是普通家长教导孩子念书时 的最大缺陷。

二、 为人处事方面的教育缺陷

学校是不会教育你如何为人处事的，即便有思想品德课老师也只是讲讲空泛的道理而你也未必就真听得进去。真正的做人的教育在哪里呢？全在家里呢！每个父母都 有自己习惯的一套做人方法，他也习惯性地把这套原则方法传授给孩子，因为他觉得这样做是对的，否则他这辈子就不这样做了。但许多普通的父母就没有想到，他 这辈子的不成功是否和自己的为人处事方法有关呢，如果有关系，那他还能把自己的老一套再教给孩子吗，让孩子也一辈子不成功？

我一个大学同学成绩很好，人也很有才气。我见过他父母，父母对他的教育很上心，时时处处都在与他沟通。他们家是南方人，难免精细些，但精细到了一丝一毫都 不肯吃亏的程度。在假期结束搬宿舍时为了避免帮女生搬东西他居然连开学报到都推迟了三天。于是男生都来了，就缺他。女生虽然没说什么但提起他都认为他是有 意不来的。他是省力气了，但另一件事却费力气了：他在追求班里一个女生时让人劈头盖脸就给拒绝了。也怪他不走运，恰好那个女生是个大侠性情，最看不上这一 号人。所以即便后来他围着那女生跑前跑后人家还是说了：“不用装了，你以为把马甲脱了我就不认识你了？”这叫栽的一个惨啊，不知道那当妈的怎样想她教育宝 贝儿子的方法，她可是精打细算一辈子啊。

其实为人处事这方面教育的缺陷主要体现为：1.重小利；2.不善交往；3.做人做事缺乏技 巧。

重小利本身并没有什么大不了，只是争夺小利会损害人际关系，让周围的人对你有意见有看法。而人际关系受到损害势必会影响你在重大利益上的得失。这样一进一 出，最后就不划算了。所谓“拣了芝麻，丢了西瓜”。

不善交往也是一大问题。父亲母亲自己本身就不善交往，甚至是不喜欢交往，孩子在生活中根本无从观察人际交往的细节和正确方法。

像我父母就不喜欢和人交往。除了单位里的两三个同事以外，他们不和任何亲戚朋友来往，见了领导也是绕着走那一类的。我印象中我们家几乎没有人来过，我爸也 从来不到外面喝酒，我们一家三口仿佛过着与世隔绝的日子。如果这世上真有世外桃源呢我想我们家还真就算一个。不过这所谓的世外桃源让我也形成了习惯：在学 校只和一两个同学关系好，跟老师就像两个世界的人，从不深谈更不亲近。即使有一次我破天荒地想请同学来家里玩也被我妈拒绝了：嫌麻烦。你想，这种环境中我 能知道人际关系为何物？所以上了大学我就感到比别人落后了，不得不花了很多时间来补充学习这种能力，以致于当我具备了人际交往的意识和能力时已经比别人晚 了好几年，可悲啊。

我公司副总为了培养女儿的社交能力经常把她带在身边，参加公司的活动、聚餐、旅游。他女儿才5岁但和我们这些大人都能说上话，非常招人喜欢，而且一肚子的 心眼比同龄的孩子不知强了多少倍。这恐怕就是早打基础的收获。

还有就是做人做事的技巧问题。有不少人，人品朴实厚道，专业技术也不错， 可就是一直没上去，这些人大部分是由于做事缺乏技巧。我一个朋友技术不 错，原单位破产倒闭后又自谋了一份职业，收入不高还要养活一大家子人，负担很重。于是他把自家的楼房出租了自己搬到平房去住以补贴家用。可就这样每次朋友 聚餐他都抢着买单，而且拦都拦不住。过节时谁要送他一点小礼之类的他都会两倍、三倍地还礼回来。他心眼是真的不错所以交际中花了许多本不该他花的钱。要是 经济条件好也就算了，讲个仗义大家也都觉得他够哥们，可他自己都捉襟见肘呢，这一下更困难了。老婆也埋怨他，孩子上学也紧张，有时候还要借钱。可他对单位 领导却从不这样热情，所以干了一辈子还是个普通工程师。他孩子虽有时也对他不满但做起事情来却和他一模一样，经常花了力气不讨好，干事倍功半的事。但这也 怨不得孩子，他在生活中从来就没看见这些做事的技巧方法在哪，让他怎么学呢。

三、 思维习惯，行为习惯的教育缺陷

优秀的人和普通的人工作和生活习惯差异很大。很多优秀的人上班很紧张，下班也挺忙碌，每天晚饭过后还要处理一会儿工作或和业务伙伴谈谈事情，有的还利用空 余时间学习充电。相比而言，普通人在同样的时间段干的事情可能就是看电视、聊闲天甚至打麻将。所以设想一下两种人的孩子在两种环境中各自会养成什么习惯。 你指望打麻将家庭中的孩子自觉读书学习那确实是太不容易了。

思维方式差异就更大了。优秀的人遇到问题就想怎样解决，自己出了哪些问题要怎样修正。而普通人遇到问题首先是抱怨，其次再想别的，而且一般不会思考自己的 毛病。两种思维方式都自成体系，从外表来看你看不出它们直接产生的后果，所以作为孩子特别容易承袭父母的思维方式。但是恰恰就是思维方式是优秀与否的根本 决定因素。优秀的人分析世界，分析自己，改变自己以适应世界，提升自己以驾驭世界。平凡的人不分析世界，不分析自己，固守自己并总是希望世界为之提供良好 的环境和馅饼。当然，他只是希望却无力改变，所以他的状况完全依赖于世界提供给他们的所谓命运。于是优秀的人在不断改变中更加优秀，而平凡的人在抱怨固守 中更加平凡。我们的青年一旦承袭了一种思维方式往往就决定了一生的定位，而且直至终老也未必能发现自己的思维导致了自己的命运。

我 的家庭条件为什么一般

说到家庭条件为什么不好，恐怕很多人从来都没有想过，或者想了也仅是想到种种不利条件造成了家庭的现状。这的确是一个重要原因，但还有另一个重要原因，那 就是你的父母亲自身的问题，包括努力程度、能力、性格意志等等。这其实是一个显而易见的因素但我们却常常对它视而不见，应该说还是我们对于父母的爱让我们 闭上了这只眼睛。爱是伟大的，但爱也不应蒙上我们的理性。实际上，父母自身的努力程度因素和外界条件因素所起的作用至少是1：1，甚至可能是1.5：1。 不信你看看我的分析。

条件的因素

把责任一代代往上推那真是再容易不过了。你的祖辈没有打下良好的基础，因此你的父辈就没有条件接受良好的教育，没有可以往上爬的阶梯，也没有创业的第一桶 金。这是祖宗带来的影响，你的父母奈何不得。还有社会环境的影响，时代的影响，机遇的影响，好像也奈何不得。例如你父母如果生长在文革时期，那似乎就注定 没有读书的机会；如果他们把家安在黄土高坡的农村，就必定要接受流血流汗却没多少收成的事实；而你的老爸如果前面有一个和他同龄的科长一辈子没挪窝儿，那 你老爸当一辈子科员也动不了窝儿绝对就是板上钉钉的事了。

这些条件，我们暂且称之为“不可抗力”。

努力的因素

若说父母自己不努力可能很多人要不服气。你要说老妈每天从早忙到晚没有闲着的时候，农村的老爸干农活每日都是汗流浃背，进城务工的也是起早贪黑。但你要注 意他们忙的都是简单劳动，真正用在思考和进取上的时间真是掰着指头都能算出来。其实他们做这些重复劳动的时候大脑往往是空白一片，并没有思考下一步应该怎 样做才能有所提高，所以他们也终日为重复劳动所累。因为只有进步了，才能摆脱重复劳动的命运。

我父亲就是一个活生生的例子。祖辈是高干条件好，将我父亲送去了部队（那时是好去处），转业后送入名牌大学读无线电专业（相当于现在的计算机或金融专业的 地位），然后送入无线电厂（恐怕相当于现在华为用友这样的企业）当技术员。所有这一切都是他的父母利用特权替他包办的，照理说条件已经好得不能再好，已经 登上直升飞机了。但他并没有就此飞黄腾达，而是一直在最底层岗位上待了一辈子，其间就转了一次岗，从技术变成了销售，直到企业改制而内退，如今在家已待了 十几年，还没有到退休年龄呢。据我观察，他出差的时候是很辛苦，住便宜的招待所，一天跑好几个地方。但除此以外我从没有见他看书读报，学过业务知识，也从 不在工作时间外多进行哪怕一点与工作和发展有关的事情。每天规定的任务结束了他就在睡觉看球和发牢骚当中度过，遇到问题除了怨父母怨社会以外就一筹莫展。 所以当他的父母都从位子上退下来之后就没有人再能拉他，于是他就原地不动了，最后连岗位也保不住了。

当然这个例子比较极端，大部分人到不了这个程度。但绝大多数不成功的人都不能否认自身的不努力，你的父母也不例外。就算他嘴上不承认，内心里也是对自己有 认识的。

所以条件的因素和努力的因素同时导致了你家状况的普通。那么哪个因素更重要呢?假如条件是河水，那么努力就是小鱼。河水可能会把小鱼卷进漩涡，摔上礁石， 但小鱼也可以逆流而上，择水而行。最终鱼儿能不能到达目的地，你说是水的作用大呢，还是鱼的作用大？

如果水流太急太猛，没有鱼可以游过去，这就像农村失学的孩子，再努力也无法与条件抗争。但只要超出了这个标准，例如你父母在一定条件下受到过基本的教育， 那这个水流对他们来说就没那么急了。这样的环境中，水与鱼的力量比至少是一半一半，只要鱼肯努力，完全有可能克服水的阻力的。所以分析一下你家的环境和你 父母的意志努力，性格习惯，你对于你们家现状的成因就心中有数了。

什么样的心态才是正确的心态

客观看待我的家庭

父母对于我们的爱是毫无疑问的。不论父母给了我们一个什么样的环境，让我们吃的是山珍海味还是杂粮野菜，我们都应以满腔的爱来回报他们。这一点上不应有 任何折扣，不应以父母向我们提供的物质财富和精神财富以及机会财富的多少来衡量他们的爱有多少。因为这些财富的多少往往取决于他们的能力而不是意愿。只要 他们的意愿是好的，我们都应该心怀感恩。

感恩的同时一定要留一只客观的眼睛，就像二郎神杨戬的第三只眼一样，永远能透过妖精的现象看到本质。这只眼是不受另两只眼影响的，我们也不要以爱、恨或其 他一些情绪来左右我们的判断。知道家庭的现状，承认父母的弱点，对于我们正确定位自己和采取适当措施提供了依据。有的人很维护自己的父母，不许别人对他们 有一点微词。当然这种爱是伟大的，但不要在维护中影响了你对他们的客观认识就好。因为一旦不客观你就很容易受他们的影响，沿袭一些不好的习惯。

这里我还想说一说，客观地看待家庭，同时也要客观地对待自己。有的青年出身于农村，往往带着一种自卑的心结。尤其是当他们猛然间进入大城市看到花花绿绿的 世界简直会有一种晕头转向不知所措的感觉。再一对比自己和城市同龄人的穿着打扮，吃的用的，那一下就差了一个甚至几个档次。最让人不能忍受的是城市的同龄 人怎么就那么见多识广，多才多艺呢？所有这些都让人不能不比，又不忍去比。越比，越会自卑。同样出身城市的青年也有差异，有的就可以吃西餐，穿名牌，来往 车接车送；有的只能骑车，和父母挤大杂院，遇到漂亮的女生连上去说句话的勇气都没有，更别说追了。这些心情我都能理解，但我要劝导你们的是：在内心中要把 自己和父母划分开来，这才是正确的心态。

