PJblog 170版本安全漏洞补丁

      今天早上到Pj的官方论坛一看,看到置顶主题赫然写着pjblog170重要安全补丁发布,到网上转了转找到了漏洞利用工具,实际上是一个XSS,可以获得管理员的sha1密码。有人给出了php和VBS的利用脚本,因为本地没有装php,就用VBS跑了一下自己的博客,果然爆出了sha1密码~~
      然后就是按照论坛上的方法打补丁,因为之前我的代码自己改过,没有完全按照官方的来,所以不能直接覆盖文件升级,而要手动修改代码升级。共计4个文件,虽然不懂一点asp,但以前也依葫芦画瓢的改过代码,有些信心的。因为论坛上有很多人都出错,所以很小心,一口气把9页回复都看完,综合了一下意见才用Ultracompare对比新旧文件改的。不想还是出问题了,先是检测防xss的函数放错了地方,我说在emeditor里面怎么不能自动高亮呢;改好之后以为OK了,前后台都没有问题,试着发表日志时来了问题。日志发表完毕之后内容并不能写入数据库,因此返回文章时得不到文章ID,当时想着真崩溃,检查了好多地方也没找出原因,后来看了blogpost.asp里包括的文件,确定文件是出在class/cls_logAction.asp上,因为里面改的地方很多,就从服务器上把原来没改过的拉到本地覆盖再改。这一次不跟新的补丁文件对比修改了,直接按照论坛上的要求改了一个地方,保存,然后OK,将更改文件全部再传到服务器上,也没有问题,再用那个VBS利用脚本一检测,本地和服务器都没有漏洞了,这才松了口气。这前后大约用了3个小时。
      附上从官网copy过来的补丁修补方法(注:适用于157-170版本的Pj):
      需修改文件:根目录Action.asp
      将 request("cname") 改成 Checkxss(request.QueryString("cname"))
      将 request("mainurl") 改成 Checkxss(request.QueryString("mainurl"))
      将 request("main") 改成 Checkxss(request.QueryString("main"))

      需修改文件:common/function.asp,在文件中增加一个函数:

复制内容到剪贴板程序代码程序代码
'*************************************
'防XSS注入函数 更新于2009-04-21 by evio
'与checkstr()相比, checkxss更加安全
'*************************************
Function Checkxss(byVal ChkStr)
    Dim Str
    Str = ChkStr
    If IsNull(Str) Then
        CheckStr = ""
        Exit Function
    End If
    Str = Replace(Str, "&", "&")
    Str = Replace(Str, "'", "´")
    Str = Replace(Str, """", """)
        Str = Replace(Str, "<", "<")
        Str = Replace(Str, ">", ">")
        Str = Replace(Str, "/", "/")
        Str = Replace(Str, "*", "*")
    Dim re
    Set re = New RegExp
    re.IgnoreCase = True
    re.Global = True
    re.Pattern = "(w)(here)"
    Str = re.Replace(Str, "$1here")
    re.Pattern = "(s)(elect)"
    Str = re.Replace(Str, "$1elect")
    re.Pattern = "(i)(nsert)"
    Str = re.Replace(Str, "$1nsert")
    re.Pattern = "(c)(reate)"
 &
nbsp;  Str = re.Replace(Str, "$1reate")
    re.Pattern = "(d)(rop)"
    Str = re.Replace(Str, "$1rop")
    re.Pattern = "(a)(lter)"
    Str = re.Replace(Str, "$1lter")
    re.Pattern = "(d)(elete)"
    Str = re.Replace(Str, "$1elete")
    re.Pattern = "(u)(pdate)"
    Str = re.Replace(Str, "$1pdate")
    re.Pattern = "(\s)(or)"
    Str = re.Replace(Str, "$1or")
        re.Pattern = "(\n)"
    Str = re.Replace(Str, "$1or")
        '———————————-
        re.Pattern = "(java)(script)"
    Str = re.Replace(Str, "$1script")
        re.Pattern = "(j)(script)"
    Str = re.Replace(Str, "$1script")
        re.Pattern = "(vb)(script)"
    Str = re.Replace(Str, "$1script")
        '———————————-
        If Instr(Str, "e­xpression") > 0 Then
                Str = Replace(Str, "e­xpression", "e", 1, 1, 0) '防止xss注入
        End If
    Set re = Nothing
    Checkxss = Str
End Function