什么叫做划分开来呢？就是让父母对他们自己负责，而你对你自己负责。一个人，只要对自己的行为负责，对自己的行为产生喜怒哀乐就可以了。别人的行为是你不 能控制的，是与你无关的。如果你做了好事进步了，对自己产生喜爱与肯定是理所应当的；如果你犯了错误，那么生气自责也是必须的，这样才能督促自己。如果别 人做了好事你大可不必高兴因为不是你做的，相反如果他人犯了错误你也不用不愉快因为不是你造成的。我之所以用这样大量的篇幅来解释这个问题就是因为想通这 一点是很难的。家庭出身是你的父母带给你的，是你不可控制的。条件不好不是你造成的，同样由于条件不好而带来的种种与人家的差距也不是你造成的，你大可不 必因此而自卑自轻。只要你在现有的基础上尽力做了事就应该为自己喝彩。相反，如果因自身的问题比如不够努力，能力不足等导致的状况倒应该引起你的足够重 视，好好检省。

所以，不用管父母带给你什么条件，只要你自己尽力了，就值得骄傲。同时，也要客观看待你的同龄人，不要过于羡慕人家，更不要嫉妒人家，要清晰地看到他个人 的因素起了多大作用，在这方面与之进行比较，而不要比那些我们控制不了的因素。这样一来，只要你认真对待你的工作和学习了，你就没有任何必要自卑。

努力奋斗

在起跑线就比别人落后的情况下，努力奋斗是我们唯一能做的事情。家庭条件差是一把双刃剑。你若受困于不良的条件而不努力，那就永远没有出头之日；但你如果 披荆斩棘突围出来，恐怕还能练就一身刀枪不入的硬功夫，以后的道路上将所向披靡。而这种功夫是那些家庭条件好的人永远也没有机会得到的。这就是为什么富二 代永远也赶不上白手起家的老爸的原因。所以这把双刃剑要怎么用，全在你自己了。

对待结果

奋斗是一种心态：一定要对得起自己。对待结果则应换另一种心态：对自己的所作所为要锱铢必较，对不可控因素则随遇而安。如果和不可抗力斤斤计较那就是和自 己过不去了，最后不但于事无补还恶化了自己的情绪。所以就像上面写过的，人只要对自己的行为负责就足够了。心态放平才能延年益寿，不是吗?

以上用了很多篇幅分析问题，目的就是让大家对此有一个清醒而深刻的认识。下面我们就要进入重要的部分——为自己铺路了。当你知道你的兴衰荣辱都系于你一身 而靠不上你父母一星半点的时候，谈下面的话题就容易了。由于我们前面分析了家庭条件差带来的三种影响——金钱、人脉和教育，所以我们为自己铺路也从这三方面铺起——教育、人脉和金钱。

• No related posts.

早上十点的课……下课食堂都没位子了……还让不让人吃饭了……不去了……

下午两点的课……午睡还没醒呢……还让不让人长身体了……不去了……

下午四点的课……中午11点就吃饭了……下午撑到那时候……想饿死人啊……不去了……

晚上的课……白天不上课晚上还去上……怕人家说我假积极……真矫情……不去了……

不点名的课……不点名去干吗……不去了……

点名的课……别以为点名就可以束缚我们……君子坦荡荡……不去了……

心情不好……没心情上课……不去了……

心情好……上课多影响心情啊……不去了……

老师讲的不好……误人子弟……呸……不去了……

老师讲的好……人太多了……抢不到前排座位……不去了……

过节的前几天……都要过节了……谁还上课啊……不去了…

过节的后几天……刚过个节多累啊……休息几天……不去了……

既不是过节的前几天又不是过节的后几天……没节过……心情不好了……

天气不好，下雨…..这么差的天气，干吗还要出去上课….不去了…….

天气很好，晴朗…..这么阳光明媚，用来上课多浪费了….不去了…..

• No related posts.

• No related posts.

俄克拉荷马一对夫妇，家里种了很多盆栽。由于寒流来袭，下了冻雨，滴水成冰，这户人家艾的妻子将盆栽移到室内，免得冻死。 可是有个盆栽里有一条小蛇，但是夫妻两都没有看到。

由于室内开着暖气，小蛇很快苏醒了，从盆子里爬出来，钻到沙发底下。这户人家的妻子看到了，一声惨叫。 正在洗澡的丈夫赤身裸体跑到客厅来，看到底发生了什么事情。她告诉他说，沙发下有蛇。 丈夫跪倒在地，开始在地上找蛇。这时候家里的狗跑了过来，冷冰冰的鼻子碰到了丈夫光屁股上。丈夫一惊，以为是被蛇咬伤了，于是一声尖叫，倒在了地上。

妻子以为丈夫心脏病发作，所以拿出毛毯盖住他，告诉他躺在地上不要动，并呼叫救护车。

救护车赶来了，医务人员不管三七二十一，将他放到担架上要抬车子上。

就在这个时候，蛇从沙发下出来了，医务人员吓得手一哆嗦，担架掉了。男主人叽里咕噜滚下来，腿当场摔断，被送到医院住院。

总之，蛇的问题还没有解决。妻子从医院回到家，让邻居来帮忙捉蛇。邻居手拿一卷报纸到沙发下开始捅。捅了半天没看到蛇，他说蛇应该已经走了。女主人终于放心地坐到沙发上。

可是她刚一坐下，手放到沙发垫子缝里，好像摸到了什么东西在蠕动。她尖叫一声，晕倒了，蛇赶紧回到了沙发底下。 邻居见她晕倒，赶紧去人工呼吸。

邻居的妻子，刚刚从商店购物回来，透过窗户，看到自己的丈夫正跟邻居家的女人在沙发上亲嘴，于是怒不可遏地冲进来，用自己的手提包猛砸自己的丈夫。她的丈夫是秃顶，上面根本不设防，于是头皮上砸了一条大口子，后来送到医院，缝了五针。

噪音吵醒了晕倒的女人，她发现邻居太太正弯着腰在对丈夫做着什么。她想也没想就以为是被蛇咬了，于是赶紧从厨房拿了一瓶威士忌出来，往他喉咙里灌，以为威士忌起码可以消消毒。

这一片混乱之中，又有别的邻居报警，警方来了。

警方进了屋子，看到了头上的伤口，闻到了酒味，还有两个神经崩溃的女人，于是认为大家是醉酒后打架。 警方随即叫来救护车，并要逮捕邻居和他哭哭啼啼的老婆。 女主人白费口舌地在解释说这一切的原因都是一条蛇。 这时候那蛇又从沙发下面爬出来了。一名警察拔枪就射。可是这警察是新手，枪法不好，蛇没有射中，将一桌子腿打断，桌子倒了，上面的蜡烛也掉了下来，引着了薄弱蝉翼的窗帘，起火了。

另外一个警察爬上窗户，试图将火扑灭，不小心掉到了窗外，砸到躺在走廊的狗身上。狗吓坏了，一跳三尺高，飞也似地逃到街上。这时候一辆速度很快的车为了避让这条飞奔的狗，紧急转弯，失控撞到了停在一边的警车上。

与此同时，附近邻居看到了燃烧的窗帘，赶紧打电话叫消防车。消防员架起了梯子，结果手忙脚乱，砸着了附近电线和电话线，结果，方圆十里之内停电了，电话线也失灵了。

然而，时间可以治愈一切伤痛。后来，两个男人都出院了，狗也回家了，警察买了新车，世界上又太平了。

有一天，夫妻俩又在看电视，气象员说最近寒潮来袭，要大家防冻。那妻子本能地说，那我们把外面的盆栽拿回来吧，免得冻着。

那个丈夫一声不响地拿出枪，将老婆打死了。

• No related posts.

小白兔真的是世界上笑话最多的禽兽

从前，有一只兔子。

又来了一只兔子。

它扶着耳朵站在第一只兔子的肩膀上。

又来了一只兔子。

它扶着耳朵站在第二只兔子的肩膀上。

又来了一只兔子。

它扶着耳朵站在第三只兔子的肩膀上。

又来了一只兔子。

它扶着耳朵站在第四只兔子的肩膀上。

又来了一只兔子。

它扶着耳朵站在第五只兔子的肩膀上。

又来了一只兔子。

它扶着耳朵站在第六只兔子的肩膀上。

又来了一只兔子。

它扶着耳朵站在第七只兔子的肩膀上。

又来了一只兔子。

它扶着耳朵站在第八只兔子的肩膀上。

又来了一只兔子。

它扶着耳朵站在第九只兔子的肩膀上。

又来了一只兔子。

它扶着耳朵站在第十只兔子的肩膀上。

又来了一只兔子。

它扶着耳朵站在第十一只兔子的肩膀上。

又来了一只兔子。

它扶着耳朵站在第十二只兔子的肩膀上。

又来了一只兔子。

它扶着耳朵站在第十三只兔子的肩膀上。

又来了一只兔子。

它扶着耳朵站在第十四只兔子的肩膀上。

又来了一只兔子。

它扶着耳朵站在第十五只兔子的肩膀上。

又来了一只兔子。

它扶着耳朵站在第十六只兔子的肩膀上。

又来了一只兔子。

它扶着耳朵站在第十七只兔子的肩膀上。

又来了一只兔子。

它扶着耳朵站在第十八只兔子的肩膀上。

又来了一只兔子。

它扶着耳朵站在第十九只兔子的肩膀上。

又来了一只兔子。

它扶着耳朵站在第二十只兔子的肩膀上。

又来了一只兔子。

它扶着耳朵站在第二十一只兔子的肩膀上。

亲了长颈鹿一下。

• No related posts.

2.快写. 写完借我抄抄：

你先抄..抄完给我.：

3.笔借我用下..：

4.让我看看（考试时）：

你几分啊 （试卷发下来后）。。

5.下一节什么课啊：

6.还有几分钟下课啊：

7.别说话，老师在后面。。

8.帮我传给XXX：

9.这次考试靠你了：

10.哎.那个XX字怎么写?：

11.饿死了…你有吃的没…：

12.有透明胶没..：

13.水让我喝口…你别对着嘴啊..：

14.晚上有啥作业?：

15.别看..老师在窗户那..：

16.让我出去~~让我进去~~

17.我先睡一会，老师来了叫我一声。。

18.这次默写默什么 等下字写大点

19.发卷子过程中，“第一题选什么？”

20. 陪我去厕所哇

21.刚才老师说什么？

22.我看不清黑板写什么，让我看一眼。

23.你往这边挪挪 我看不见

24.唉！你抄窜行了！

同桌,我想你 了

最后附上一个叫《茗记》动画

• No related posts.

作者： Henrik Edberg

就像寻找对你有益的习惯一样，寻找妨碍你的习惯同样重要。这7种习惯中大多数都可能会轻易成为你日常生活的一部分，使你难以察觉它的存在（或 者它如何影响到你）。我曾经略微尝试了这些习惯，结果毫无疑问，那些重要的事情没有几个可以完成。同时我也要添加说明的是，这只是在生活中你可能形成的影响效率的主要的7个习惯，我很确定绝不仅仅是这些。

1、缺席。

也许你曾经听过伍迪·艾伦所说的这句话：“百分之八十的成功来自于出席。”

更多的出席——这是在生活中你可以保证更多成功所做的最大也是最简单的事情之一，无论是在你的社交生活中，你的事业上还是你的健康方面。如果你想要改善你的健康状况，一个最重要也是最有效的事情就是在每次你该出席时出现在健身房里。

也许天气会不好，也许你会不想出门，也许你有一大堆其他必须要做的事情。但是，如果即使你在积极性不高时仍然继续出现在健身房里，那将比你呆在家里的沙发上放松要有效的多。

我想这个也可以推及到生活的其他领域。如果你每天都坚持写作或绘画，你就会快速的得到提高。如果你更多的出门你就可以遇到更多的新朋友。如果你参加更多的约会，你遇到心上人的机会就会大大提高。仅仅只是更多出席就会使你的生活大大不同。而缺席却会使你毫无收获。

2、拖拖拉拉。

为了简化，我将最喜欢的3种摆脱拖拉情况的方法列举如下：

• 吞食青蛙。也就是说在一天的最开始就完成那些最艰难最重要的工作。早上良好的开始会让你一天都保持高昂的情绪和积极的动力。这通常会使你这一天都十分高效。
• 你如何吃掉一头大象呢？不要打算一口吃成胖子，这会使你感到过多负担以至于产生拖延的念头。把一项工作分为若干可付诸于行动的小步骤，然后仅仅关注第一步直到把它完成，接下来再继续下一步。
• 说服自己。我发现这种向导型调整十分有效。就在我花了20分钟躺在床上反复默念在这几天里我都十分高效之后，我就不再会陷入拖拉的情况或者浏览1至5个我喜爱的网站寻找更新信息的必要。

3、做一些无关紧要的事情。

除了拖拖拉拉以外，你最容易陷入的不良习惯之一就是忙于一些无关紧要的事情之中。

为了提高效率你也许需要某种时间管理方法。它可能会是一件极为简单的事情，比如在一天的开始使用80/20法则。80/20法则,也就是我们通常所熟悉的 帕累托法则认为， 80%的收获源自20%的努力。所以为求高效你应该将你精力的大部分集中在那些极少数重要的事情上。

当使用这个法则时你只需按优先顺序写下这一天你需要做的3件最重要的事情，然后从头做起。即使你只能完成其中的一件事，你仍然完成了今天最重要的事情。也 许你也会偏爱其他诸如GTD等方法。但是无论你如何组织工作，最关键的还是寻找那些最重要的工作，这样你就不必花费几天，几个星期甚至几个月的时间去忙于 那些并不是很重要的事情。如果这些事情无关紧要，那么即使你快速的完成它们也是没有多大用处的。

4、多虑。

因为多虑而很少采取行动。陷于无穷的分析之中只会使你虚度光阴。行动之前加以思考是没有错的。做一些调查研究，制定一个计划，探究可能存在的积极以及不利因素。

但是强制性的反复思考就会成为另外一种浪费时间的做法了。在尝试之前你没有必要去从每一个角度检查每一件事情。而且你也不可以等到一个最完美的时间再去做 事，因为这样的时间从来不会出现。如果你继续这样思考就只会使自己陷的越来越深，从而使采取行动变得越来越难。相反，虽然思考在一定程度上对你有所帮助， 但你现在需要做的就只是停止思考，然后去做那些你应该做的事情。

5、凡事过于消极。

当你凡事都从消极方面考虑时，你的积极性就会被大大打击。你会发现到处都是问题和错误，而这些问题是本不存在的。你抓住细节不放。如果你想要寻找一个不做某事的理由，这当然没有问题。而当你从一个消极角度看问题时，每次你都可能找出十个借口。

因此你几乎一事无成。你向任何愿意倾听的人诉苦（也许很多人并不想听），抱怨你的工作，生活和领导有多么的差劲。你的生活取决于你如何看待这个世界，这已经成为一个能够自我实现的预测。

对此的一个解决方法就是了解消极方面的限度，认识到你的消极思考并不是这个世界的真实写照。然后不妨尝试一些其他的角度。举例来说，你可以尝试着培养一下 凡事从更为积极和乐观的角度思考的习惯，这会对你大有帮助。通过这种方式，你也许就会开始尝试这种积极性的挑战。这并不容易，然而如果你接受了这种挑战， 连续7天都只从积极方面思考，你就会突然意识到你看问题的角度和想法是如此深刻地影响着你对世界的理解和你所得到的成果。

6、固执己见，与世隔绝。

人们很难去承认自己的想法不是最佳选择，因此你越来越执着于自己的想法，变得闭目塞听。这会让你很难取得进步，比如说效率就会很难提高。在这种情况下，即使认真思考改变人生的可能性都会变得很难。

显然，解决方法之一就是打开心胸。开阔视野，从他人和自己的错误中汲取教训，从书籍等资源中获取知识。与任何事一样，这事说起来容易做起来难。正如前面所 说，对此我的建议就是认识到你的知识领域毕竟是有限的，而你做事的方式也会存在不足。那么不妨就尝试一下新事物吧。

而我的另一条建议就是，阅读一下埃克哈特·托利的《新天地》，特别是有关Ego的章节。正如托利所建议的，如果你不再像Ego那样思考，你就会更加容易接 受新思想，抛弃那些已经无用的旧思想。另外我想要补充说明的就是：不要迷信书本，也不要盲目追求新的信息，否则你就会成为一个沉迷于自我帮助的人。在行动 中运用那些新信息和你学到的事情，然后加以尝试。

7、持续信息过剩。

信息过剩并不是说你过多的阅读，我所指的是所有输入信息的过剩。如果你让所有的信息都涌进大脑，这当然会导致难于清晰思考，因为刺激源太多了。以下就是这种习惯可能会存在的弊端：

• 你所接受的一些信息也许会是消极的。媒体和周围环境会因种种原因提供一种消极的信息。如果你没有根据需要对信息加以选择，也许你就会陷入消极之中，从而影响到你的所思，所感，所为。
• 这会使你急于追赶当今发生的事情，然而每时每刻都有十几件事同时发生，想要追赶上它们几乎是不可能的事情。你的生活会因此充满压力。
• 如果你持续被信息轰炸，并且还试图将所有信息分类，那么你将很难做出决定并采取行动。就我个人而言，如果我得到过多的信息，就会造成某种形式上的瘫痪，一事无成。或者你会被这种习惯所困，终日急于忙碌在一些非重要的事情上。

为了可以集中精力，清晰思考并付诸行动，你就需要在吸取信息时更有选择性。当你工作时尽可能的避免那些分散注意力的事物。关掉电话，断开网络，关上大门。 你就会不可思议的发现，当你没有每隔五分钟就被打扰一次，没有机会因浏览RSS-feeds或喜爱的网站而拖延时，居然可以完成这么多的事情。

现在并不是说我建议你们停止阅读所有的博客或报纸。但是一定要清楚哪些是你真正想要阅读的，哪些只是用来打发时间的。同时你也可以查看其他开阔性信息的领域。

比如说，你没有必要陷入所有来自周围环境的消极情绪。如果周围的所有人都在拖延或者焦急的忙于各种非重要的事情时，你会很容易被这种情绪所影响。如果你有一扇心灵之门，关上它而去关注更为重要的事情，这会是个不错的主意。

• No related posts.

那攻击者到底是怎样实施该域名劫持攻击的呢？从攻击者的过程来看，主要有5个步骤：

1.获得要劫持的域名注册信息

攻击者会先访问网络解决方案公司www.networksolutions.com，通过该公司主页面所提供的MAKECHANGES功能，输入要查询的域名，获得该域名注册信息。并通过相关的攻击手段，获取更多的关于该网站的安全资料。

2.控制该管理域名的E-MAIL帐号

从上面获得的信息，攻击者可了解到abc.com的注册DNS服务器，管理域名的E-MAIL帐号，技术联系E-MAIL帐号等等注册资料，攻击者的重点就是先需要把该管理域名的E-MAIL帐号abc.legal.internet.registration@ABC.COM控制，进行收发在网络

解决方案公司networksolutions主页所修改域名注册记录后的确认E-MAIL，对该E-MAIL帐号的控制过程不排除攻击者对该E-MAIL帐号进行密码暴力猜测，对该帐号所在E-MAIL服务器进行入侵攻击。

3.修改该域名在网络解决方案公司的注册信息

到这个时候，攻击者会使用网络解决方案公司networksolutions的MAKECHANGES功能修改该域名的注册信息，包括拥有者信息，DNS服务器信息，等等。

4.冒充拥有者使用管理域名的E-MAIL帐号收发网络解决方案公司确认函

攻击者会在该管理域名E-MAIL帐号的真正拥有者收到网络解决方案公司确认函之前，把该E-MAIL帐号的信件接收，使用该E-MAIL帐号回复网络解决方案公司进行确认，进行二次回复确认后，将收到网络解决方案公司发来的成功修改注册记录函，攻击者成功劫持域名。

5.在新指定的DNS服务器加进该域名记录

在注册信息新指定DNS服务器里加进该域名的PTR记录，指向另一IP的服务器，通常那两台服务器都是攻击者预先入侵控制的服务器，并不归攻击者所拥有。

• 金融股市回暖 金融证券网站挂马大幅增多
• 安全厂商“组合拳”能否应对黑色产业链？
• 最全Wifi黑客资源光盘版 Wifi hack AIO 2009

近些天来，Kneber病毒登上了各媒体网站的头条，超过2000家公司被“观光”，它的目的不是搞坏你的电脑，它仅是在低调勤恳地偷取你的个人信息。这些信息包括邮箱帐号、银行卡账号、社交网站帐号等等。相信你对于这样的新闻、这样的风险描述已经麻木了，确实，饭盒也有些想吐的感觉，但同时，在饭盒的脑中产生了一些关于未来的幻觉——网络世界里的未来不是蓝天白云，晴空万里，恰恰相反，未来将是乌烟瘴气，流氓横行。今天我们就来大话一下未来的网络空间，相信当你10年后再看到这篇文章时，也许你会感叹饭盒的预见性。

盐吃得多了，一些人便开始喜欢总结一些事物的规律。虽然天机事前很难参透，往往只能做做事后诸葛亮，但生活其实本没那么复杂，预见一些身边的小事还是不困难的，比如房价，房价绝不会降，要买趁早，明天一定更贵。为什么？请看下图：

GDP是一年一年走高的，房地产自然也不能掉队

我们可以再举几个例子，比如公司某部门有人辞职了，但却久久不招新人，这时您可能就要小心了，有时这就是整个部门将被CUT掉的前兆。自己要早做打算，领导出招，往往不会让您有心理准备；2010春晚让人记住的是广告和无聊，于是有网友怒了，结果CCTV 网站就被黑了，明年经验就是，前台春晚植入广告，后台安防工作就一定要随之做好。

你是由一堆信息堆成的

好了，进入正题，网络安全。今天我们要说的话题与预见性有些关系，当然核心是网络安全。因为在不远的将来，你的网络，你的电脑，甚至你的智能手机将给你带来无尽的烦恼。你做好心理准备了吗？就像我们的房价一样，信息时代的安全状况正在慢慢的不可逆转的恶化中。

只要有需求，就会产生市场，这是一个信息时代，信息就是资产，那有没有贩卖个人信息的市场呢？当然有。在数据库中，每个人其实都是由数据构成的，比如身高、住址、姓名、病例、医保号、有无前科、党员与否、身份证号、信用卡号、存折账号、是否有子女、月收入、工作单位、手机号、 QQ号、人人网帐号、开心网帐号、邮件帐号，等等，信息越全面，越能清晰地勾勒出一个人，由此在亿万人中精确锁定一个人也变得非常容易。正所谓，你我从未谋面，但我无比了解你。那么，信息是什么？有科学家说，信息是确定性的增加。