      修改文件:class/cls_logAction.asp
      找到:

复制内容到剪贴板程序代码程序代码
oldcname = request.form("oldcname")
                oldcate = request.form("oldcate")
                oldctype = request.form("oldtype")

      替换为:

复制内容到剪贴板程序代码程序代码
oldcname = Checkxss(request.form("oldcname"))
                oldcate = Checkxss(request.form("o
ldcate"
))
                oldctype = Checkxss(request.form("oldtype"))

      修改文件:GetArticle.asp
      找到:

复制内容到剪贴板程序代码程序代码
blog_postFile = request("blog_postFile")

      替换为:

复制内容到剪贴板程序代码程序代码
blog_postFile = Cint(Checkxss(request.QueryString("blog_postFile")))

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/web-security/243

S40平台手机6300通过诺基亚套件实现手机带动电脑上网

      S40平台手机6300通过诺基亚套件实现手机带动电脑上网
      前一段时间曾写过一篇《诺基亚6300通过蓝牙控制电脑》,谈到诺基亚套件已更新至7.1.18.0版本,做了很多细节更新。
      之前一直用的蓝牙和手机连接,套件中的“连接到Internet”功能不大好用;昨日,用数据线连了一下,居然一试就成功了,上网速率显示为115kb/s,实际使用IM工具如QQ没有问题,打开网页还是比较卡。但还是方便,不需要用外置无线网卡模块了,如果诺基亚能支持用USB给手机充电就再好不过了,因为在将手机作为调制解调器进行数据交换的时候,对电池电量消耗很大。
      上两张图。

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/pc-tech/244

80后单身贵族的十大烦恼总结

来源:水土不服 UCWEB (ruery.cn)
  1.成天泡在网上,又不知道做什么好。80后最常说的一句话是“无聊”,尽管他们在网络上聊天花去了大把的时间。
  建议:聊天作为一种基本交流方式,所要达到的目的是获得认同。网上聊天很难达到这种认同,所以越聊越无聊。年青人的精力更应该用在学习上才对。

  2.浮躁,好预测未知妄下定论。对看过的电影和电视剧,会按耐不住向别人透露下一个情节或者结局。对不了解的事物,根据一丁点信息发表长篇大论的见解,并且多半是批判的。对权威毫无理由的不耐烦,但绝不公开挑战,只热衷于影响身边的几个人,并有得到认同的强烈欲望。一旦不能如愿,就不再发言,部分人会暴跳如雷,令旁人费解。
  建议:多出去旅行,多读书,多参加团体活动,多接触社会。世界的绝大部分真相在我们的视野之外,浮躁是个人修养浅薄的表现,人既是社会成员也是自然的组成部分,需要积淀对世界尽可能的多认识,才能达到意识的足够高度,才能让人看起来不那么浮躁。

  3.瘦弱,不爱运动。对健壮的人心存嘲讽,对肌肉和力量心存恐惧。在审美上受日式漫画的影响,崇尚中性美和病态美。与第一点有一定关系,在身体的耐力、韧性和爆发力上,更热衷于后者。但是在受到刺激之后,又会表现出病态的固执。这样就表现为两个极端,一方面弱不禁风,另一方面又偶尔会有惊人之举。
      建议:健身,多进行户外运动。身体是人最接近自然的组成部分,一个健康强壮不容易被击倒的身体可以让我们终生收益。