你我从未谋面，但我无比了解你

也许你会说，就算别人知道了我的信息又能怎样？回答这个问题，我们可以设想一个故事，如果你是一个亿万富翁，如果别人掌握了足够多关于你的信息，骗子们会精心布局，细细研究，专门为你定制一套行骗方案，大投入大产出，还怕你不中圈套？当然这仅仅是个故事，但谁能保证故事不会成真？你的车子被盗了，你可以去报官，也许可以找回。但如果你的信息被卖了出去，你去报官有人管吗？信息被卖出的那一刻就不再“纯洁”了，因为信息极易被复制，但看好你的个人信息远比看住你的车子难！没有人希望被别人看透吧，一旦被人看透，必然变杯具，比如阿娇。

现在的问题是，你有能力看住自己的信息吗？很不幸，大部分人没有这个本事。黑客搜集信息时主要通过两种方式，一、直接攻陷QQ或人人网的服务器，这招比较难，成本太高，持续时间太短，做这种买卖不划算；二，对互联网上的电脑下手，撒大网，有价值的信息便会自己送上门来，这种方式成本低，隐蔽性好，持续时间长，并且还可以发动“群众”，对特定目标发动DDOS打击。“我的电脑中没有木马。”这句话在不远的将来可能会成为历史和一句笑话。

木马有两种，一种是通过恶意手段安插进用户电脑中的，在我们上网时，查看邮件时，运行程序时都可能中招，它们的死敌是各种杀毒软件，目前来讲，杀软的表现还可以，但重大事故其实也出了不少，比如去年的Conficker蠕虫病毒，纽约时报称，在2009年1月22日 conficker感染了900万台计算机，波及范围如此之大，可见有时杀毒软件的“视力”会出现失明。

最近比较热的一个病毒是 Kneber，报道称目前已有超过2000家公司和超过10万台互联网上的电脑被Kneber病毒攻击，其中至少有374家美国公司。据介绍，技术人员已经在病毒传送的数据中发现了超过75G的缓存数据，同时包含数十万银行账户信息。看到这样的新闻你可能已经有些麻木了，因为类似事件时有发生，每当这时杀毒软件似乎总会失明，而且是集体性失明。

集体失明

另一种“木马”其实是装机量相当庞大的某种软件，比如QQ 、360、迅雷之流。它们有一个共同的特点，装机量极为惊人且比较山寨，不知有没有人关注过它们可能会带来的安全风险，也不知这些企业是否有足够的资源和实力来保障用户的安全。我们对IE的漏洞总是盯着不放，但QQ、360的用户数量难道比IE的用户数量少吗？

我的信息不值钱，没人关注我

据腾讯09年发布的第二季度财报数据显示，腾讯QQ帐户总数逼近10亿大关，达到9.900亿，活跃帐户数达到4.480亿，最高同时在线帐户数达到6130万。2009年初，奇虎360董事长周鸿祎称360用户已达2亿。试想，如果这类软件被黑客发现了漏洞，结果将会如何？

也许就是黑客连自己开发木马病毒都省了，费时又费力，还要躲着杀毒软件，日子实在不好过，不如花些精力找找这些装机量惊人的软件的漏洞，不仅省去了病毒分发之辛苦，从此还可以无视杀毒软件，岂不妙哉。另外，腾讯、360它们手上握着如此多台电脑，在利益面前，它们自己能否把持得住，这也是个大大的问号，还记得当初微软黑屏反盗版事件不？记得当年的头号流氓软件3721上网助手不？

植入“后门”中

前不久的某一天，饭盒研究了一下GOOGLE提供的一些服务，惊讶地发现，它居然保存着我详细的搜索记录，饭盒一页一页地翻，居然翻出了08年的记录，最终翻累了也没有翻到尾页。如果您看到这些记录，您基本可以了解到，饭盒是一个低俗且好奇心较强的人，没错，自我评价也正是如此。

GOOGLE的解释是更了解用户有助于提供更优质的服务，姑且信了它吧，但我真的不希望，在我哪天打算出门时，GOOGLE发来一条服务信息：“今日天气预报有雨，请您带好雨伞。”

This is my world, my world!有人说公司是比国家更加强大的机器，比如微软，孟山都

用户面对的现实可能是，杀毒软件要敢说QQ有漏洞，“腾讯银行”立马跟你急，真相被公关河蟹掉了，但问题依然存在，用户不知道及时升级，所以倒霉的还是用户。现在有那么多针对IE漏洞的攻击，我就不信QQ、360是无缝的鸡蛋，难道IE不比它们“做工”考究吗？要知道，这世上除了有阿迪达斯还有阿迪王。

“这样不会有问题吧？”当你虚心请教一位哥时，哥一般会说：“没事谁攻击你啊？你有啥值得人家惦记的吗？”被这样一问，自己立刻就觉得心安了。我们都是被忽视的人吗？当然不是，惦记你的人多着呢。在我们的印象中，攻击者总是狂敲键盘，紧盯屏幕，试图入侵目标电脑，反正电影里都是这么演的，那现实情况呢？现实情况应该是完全相反的，黑客喝着咖啡，翘着二郎腿，等着数据自动送上门来，与其说他们擅长暴力入侵，倒不如说他们更擅长数据筛选与分析。

黑客：哥在时刻看着你呢

暴力入侵是为了获取数据，但其实获取数据有多种方法。搜索互联网上亿万台电脑中的有价数据是个体力活，但黑客可以雇佣世界上最廉价的劳动力来为他们 24小时不停地工作，这些苦力就是木马、各种病毒等，装机量惊人的“阿迪王”应该是被黑客利用的下一个目标。它们会勤勤恳恳地搜寻你硬盘的每一个角落，然后将有价信息自动发给黑客们。有个美国小伙叫冈萨雷斯，作为一名黑客，他手上掌握着美国 1.3亿个信用卡账号，并创下历史纪录，被捕时28岁，之前他就是一位有着近10年不良记录的“惯犯”，州和联邦监狱中的“常客”。

阿尔贝特•冈萨雷斯，哥在时刻看着你呢

种种迹象表明，在不远的明天，整个信息时代的生态环境将变得乌烟瘴气。在网络空间中，未来只可能越来越混乱，闯红灯、强行并线，一脚踢开防火墙来你家转一转，光天化日之下摸你钱包，这些都将是平常之事。

是饭盒危言耸听吗？不是！饭盒是坚定的政策拥护者，共产主义者，但现实却是，网络安全、整个信息时代的生态环境正在持续的恶化中。也许，最终掌控互联网的不是强大的美国，也不是软件工业强大的印度，而是那些匿名在互联网上的黑客们，它们将是未来信息时代的最大赢家及获利者。当信息贩卖行业的GDP以每年9%-400%的速度攀升时，为他们打工的将是我们每一个人，而且没有工资，没有医疗保险。

那我们要怎么做才能苟全于未来？把电脑砸掉？我想这不太可能，如果把电视砸掉可以解决问题，相信很多人是可以接受的。或者你可以选择时空穿越，穿越回你的学生时代，学习一些基本的、必要的网络安全知识，不为别的，只为了今后活在这个信息时代不那么辛苦。饭盒要讲蝴蝶效应？似乎是，饭盒过年期间把穿越题材的电影看了个够。

蝴蝶效应，咱中国古话叫有因必有果

当然，穿越是不可能的，但利用闲暇时间学习一些电脑、网络安全知识还是可以的。在一天24小时中，很多人跟网络、电脑打交道的时间可能比睡觉的时间还要长，有什么理由不多了解一下它们呢？

预见性——最终还是回到这个话题上来，现在的网络生态环境还不是那么糟糕，如果从现在开始就有意地学习一些网络安全知识，等到信息混乱时代来临时，你才会觉得不那么郁闷。饭盒所在的街道办事处的阿姨们打字只用4个手指，无法想象她们怎么应付文档类工作，也许是叫他们的儿女代打吧，等儿女长大了，当妈的也该退休了——这就是没有预见性及不爱学习的代表。

• No related posts.

如今，Web在社交功能方面日益增长，但是它的安全性却日益堪忧。事实上，据WASC在2009年初的估算，所有网站中有87%都存在安全隐患。虽然一些公司有能力外聘安全专业人员进行渗透测试，但并非所有公司都有支付得起20,000到40,000美元的外包安全审计费用。相反，公司可以自己设法让开发人员获悉这些安全威胁，充分引起他们的注意，从而在开发代码时不会留下这样的安全隐患。
常用缩写词

HTML：超文本标记语言

SQL：结构化查询语言

URL：统一资源定位器

要想编写出安全的代码，您必须首先获悉您的程序所面临的威胁有哪些。本文考察了一些非常流行的漏洞，诸如跨站点脚本攻击和SQL注射，同时还介绍了可以一些安全工具。这些工具不仅可以帮我们保护自己的网站，还能帮我们保护数据和网络。本文无法替代安全专业人员，也不会教授艰深的安全技巧。相反地，我们主要介绍如何发现代码中潜在的漏洞，以及如何修复它们。

常见安全漏洞

开始之前，我们需要对要查找的漏洞本身有所了解。我们先来看一下最流行的一个漏洞，即跨站点脚本攻击(XSS)。XSS是网站被注入恶意脚本而导致的，举例来说，Mallory编写了一段脚本，它能够将用户转至一个受信任的网站上，而该站点则是由Alice创建的。 Mallory把这个脚本插入一个流行的论坛上后，Bob在论坛中看到并点击了这个链接，并在Alice的站点上创建了一个帐号。 这时，这个脚本利用Alice的网站上的一个XSS漏洞将Bob的cookie发送给了Mallory，这样一来，Mallory就可以冒充Bob并窃取其信息了。

SQL注入是第二大流行的安全漏洞，这主要是拜网站对数据库的依赖性日益增强所赐。SQL注入实际上非常简单：发现一个连接数据库的网站后，心怀叵测的黑客可以执行一个SQL查询来实现开发人员始料未及的功能：绕过身份验证或者操纵数据。这种类型的攻击，正是Albert Gonzalez窃取13000万信用卡号的作案手法。在发动SQL注入攻击过程中，Mallory发现了Alice用于销售电子产品的网站。这次，Mallory并没有像平常那样输入用户名和密码，而是在用户名字段中输入了‘) OR 1=1- 。虽然她它的输入中包含了连字符(-)，但是其它部分就无所谓了，因为1=1总是成立，所以她将成功登录。现在，她可以操纵数据库以窃取Bob的客户信息。这个例子以最简单的方式对SQL注入进行了演示，您可以从中看到利用这种攻击对于攻击者而言是多么简单。

如果没有专业的安全人员团队，普通的Web开发者看起来很难跟这些漏洞相抗衡。幸运的是，事实并非如此。许多工具可以帮助我们查找网站中潜在的漏洞，如果据此采取必要的措施的话，我们就能够有效的防御这些漏洞导致的攻击。为了帮我们识别潜在危险，像WebScarab 和Paros 之类的工具能够捕捉浏览器和服务器之间的会话，并能爬行网站。掌握这些信息后，您就可以检测这些漏洞并采取防御措施了。

• No related posts.

之前我自己将wasc-wafec-v1.0_web应用防火墙评估标准.pdf翻译成中文，并整理成excel方式在公司内部发了下，一直没有公开发出，一来是觉得翻译的还不够好，二来觉得有些地方自己也未领悟深透。今天偶然在网上发现有人也翻译了这个标准，并公布了出来，就直接转载过来，下面为转载内容。

前言
Web应用防火墙 (WAF) 代表了一种新的信息安全技术，用于保护Web站点（或者说Web应用程序），使其在受攻击的情况下表现出更强的抵抗力。 在抵御Web攻击方面，WAF 提供了防火墙和IDS等常规信息安全产品所不具备的能力。WAF不需要修改Web应用程序的源代码。随着目前针对Web应用的攻击手段越来越复杂化，为WAF制定一个规范的评价标准显得重要起来，有了这个标准，我们就可以去准确地比较和评价WAF产品。

本项目的目的是研究出一套WAF的评价标准，同时研究出一套测试方法，使得有经验的工程师可以使用本文中提到的知识独立的对WAF产品的优劣进行测试和评价。这里需要指出的是，由于WAF技术上的实现方式多种多样，对于WAF产品来说，并不要求其支持本文中提到的所有具体技术。

总之： 这篇文章的目的是要引起测试人员对WAF产品可能使用的一些技术的重视。我们列出的评价项目清单很长，你可以以其为基础，从中抽出部分项目对特定产品的进行测试。

评价项目如下：

1.      部署方式

2.      HTTP协议支持

3.      检测技术Detection Techniques

4.      防御技术Protection Techniques

5.      审计Logging

6.      报告Reporting

7.      管理Management

8.      性能Performance

9.      XML

在以后的版本里，我们准备新增和加以充实的条目还有：

·         主动学习（Compliance）,认证（ certifications）和协同工作（interoperability）

·         更深入的研究对性能 的评价(尤其是网络层性能)

·         更深入的研究对XML相关功能的评价指标

撰稿者
本文的诞生源自团队的努力。以下是为本文无私贡献了宝贵时间和经验的兄弟姐妹们：

·         Robert Auger (SPI Dynamics)

·         Ryan C. Barnett (EDS)

·         Charlie Cano (F5)

·         Anton Chuvakin (netForensics)

·         Matthieu Estrade (Bee Ware)

·         Sagar Golla (Secureprise)

·         Jeremiah Grossman (WhiteHat Security)

·         Achim Hoffmann (Individual)

·         Amit Klein (Individual)

·         Mark Kraynak (Imperva)

·         Vidyaranya Maddi (Cisco Systems)

·         Ofer Maor (Hacktics)

·         Cyrill Osterwalder (Seclutions AG)

·         Sylvain Maret (e-Xpert Solutions)

·         Gunnar Peterson (Arctec Group)

·         Pradeep Pillai (Cisco Systems)

·         Kurt R. Roemer (NetContinuum)

·         Kenneth Salchow (F5)

·         Rafael San Miguel (daVinci Consulting)

·         Greg Smith (Citrix Systems)

·         David Movshovitz (F5)

·         Ivan Ristic (Thinking Stone) [Project Leader]

·         Ory Segal (Watchfire)

·         Ofer Shezaf (Breach Security)

·         Andrew Stern (F5)

·         Bob Walder (NSS Group)

译者
李毅< http://blog.csdn.net/bill_lee_sh_cn>

本文译文地址< http://blog.csdn.net/bill_lee_sh_cn/archive/2009/08/27/4488641.aspx>

联系我们
Web应用防火墙评价标准项目对所有人开放，如果你想参与或是评论请联系Ivan Ristic  (<ivanr@webkreator.com>).

评价项目
第1部分 – 部署方式
这一部分描述了WAF在既定环境中的部署问题

1.1 运行模式
该WAF可以支持被动(旁路监听)和主动（串接等）模式吗？

请指出该WAF支持以下主动模式中哪种或哪几种？

1.      透明网桥模式. 是否支持 fail open?【译者注：“fail open”是指当该WAF宕机或停止工作时，网络流量仍然可以穿过它，只是不再被检查】

2.      路由模式.

3.      反向代理模式（Reverse Proxy）. 通过修改DNS将网络访问流量定向到WAF上。

4.      插件模式（Embedded）.这时 WAF作为一个插件被直接安装在Web服务器上。 支持哪几种Web服务器？请指出与Web服务器如何结合： 有的插件形式WAF插在Web服务器的通讯之前，所有的检查和过滤任务都是自己完成的，而有的则依赖Web服务器的功能去完成这些任务.(这两种方式各有自己的优缺点。)

1.2 SSL
SSL通常用来保护与Web应用交互的通讯数据。这种机制在达到保护通讯数据的同时也对防御保护系统 （如IDS、WAF等）的正常使用造成了困难。如果WAF无法得到被加密的原文，它就没有办法实施保护。

请描述该WAF如何得到被加密的原文数据：

1.      作为SSL的一端（Terminates SSL）. 需要重新规划网络结构使得由WAF来完成SSL操作。 WAF 自己对HTTP数据进行加密和解密，而WAF同Web服务器之间的通讯可以使明文或也使用SSL加密。

2.      被动SSL解密（Passively decrypts SSL）.在WAF上拷贝一份Web服务器的私钥从而使WAF 可以解密SSL通讯数据. 原始的SSL通讯数据可以不受影响的到达服务器。

3.      不受SSL影响. 这一般发生在作为Web服务器插件的WAF情况下, 该WAF的工作位置在SSL已经被Web服务器解密成明文之后。

客户端证书：

1.      在被动模式下支持客户端证书吗？

2.      在主动模式下支持客户端证书吗?

3.      In termination mode, can the content from client certificates be sent to the application using some alternative transport method (e.g. request headers).

其他的 SSL 相关问题：

1.      在 termination 模式中, 后台的通讯(WAF到web 服务器)使用SSL加密吗？

2.      该 WAF在后台通讯中支持客户端认证吗？

3.      是否支持所有的主流加密算法（cipher suites）？都是哪些？

4.      该WAF是否可以从外部的密钥存储设备中获取密钥 (e.g. network-based Hardware Security Module)?

5.      所支持的SSL 是否可以通过FIPS 140-2 认证? 支持哪一级的 FIPS (level II and/or III)?

6.      是否支持硬件SSL加速? 如果支持的话，SSL证书是存储在硬件中的吗？

1.3 阻断方式
如果该WAF支持阻断恶意的访问，请问采用下面的哪种方式？

1.      连接中介模式（Connection Intermediation）. 由WAF根据网络协议中途截断通讯，攻击在到达目的地之前就被阻断。【译者注：这可能是在代理模式下，或是在具备存储转发功能的WAF中的工作模式，WAF将网络层甚至是应用层的请求接完全后认为没有危险才提交给服务器】

2.      连接中断（Connection Interruption）. 这种方式中网络流量一直被监视，但是不会被WAF截断。通过阻断到目的地的连接来阻断攻击，这种方式可以使得所有数据包都会被被阻断（如只有一个数据包的攻击），也可能会有一些不能构成完整攻击的数据包到达目的地（如分片包）。【译者注：或是其他一些需要多个数据报文组成的攻击，如teardrop，需要两个分片数据报文才能构成一个攻击，而就第一个数据报文来说是无害的】

【译者注：以上两种方式从翻译来说不好判断区别，好像第一种是从应用层来说的，进行了大量的存储后转发，第二种是工作在网络层，类似于IPS。】

3.      连接重置（Connection Reset）. 主动模式、被动模式或是插件模式的WAF都可以通过重置TCP连接的方式的方法来阻断攻击。

4.      通知第三方设备进行阻断. WAF只监视网络通信，发现攻击时通知其他设备
（如路由器或防火墙）进行阻断。

请描述一下可以阻断的对象：

1.      阻断HTTP request.

2.      阻断TCP connection.

3.      封锁 IP 地址.

4.      阻断应用层会话（application session）.

5.      阻断应用层的用户.

当在HTTP应用层进行阻断时，该WAF是否可以给用户发出一个友好的信息？是否可以为用户提供一个唯一的事务ID (见 5.1)?

如果该WAF支持阻断，是否可以将阻断功能关掉（包括彻底关掉或是针对特定的请求关闭部分阻断功能?

1.4 分发方式
请说明该WAF是以何种形式进行分发的：

1.      硬件方式：将软件安装在特定的硬件中进行分发的好处在于硬件通常进行了高度的优化并且可以配之以特殊的硬件模块来提高性能。该WAF是否有可选的硬件模块来提高性能(这里除了SSL,我们已经在1.2中提到过了)?

2.      软件方式 ：请给出参考的硬件配置。该WAF是随着操作系统集成在其中进行分发的，还是要使用者在操作系统中安装？支持哪些操作系统（包括版本号）？需要其他额外的硬件模块来提高性能吗（譬如说SSL加密卡等）？

1.5 高可用性
高可用性有两个方面：一是要防止这个WAF在出现问题时影响了其他应用，二是要让该WAF在高负载的情况下不至于影响其功能的发挥。现在有如下问题：

1.      当使用主动模式（active mode）时, 是否可以配置成fail open?

2.      是否支持多节点并行处理? 如支持请说明其架构和实现原理。

3.      在双机热备的模式下，如何进行失效接管（fail over）以及之间需要多长时间?

4.      在双机热备的模式下，备机可以用来分担部分负载吗？

5.      各节点的状态可以共享吗？ (如果共享状态的话，一个节点失效对整个系统来说不会有任何影响) 再问一下,是否也支持SSL的会话状态共享?

6.      是否支持集群（两个节点以上）? 如果支持的话最大支持多少节点？

7.      节点在物理上可以分散部署吗？如果可以的话请说明这样部署的话对失效接管以及状态共享有什么影响?

1.6 串接模式下的功能  Inline operation
1.      该WAF是否支持模拟出所有的Web服务器的功能？【译者注：这里的意思是由WAF直接同浏览客户端和Web服务器进行通信，再将浏览器的请求或是服务器的回应向对方传递】请描述一下支持哪些：

a.       虚拟的主机.

b.      网络端口.

c.       URL 映射

d.      Authentication realms. (这个在 2.7中详细解释.)

e.       Cookies.

f.        Sessions.

2.      该WAF 支持 HTML (response)重写来改变其中的URI吗？

3.      用户可以自定义 HTML重写功能吗？支持哪些部分的重写？

a.       Request headers.

b.      Response headers.

c.       Parameters (包括查询参数, application/x-www-form-urlencoded POST 参数, and multipart/form-data POST 参数等).

d.      Request body – raw.

e.       Request body – XML.

f.        Request body – other (list supported content types).

g.       Response body – raw.

h.       Response body – HTML.

i.         Response body – other (list supported content types).

4.      支持网页缓存吗?

5.      支持响应网页的压缩吗?

6.      可以完全的重塑对真实服务器的请求吗？

1.7 对非HTTP协议的支持
请说明除了HTTP还支持其他的协议吗 (如： FTP, DNS, LDAP)?

对工作在网络层的串接模式的WAF来说，是否同时具备网络层防火墙的功能？

第 2部分 – HTTP 和 HTML 支持
2.1 支持的 HTTP 版本
是否支持以下版本：

1.      HTTP/0.9

2.      HTTP/1.0

3.      HTTP/1.1

2.2 支持常用的编码方式
应该支持下面列出的编码方式：

1.      application/x-www-form-urlencoded 编码

2.      multipart/form-data 编码

3.      v0 cookies

4.      v1 cookies

5.      request分块编码(chunked encoding) 【译者注：分块编码(chunked encoding)传输方式是HTTP 1.1协议中定义的Web用户向服务器提交数据的一种方法，当服务器收到chunked编码方式的数据时会分配一个缓冲区存放它，如果提交的数据大小未知，客户端会以一个协商好的分块大小向服务器提交数据。】

6.      response分块编码(chunked encoding)

7.      request 压缩

8.      response 压缩

2.3 严格的协议检查Strict protocol validation
1.      如何进行限制（限制方法详见下面）

2.      限制协议和协议的版本

3.      严格的 (per-RFC) request 验证

4.      检查URL编码字符 URL-encoded characters

5.      检查不规范的编码如 %uXXYY字符

6.      强制规定所使用的 cookie 类型(如只允许v1 cookies)

限制方法
限制方法包括如下部分：

1.      元素内容

2.      元素长度

3.      元素字节范围.

4.      字符集限制 (如：UTF-8)。都支持哪些字符集?

当对request的不同部分使用不同的限制时WAF的灵活性如何？

2.3 其他的协议限制
是否支持如下的与协议相关的限制：

1.      request method length

2.      request line length

3.      request URI length

4.      query string length

5.      protocol (名称 和版本) length

6.      header的数目

7.      header name length

8.      header value length

9.      request body length

10.  cookie name length

11.  cookie value length

12.  cookies的数目

2.4 HTML 限制
1.      parameter 名称长度

2.      parameter 值长度

3.      parameter的数目

4.      parameter的总共长度 (名称和值的长度和)

2.5 文件传输
1.      支持 POST方法文件上传(multipart/form-data encoding)

2.      支持 PUT方法文件上传

3.      每个上传文件的大小可限制

4.      一次上传多个文件时，总大小可限制

5.      请求的文件数目可以限制

6.      是否支持添加自定义的文件检查规则?

2.6 支持多种字符集
WAF必须可以对request中使用不同编码的字符进行检查以提供更好的保护功能。

2.7 身份认证
这部分涉及普通的身份认证方法，从两个方面进行评价

该WAF支持使用下述认证方法的应用吗？

1.      基本的身份验证（Basic Authentication）【译者注：这里可能指的是常规的用户名/口令认证】

2.      使用摘要算法的身份验证（Digest Authentication）【译者注：这里可能指的是对口令进行了MD5加密的认证】

3.      NTLM身份验证

4.      客户端证书

该 WAF 是否本身支持以下的身份验证方式(由WAF为应用提供额外的身份验证)?

1.      基本的身份验证（Basic Authentication）

2.      使用摘要算法的身份验证（Digest Authentication）

3.      NTLM身份验证

4.      客户端证书

5.      双因素身份验证

注：关于SSL中对客户端证书支持的更详细的描述请见1.2.
该WAF可以将身份验证集成到后台的验证机制中吗？是否支持一些通用的身份验证方法（如LDAP、RADIUS等）？

该 WAF 支持一些主流的安全标记语言（security assertion）或是联合身份认证协议（Federated Identity protocols）吗？

1.      安全断言标记语言（SAML ）(1.0, 1.1, 2.0)

2.      Liberty-ID-FF (1.0, 1.1, 1.2)

3.      WS-Trust【译者注：Web Service中的一种安全协议】

2.8 Response 过滤
该WAF支持对服务器发送出的响应内容进行检查分析吗 (有时这种功能被称为”Identity Theft Protection”或 “Intellectual Property Firewalling”)?

1.      Response headers

2.      Response body

3.      Response status

第3 部分- 检查技术Detection Techniques
3.1 数据还原
Web系统通常和其他相关系统一同使用【译者注：如数据库系统等】。这就使得攻击者将攻击行为伪装成一种看上去无害的形式（譬如通过编码变换）提交进来以攻击后台的其他系统【译者注：如SQL注入，对Web应用本身无害，是对后台数据库的攻击】。由于后台系统的种类繁多，WAF必须识别出针对这些系统的攻击，这为WAF的开发带来了很大的难处，为了使WAF的规则可以有效的抵御这些攻击，WAF必须发现出这些攻击并将变换的输入数据还原成正常的数据。

请描述该 WAF是否支持以下的数据还原方法：

1.      URL解码 (如%XX)

2.      以空字节结尾的字符串（Null byte string termination）【译者注：如C风格字符串】

3.      路径中的本级目录引用 (如使用 /./ 或与之等价的编码字符串)

4.      路径中的上级目录引用(如使用 /../ 或与之等价的编码字符串)

5.      大小写混合使用（Mixed case）【译者注：如SeLeCt 】

6.      大量使用空格字符

7.      注释移除(如将DELETE/**/FROM 改为 DELETE FROM)【译者注：这点我也不明白】

8.      将”\”(Windows下的)改为”/”

9.      对IIS制定的Unicode编码进行转换 (%uXXYY)

10.  对HTML中的一些特殊定义的字符进行转换(如&#99;【译者注：这个其实就是HTML代码里用ASCII代码表示字符的方式. &#99; 代表的就是字符为99的ASCII字符，即“c”】, &quot;【译者注：引号】, &#xAA;【译者注：这是使用十六进制表示的字符，相当于&#170;即“ª”】，关于html中特殊字符请见一篇文章<html中特殊字符>：地址：http://sailinglee.javaeye.com/blog/446898)

11.  转义字符（Escaped characters） (如\t, \001, \xAA, \uAABB)

3.2 被动安全模式（Negative security model）
【译者注：也就是所谓的黑名单机制】

当使用被动安全模式时，除了那些包含攻击的行为被阻止外，其他的行为都被允许放行。这种模式的安全性取决于WAF对有害行为的定义和检查效果

请问该WAF的黑名单定义采用了下述的哪种机制：

1.      基于签名（Signature-based）. 签名的方法通常采用关键字或是正则表达式对流量内容进行检查。

2.      基于规则（Rule-based）. 同签名方法很相似，但是规则可以在逻辑上更复杂（如支持AND 、OR），同时也可定义对内容的某一特定部分进行检查。

3.3 主动安全模式（Positive security model）
【译者注：也就是所谓的白名单机制】

主动模式下除了那些被相关规则判别出是有效和安全的流量可以通过外，其他所有的流量都默认禁止通过。这种方法在处理效率上比较高(因为允许通过的流量的特征比较少，所以对流量进行检查时使用的检查规则较少，同时也更安全，但其缺点在于需要对受保护的系统有较深入的了解以决定哪些流量是允许的。这种主动模式在Web应用经常变化的情况下维护起来比较困难。

请回答下述问题：

1.      是否支持主动模式？

2.      可以手工修改主动模式的配置吗?

3.      主动模式下其配置可以自动修改吗（如采用学习模式）？自动配置使用了什么工具？自动配置需要如何来维护 (动态？手工？还是完全自学习？)?

4.      支持升级吗?升级时需要重启WAF吗？

主动模式可以采用严格的内容检查规则方法、统计分析方法或是基于异常检测的神经网络方法。

3.4 签名和规则库
请回答下述相关问题：

1.      产品在出厂时具有对已知攻击所定义的签名或规则库吗？

2.      该库都支持哪些产品？

3.      签名或规则库的升级周期是多长时间？

4.      签名或规则库中是否指定了针对的操作系统、应用及其版本？是否允许管理员只使用其中合适的部分？【译者注：即规则可选择，否则如果所有的规则都进行检查，对性能影响太大】

3.5 API 接口
是否支持API接口允许自开发插件？

第 4部分 – 保护技术Protection Techniques
这一部分列出了使用普通的保护机制无法达到的一些特定的安全需求，这篇文章无法描述出所有的Web安全问题，这些内容可以从我们的另外的一个有关各种威胁分类的项目中找到http://www.webappsec.org/projects/threat/.

4.1 限制暴力破解攻击
1.      可以检测到HTTP访问控制中的暴力破解攻击(HTTP status code 401).

2.      可以检测到应用中任一部分的暴力破解攻击(对同一资源的大量访问)。

3.      可以为不返回401错误的应用定制防暴力破解攻击规则 (probably with a regular expression applied to a response part).

4.      可以采用限制或阻止攻击者的手段。

5.      可以检测到Session管理机制中的暴力破解攻击(从单一IP或某个IP段发出的Session太多)。

6.      可以检测到自动客户端(Session请求的频率过高)。

4.2 Cookie保护方法Cookie Protections Measures
1.      对cookie进行签名，防止在客户端对之进行修改。

2.      对cookie进行加密以隐藏其中的内容。

3.      对cookie进行完全隐藏(cookie机制虚拟化：发送到客户端的每一个cookie都是用唯一ID)。

4.      是否可以为每一个应用定制保护规则？【译者注：一个WAF可能保护了多个Web应用，每个Web应用都有自己的特点，这句话的意思是针对每个应用制定不同的cookie保护方法】

4.3 限制会话攻击
1.      为了完全接管应用中的session处理机制，需要支持下面的机制：

a.       Cookies

b.      Form parameters

c.       URI 重写

2.      session IDs 可以同 SSL中的 session ID 值相符吗?

3.      session IDs可以结合到身份验证机制里吗?

4.      是否可以为每一个应用定制保护规则？

4.4 保护表单中的隐藏域
是否可以防止表单中隐藏域的值被篡改？

4.5 URL加密和参数保护
是否支持URL和参数的加密以防止它们被任意的访问(如强制访问、session劫持等)?【译者注：cryptographic URL Encryption ：这种方法很好，有两个层面，一个是URL的加密，要同Session等一次性的机制结合起来，使得每次访问的目标都要通过Web应用的一个统一解密入口才能到达真正的URL，还有一个是参数的加密，可以有效的防止暴力猜测】

4.6 严格的请求顺序控制
是指WAF严格的监视请求的顺序，只有那些可能的后续请求才能被允许。【译者注：这一块我是意译的，不知道对不对，但这种方法的确很好，譬如说某个站点有ABC三个网页，A中有一个链接到B，但是没有到C的直接链接，那么在访问A之后马上访问C就是一种异常的访问，有可能是一种攻击】

第 5部分 –日志
5.1 唯一的事务ID
为每一个HTTP事务（一个事务定义为一个请求 和其相应的响应）分配一个唯一的ID并在包括在日志信息里面。

5.2 访问日志
访问日志是指对通过WAF的所有事务的记录。访问日志通常是文件的形式，也有一些其他的形式（如数据库）。

1.      访问日志可以导出至文件。

2.      支持哪些常用的日志格式？

3.      访问日志的格式可以定制。

4.      访问日志是否可以发送至Syslog服务器？

5.      访问日志是否可以定时的发送至日志服务器 (如通过 FTP, SFTP, WebDAV, o或SCP).？

5.3 事件日志和通知
事件日志是指对那些可疑的事务的记录。事件日志通常是文件，也可以保存在数据库中。

我们希望WAF可以支持下面的事件通知方法：

1.      邮件

2.      Syslog

3.      SNMP Trap

4.      OPSEC Event Logging API (ELA – http://www.opsec.com/intro/sdk_overview.html#ela)

5.      使用 HTTP(S) push进行通知【译者注：HTTP push是一个新鲜玩意，该技术通过延长response的时间保持与客户端的TCP连接，这样就可以在其中加入通知内容提醒客户端，具体的方法请见《HTTP PUSH技术原理，结合ASP.NET实现以及评述》，地址http://blog.csdn.net/banmuhuangci/archive/2008/09/20/2955719.aspx】

6.      定期的日志上传

事件日志的格式也很重要，请描述一下日志的格式是哪一种？

1.      文本格式?

2.      XML?

3.      提供API支持定制格式？

5.4 完整的事务日志
一个完整的事务日志必须包括HTTP请求及其响应。重点是请求的body部分，响应的body部分可选。完整的事务日志有以下的要求：

1.      有对事务日志格式的描述性文档。

2.      日志的详细程度应该可以定制。如：允许用户只记录request的body部分而不记录response的body部分，应该只对那些可疑的事务进行详细的记录，而对那些非可疑的事务只进行有限详细的记录。

3.      可以指定哪些事务需要记录，譬如说：只记录可疑的事务，或是只记录带参数的动态页面事务。

4.      对于支持Session机制的WAF来说应该记录包含可疑事务的整个Session中的访问数据。s

5.5 日志访问
对日志的访问有如下要求：

1.      日志可以定期通过FTP 或SCP导出为文件。

2.      日志可以直接通过访问数据库得到，数据库的结构需要有详细的文档描述。

3.      日志可以通过提供的API访问获得(取pull).

4.      提供API支持开发插件在消息到来时即时获得 (推push).

5.      日志可以签名为thwart tampering吗?

5.6 支持Syslog
如果支持 Syslog 需要评价以下几个方面：

1.      支持基于UDP的Syslog

2.      支持面向连接的Syslog【译者注：如TCP】

3.      在面向连接的Syslog中应该支持SSL来保护传输内容

4.      当使用SSL时，客户端和服务器端的证书应该可以还有其他的作用

5.7日志留存
这是指设备对于重要日志的保存能力，防止存储空间溢出。

1.      可以设置日志保存的最大期限，对超出这个期限的日志进行删除

2.      可以设置日志的最大存储空间，当达到空间限制值时删除最早的日志

3.      支持多中日志留存规则（如违反规则的日志可以保存的时间长一些）

4.      在删除日志之前可以进行自动的备份。

5.8 敏感数据处理
1.      可以从日志中删除敏感数据吗？

2.      可以设置哪些是敏感数据吗？

3.      可以自动识别哪些是敏感数据吗? 可以定制吗?

4.      可以使用哪些模糊化的处理方法? (一个简单的办法是使用替换方法，如替换成*，或者使用一种可以还原的转换方法，允许特定的人员在必要时进行还原)

【译者注：敏感数据的处理是对日志的一个高要求，如用户提交的银行账号、密码等，这些如果记录在日志中会存在很大的风险，所以可以将其转换为*，或采用可逆的加密机制，在可控的情况下进行还原】

第6 部分- 报告
6.1 事件报告
由于分析员可能会经常查看事件日志，需要用报告来跟踪综合的安全等级

1.      可以生成可理解的事件报告吗？支持哪些过滤条件？

a.       日期和时间?

b.      IP地址范围?

c.       事件类型?

d.      其他(请一一指出).

2.      报告可以随时生成。

3.      报告可以定期生成 (如：每日或每周)

6.2 报告格式
以下是常用的格式：

1.      Word

2.      RTF

3.      HTML

4.      PDF

5.      XML

6.3 报告的显示
定制的目的是使报告看上去和公司的其他文档格式一致

1.      显示相关定制 (如色彩、logo等).

2.      内容定制 (目标群体如主管、开发人员等)

3.      是否在报告中包含了适合的图表?

4.      支持哪些目标群体?

6.4 报告分发
支持以下哪几种方式：

1.      自动通过邮件分发 (push).

2.      自动通过 FTP分发 (push).

3.      通过第三方的报告集中管理平台分发 (pull).

第 7部分 – 管理
对于网络设备来说管理是一个重要的部分，尤其对于安全设备来说，因为业务需要的不停变化需要对设备不停的进行设置。从这个角度来说，WAF的管理模块必须满足策略更新的需求，同时管理模块的设计和实现上需要格外小心， 保证不会影响吞吐量和可用性。下面是关系到WAF管理模块的几个方面，我们对其进行了分类，以便区分不同的管理需求，这可以从一个较高的抽象层次来对WAF进行评价，而不必深入到具体的相关技术。

7.1 策略管理
7.1.1 可以方便的弃用某些自动生成的策略
大多数的WAF设备都可以自动的学习应用的逻辑结构并建立与之对应的安全策略，然而，如果这些策略带来了大量的误报，应该有一种机制可以很方便的弃用其中的某些策略，而不是从零开始再手工建立策略。

7.1.2 可以方便的修正误判
对于某些策略将合法的请求误判是攻击的情况应该可以方便的将这些合法的请求移出过滤规则。

7.1.3 为不同的应用定制不同的策略
标题已经很清楚了。对于新部署的应用需要对之采用学习模式，而那些已经建立了稳定的策略的老应用. 则不能再使用学习模式了。

更多的关于策略粒度的要求请参见 2.2.4。

7.1.4 可以定制攻击的特征及其响应事件
主动安全模式中应该没有自定义攻击特征的概念了，然而，一些商用的产品中往往将这两种功能结合在一起来增强准确性，管理模块应该支持自定义特征来对付那些针对某些应用的特别的攻击行为。

7.1.5 可以定制防止DoS的策略
由于应用环境的不同，对DoS也不好作出一个标准的定义，因此， WAF产品需要能允许管理员自己定义如何去辨别DoS攻击，有些具有一定智能的WAF可以为正常的应用访问建立一个统计模型，通过监控流量是否偏离了这个正常模型来判断是否发生了DoS攻击。

7.1.6 可以将探测和阻断结合起来
策略需要能在较细的粒度上提供支持，不能支持在整个应用的层面上不停的从检测和阻断模式之间进行切换，必须要在组件的层次上支持对每一个攻击在检测和阻断之间进行组合，这使得管理员可以方便的再阻断那些真实攻击的同时也可以对流量进行检测【译者注：这段话翻得比较晦涩，意译过来应该就是尽量的让功能模块化，并使得各模块之间可以同时工作和进行信息交换】。

7.1.7 回退机制
如果新设置的策略没有正确的保护网站或者影响了网站的服务，应该有一种机制能方便的返回到先前的策略状态。

7.1.8策略共享
该WAF的策略是否可以共享到其他的系统？如果可以的话，如何进行策略同步？策略可以导出为一个文件并导入到其他系统中吗？如何控制策略的版本？

7.2 学习机制
7.2.1 识别出可信任的主机
学习模式的基础是对客户端和应用服务器之间的流量进行监视，但是在一个时间段中可能没有任何的攻击行为发生，因此不能将这个作为学习无害流量的基础，应该可以指定一些可信任的主机让WAF将这些主机的流量作为无害流量来学习。

7.2.2 在无人干涉的情况下对应用特征进行学习
应该有一种内建的机制使得WAF可以在没有用户访问网站的情况下也可以对应用的特征进行学习。就像网络爬虫或是扫描器那样对网站的每一个链接页面和所有服务进行分析，这种爬虫需要和策略编辑器有机的结合起来，同时，应可以定时进行扫描以发现Web应用的更改并及时对策略进行修正。

7.2.3在图形界面外可以对策略进行修正
有时GUI提供的策略向导并不能生成足够准确的策略，因此必须可以对策略中的细节进行调整，譬如说修改那些正则表达式中的某些值等【译者注：策略往往就是界面中的一条规则，通过GUI我们可能只能对其中有限的部分进行修改，这样有可能无法达到我们的目的，这一段话的意思是允许我们对策略中的细节进行修改】

7.2.4 对策略进行检查
1.      是否可以很方便的审计安全策略并对之生成报告？如何审计？

2.      策略的变化师傅进行了审计？审计都包括那些细节 (如： 更改的内容, 日期, 时间, 管理员等)?

7.3 配置管理
7.3.1 用户验证和角色管理
需要对登录的用户划分不同的权限，可以包括但不限于：设备管理员（设备配置）、应用所有者（策略配置）、审计员（日志查看）等。

7.3.2 支持信任主机
信任主机 (通过IP或IP范围指定)有时需要被允许进行违反策略的操作。如在渗透性测试中，需要关闭保护机制或者仅仅产生报警。

1.      WAF是否可以针对信任主机不采用阻断机制而仅仅是将错误写入日志？

2.      WAF是否可以忽略来自信任主机的任何访问请求 (连日志也不记)?

7.3.3攻击特征库自动升级和安装
如果攻击特征库是作为一种检查手段的话，需要在每一个探测器上都可以自动下载和升级它。

7.3.4 远程管理
我们建议在安全的网络上对WAF进行远程管理。这使得管理员的维护工作变得更安全，同时管理的网络流量需要能方便的通过防火墙并且要进行加密，以防被截获。

7.4 日志和监测
7.4.1 可以感知系统出错和性能的下降
管理模块应该可以对系统状态进行监测，以便在发生错误或性能下降时通知管理员，通常使用的通知方式是电子邮件、SNMP、Syslog或短信。

7.4.2 日志抑制
所谓日志抑制其实是一种简单的机制，它通过一种巧妙的办法将相似的日志聚合为一条，并说明其次数，从而看起来更为简洁。如何去聚合则可由用户定义。

7.4.3 服务和系统状态统计
统计报表可以在WAF在没有达到预期效果时为管理员提供帮助，同时，也有助于了解受保护的服务器的活动和性能，下面列出了相关工具可以提供的一些基本统计因素：

·         每秒的请求数/连接数/会话数

·         恶意请求的百分比

·         阻断的请求百分比

·         错误数

·         识别出的浏览器类型 (通过对 User-Agent header的判断得到)

·         访问最频繁的URL

这些数据应该存储在容易获取到的日志中，甚至可以直接显示在设备上。

7.5 其他
7.5.1 界面的强壮性和可靠性
当WAF的界面存在BUG是很麻烦的，因此在设计界面时应该注意避免出现意外错误和管理失效的情况发生。应该设计一种机制在设置新策略失败时，WAF可以恢复到原来的状态。

另一方面，WAF得管理界面不能存在像其准备去保护的应用中的那些相同的弱点，如SQL注入漏洞、参数恶意修改漏洞（Parameter Tampering）等。

【译者注：Parameter Tampering：修改那些hidden的参数值或是url中参数值，详细的请见http://www.owasp.org/index.php/Web_Parameter_Tampering】

7.5.2 管理接口实现方式
管理接口采用以下哪种实现方式？

1.      本地程序（Native application）?【译者注：Native application大概是指以前那种CS模式】

2.      B/S结构？

7.5.3 管理接口
是否为管理使用一个独立的网络接口从而提供一个独立管理通道？

是否为管理接口进行特殊设计，请描述一下：

1.      使用独立的网络接口提供SSH/HTTPS 访问

2.      串口控制台

是否支持双因素认证？都是哪些因素？

7.5.4 后台控制API
WAF是否提供了后台控制的API使得后台受保护的程序可以利用其操纵WAF进行某些操作(如：终止用户会话，阻断某个IP或限制登录尝试等)?

7.5.5 WAF 自身安全
WAF如何保证自身安全？使用了什么操作系统?该操作系统如何维护，是否定期的打补丁？补丁升级是否是自动的？

第 8部分 – 性能
不得不承认性能问题很复杂，尤其是在网络层这一层去衡量WAF的性能更是一个难题，这也超出了本文的讨论范围(有关内容可以去看看NSS 的相关文章： http://www.nss.co.uk/WebApp/Ed1/WebApp%AD_Performance_Testing.htm)。下面的两个部分是对WAF作为普通网络设备的性能评价指标，并未涉及其保护机制的性能评价，我们将在以后扩展这一部分。

8.1 HTTP层性能
1.      最大新建连接速率（Maximum new connections per second.）

2.      最大吞吐量（Maximum throughput per second） (访问一个 32KB大小的页面).

3.      最大请求速率（Maximum requests per second） (with Keep-Alives enabled).

4.      最大并发连接数（Maximum number of concurrent connections.）

5.      请求延迟（Request latency）.

上面的性能指标均是假定在零丢包的情况下测得的最大值。

8.2 打开SSL的HTTP层性能
这是在后台应用没有使用SSL的情况下，单纯测试如果WAF代替后台进行SSL传输时的性能值：

1.      最大新建SSL连接速率（Maximum new connections per second.）

2.      最大新建SSL会话速率（Maximum SSL session resumptions per second.）

3.      在指定加密算法下最大SSL流量吞吐量(访问一个 32KB大小的页面)

4.      最大请求速率（Maximum requests per second）(with Keep-Alives enabled).

5.      最大并发连接数（Maximum number of concurrent connections.）

6.      请求延迟（Request latency）.

上面的性能指标是假定在零丢包的情况下测得的最大值。

8.3 负载下的性能
系统的管理能力是否在较大的流量下会受影响？是否在较大的攻击流量下会受影响？

第 9部分 – XML
这一部分仅涉及一些基本的XML相关问题。我们将在以后的版本中展开对XML的更深入的讨论.

1.      WAF是否可以保护基于XML的 Web Services?

2.      是否支持指定WS-I Basic conformance (http://www.ws-i.org)?

3.      WAF 是否可以对使用WASDL定义 Web Services 函数调用进行限制？

a.       WAF 是否可以阻止由管理员指定禁止访问的Web Services函数调用？

b.      WAF 是否可以检查Web Services函数调用时输入的参数数值或类型？

4.      WAF是否可以对 Web Services和 RPC通讯数据进行验证？

5.      WAF是否可以 对Web Services XML 文档内容有效性进行验证？【译者注：这里的“验证”，在原文中是validation，实际上是指对XML文档自身格式有效性或使用DTD、XML Schema对其数据内容有效性进行验证】

【译者注：这里多说一点， Xpath也存在注入风险，Web Service以HTTP为传输协议，以XML为数据载体，对其进行保护是WAF义不容辞的责任】

• WAF(Web Application Firewall) and Code Review
• 国内WEB安全市场分析

1．漏洞介绍

在XHTML 1.0标准下，使用特殊构造的CSS样式，在Internet Explorer 7.0 打开特定的网页后，Internet Explorer 7.0将发生内存崩溃，EIP指针将访问0×70613e5b附近的内存区域。如果将0×70613e5b附近覆盖特殊的机器码，就可以执行任意命令。

2．漏洞危害(危害等级高)

黑客如果将含有“漏洞利用程序的网页”置于网站上，浏览过含有“漏洞利用程序的网页”的客户端将被运行特洛伊木马。

3．通知途径

已经向“国家漏洞库”提交。

4．详细文档下载

POC:

点击查看poc:yxlink_sec_ie7_poc.txt

• No related posts.

艾滋女”闫德利在短短几日内搜索量达到近43万次，而这场风波的掀起，又是源于网络，在网上搜“艾滋女”也成了危险的行为。据安全中心恶意网页监控中心数据显示：包括“知音网站”在内的数十个与“闫德利”相关的网站被黑客植入恶意代码，一旦网友因为好奇通过搜索引擎打开这些网页，就极可能中招。

据悉，一些以时事类论坛为代表的中小网站，时常在内容大打“色情擦边球”，像“艾滋女”之类的新闻，这些网站又冲在一线，而它们本身的安全性并不过关，因此极易被黑客挂马，这无疑增加了网民搜索相关花边新闻而中招的风险。值得关注的是，《知音》杂志官网的“艾滋女”资讯页面同样出现挂马现象。

• 金融股市回暖 金融证券网站挂马大幅增多
• 保护Linux系统安全十招搞定
• 2008年互联网病毒暴增12倍
• 警惕：IE70DAY攻击代码已经遭挂马攻击利用

1.后门防范基本功

首先要关闭本机不用的端口或只允许指定的端口访问;其次要使用专杀木马的软件，为了有效地防范木马后门;第三是要学会对进程操作，时时注意系统运行状况，看看是否有一些不明进程正运行并及时地将不明进程终止掉。

2.安全配置Web服务器

如果公司或企业建立了主页，该如何保证自己的Web服务器的安全性呢?

首先要关闭不必要的服务;其次是建立安全账号策略和安全日志;第三是设置安全的IIS，删除不必要的IIS组件和进行IIS安全配置。

在IIS安全配置时候，要注意修改默认的”Inetpub”目录路径。可以删除C盘的”Inetpub”目录，然后在D盘重建一个 “Inetpub”，而后在IIS管理器中将主目录指向新建立的”Inetpub”路径。此外，还需要删除默认的”scripts”、”print”等虚拟目录，然后在IIS管理器中删除不必要的映射，一般情况下保留ASP、ASA就可以了。

具体方法是在”IIS信息服务”管理器中右击主机名，选择”属性”→”主目录”标签，点击”高级”按钮，在”映射”标签中就可以删除不必要的映射了。另外，在属性窗口中选择”网站”标签，然后勾选”启用日志”，并选择”使用W3C扩充日志文件格式”项，每天记录客户IP地址、用户名、服务器端口、方法、URI字根、HTTP状态、用户代理等，而且每天都应审查日志。

在上面的基础工作之后，还需要设置Web站点目录的访问权限。

一般情况下，不要给予目录以写入和允许目录浏览权限，只给予。ASP文件目录以脚本的权限，而不要给予执行权限。在”IIS信息服务”管理器中展开网站的虚拟目录，然后右键点击某个虚拟目录，选择”属性”→”虚拟目录”标签，在”本地路径”下可设置对该目录权限为”读取”或”目录浏览”等。另外也可以通过NTFS分区格式，严格地设置用户目录权限。

而针对企业中最为核心的数据，更要加强对于Access数据库下载的防护。

当使用Access作为后台数据库时，如果有人通过各种方法知道或者猜到了服务器的Access数据库的路径和数据库名称，就可以下载这个 Access数据库文件，这是非常危险的。因此，一般情况下要更改默认的数据库文件名，为你的数据库文件名称起个复杂的非常规的名字，并把它放在比较深的文件目录下。另外，还可以为Access数据库文件加上打开密码。

打开IIS网站属性设置对话窗口，选择”主目录”选项卡，点击”配置”按钮，打开”应用程序配置”对话窗口。而后，点击”添加”按钮，在”可执行文件”中输入”asp.dll”，在”扩展名”中输入”。mdb”，勾选”限制为”项，并输入”禁止”，确定应用后完成设置即可。以后，当入侵者企图下载数据时，将会提示禁止访问。

最后要配置安全的SQL服务器

SQL Server是各种网站系统中使用得最多的数据库系统，一旦遭受攻击，后果是非常严重的。虽然默认的SA用户具有对SQL Server数据库操作的全部权限，但是SA账号的黩认设置为空口令，所以一定要为SA账号设置一个复杂的口令。而且，要严格控制数据库用户的权限，轻易不要给用户直接的查询、更改、插入、删除权限，可以只给用户以访问视图和执行存储过程的权限。

在选择建立网站的Web程序时一定要注意安全性。许多网站系统虽然功能强大，但由于编程人员的安全意识所至，存在着一些很严重的安全漏洞，比如常见的SQL注入漏洞、暴库等，都有可能被黑客利用。同时，我们平时还应该做好网站服务器的数据备份，以便在出现意外时及时地进行数据恢复。

• No related posts.

网络犯罪的兴起使许多全球范围内商业和政府网站暴露于高密集度PPS（每秒包数）和高分散攻击源的DDoS攻击下，导致业务中断或整个网络系统崩溃的风险日益加大。尽管很多企业已部署IPS设备，但传统IPS解决方案针对正常流量进行监测的设计宗旨，使其向网络攻击敞开了大门。一旦高密集度PPS的攻击涌向企业的网络系统时，传统的IPS将无法发挥任何作用且极易过载，此时只能阻断合法的用户流量或进入旁路模式，从而导致网络系统失去保护。

作为Radware APSolute Immunity安全免疫系統战略的一部分，DefensePro 5.0致力于保障用户免受各种针对网络带宽、服务器和应用资源的安全攻击威胁，并为用户提供业内领先的网络漏洞保障技术。DefensePro 5.0采用了独特的‘booster shot’ 架构，基于特定的硬件加速引擎可成功化解千万级PPS的DDoS攻击。此外，DefensePro 5.0可在不造成任何网络延时的前提下，有效进行低流量攻击和入侵防范，确保用户享受高达12Gbps的高吞吐量网络流量监测和服务器入侵攻击防护，特别适合电子商务和数据中心应用。

IDC安全产品服务研究总监 Charles Kolodgy指出：“传统的IPS产品存在盲点，当一个相对简单的恶意攻击大量涌向网站时，会因流量激增而造成服务器负担过重，传统IPS产品无法解决类似的故障。Radware DefensePro 5.0可借助DoS防护硬件加速引擎消除此盲点。这项先进的技术进一步提升了Radware在网络安全领域的领先地位。”

新版DefensePro可实现的业务价值包括：

•保障业务连续性— DefensePro 5.0在性能上超越了传统的IPS产品，通过拦截高流量PPS攻击确保用户的网络和安全资源完整、可用、安全，即使在用户受到攻击时也能完美的保障对合法请求的及时响应。

•减少资本投入—DefensePro 5.0能够在一款解决方案内帮助企业同时实现IPS和DoS攻击防范，降低部署两种网络安全解决方案所产生的相关成本，企业也无需为额外的流量和因这些流量所需的安全设备而支付不必要的成本。此外，DefensePro 5.0采用按需购买、渐进扩展“pay-as-you-grow”许可证升级的模式，方便企业根据业务需求轻松升级网络和安全容量。

•降低运营成本—DefensePro 5.0可提供实时的自动生成签名机制，帮助企业节省额外的开支（例如受到攻击时租用CDN内容交付网络的成本等）。此外，DefensePro 5.0 升级版架构可拦截易导致CPU滥用、系统和网络崩溃的大容量攻击，从而降低企业网络系统的流量压力，增强对网络安全和资源的管理控制能力。

Radware安全产品副总裁Avi Chesla表示：“如今，业务的沟通和交易的完成越来越依赖网络，企业必须寻求可保护其网络相关设备安全的解决方案，以积极应对网络系统的阻滞和生产力的降低。在当今复杂的网络环境下，传统IPS产品的部署已不能满足企业对于各种流量型攻击防范的需求。”

他指出：“DefensePro 5.0的设计宗旨是尽量消除那些黑客们熟悉而用户却不知情的系统漏洞。这款解决方案将IPS和DoS攻击防范整合到同一平台中，用户可在一秒之内对合法流量和潜在的异常流量进行分析，并立刻执行保护，同时不影响任何用户体验和网络灵活性。”

DefensePro 5.0适用于x412系列OnDemand Switch 3S1和3S2平台，拥有4Gbps到12Gbps的吞吐量可扩展性。作为Radware业务智能数据中心战略的一部分，DefensePro网络安全解决方案提供了包括按需购买、渐进扩展“pay-as-you-grow”模式和一系列令人瞩目的按需平台等在内的创新能力和购买途径。

• 三问X-UTM 路在何方？标准如何？网络层要多强？

有消息称，此漏洞可以在只给予匿名访问权限的情况下夺得服务器的管理员权限(Windows2003可能需要一个非匿名账户)。如果属实，大量运行FTP服务的Windows服务器将受到威胁。

IIS5.0在缺省设置下是开启FTP功能的，IIS6.0得手动选择，不过很多管理员为了工作方便也会把自带的FTP打开传文件。

• 微软按承诺发布IE浏览器安全补丁
• Microsoft 安全通报：4 种方法暂时屏蔽 IE 最新 0day