  4.性格软弱,喜欢为自己的意志不坚定找理由。不喜欢通过沟通达到与外界的意见统一,而是表面妥协,内心强烈反感,表现为通常所说的叛逆。性格软弱表现在与异性相处方面就是易犯花痴,对异性的正常关怀想入非非。在弄清楚是怎么回事之后,即使真的喜欢对方,也不敢大胆追求,而是找个理由退缩。通常的理由是说自己不了解爱情,也不想了解。
  建议:树立阳刚正气,显示出男人的气魄,凡事敢当,不要逃避,不要推脱责任。喜欢就表达出来,要她知道,当然,我不提倡早恋,更反对婚前性行为,这是男人不负责的表现。恋爱,也要注意分寸。

  5.消极,拒绝长大。不喜欢被人说成熟,尤其不能容忍被人说是老男人。不耐烦与长辈讨论一些实际的问题,反感政治,厌恶参加长辈在场的应酬。要负责任的事情,会让他们觉得焦虑不安和无奈。
  建议:尝试了解父母的不易。也可以从哲学层面去了解索取和付出之间的辩证关系,就象课本里所说的权利和义务的关系。

  6.选择性自闭,对熟人唠叨不休,对陌生人一言不发。偏爱使用方言或者网络语言等非大众语言。吸烟,但是不敬烟。喝酒,但是不敬酒。不是他们感兴趣的话题,基本上很难交谈下去。多人参与讨论时,如果没有人邀请他发言,即使他已酝酿好发言稿,还是会选择沉默。
  建议:这些其实都是在沟通上遇到的困难。建议扩大知识面,扩大社交圈,改变与人交谈的方式,勇敢表达自己的见解,努力将自己的观点传达并影响其他人。获得认同后就会产生激励,反复几次,就可以走出自闭。

  7.习惯熬夜,25岁之前通宵次数明显较多。有时候为了“合理安排时间”,干脆用通宵来减少熬夜次数。实际上下半夜都在打瞌睡。
  建议:与第5点相同,熬夜其实就是自闭在作怪。有熬夜习惯的人,白天就找到了关门睡觉的理由,避免了外界的骚扰。或者白天虽然没有在家睡觉,因为精神上萎靡不振,能造成“外界不关我事”的错觉,也能达到抵制外界骚扰的目的。建议立刻改变作息时间,打开心扉。

  8.毫无理由的高傲。觉得别人不可能了解自己,并以此作为对别人不屑的理由。不愿意听别人的建议,也听不进。这种高傲连他们自己都不知道为什么。
  建议:由于时代因素,80后的自尊更为脆弱,从心理上就更趋向于自我保护,表现为对外界不信任。建议多了解一些社会规则,不管在什么场合,只要你在规则之内,你就是安全的,可以自由表达自己的存在价值。

  9.做事不按计划,讨厌按部就班,永远不知道钱花到哪里去了。以同时看多部小说,守多部漫画为荣。喜欢同时着手几件事,忙得焦头烂额是他们喜欢的状态,尽管这些事情只要合理安排是完全可以按部就班轻松完成的。
  建议:欲速则不达这个道理就不用说了吧。学会制定计划,可以避免紧急情况下全面崩盘的风险。

  10.不问问题,多数人喜欢用搜索引擎思考,将搜索引擎作为自己的智囊。
  建议:互联网确实给了我们许多方便,但是互联网上的东西很多都是未经考证,经不起推敲的。所以要避免犯错,这个地方正需要80后拿出怀疑精神来,不能依赖互联网而使自身的学习功能退化了。

      最后0point加上一句话:全世界最成功的人都是改正缺点,然后再发挥优点。

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/other/245

电脑视力保护设置

      打开控制面板中的"显示" — 选择外观 — 高级,然后在项目那栏选窗口,再点颜色 — 其它,然后把色调设为85,饱和度设为90,亮度设为205。 然后单击 添加到自定义颜色按"OK"…一直OK。现在你就会发现你的屏幕很多程序的白色背景会变成淡淡的绿色,很像学生用的视力保护作业本纸张颜色,各位电脑族不妨一试。

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/other/246

cnbeta文章投递成功经历

      上周六(4.18),工作之余,想到cnbeta上转转,平时一般不怎么去的。上去后突然想到投递几篇文章看看。先随便投了3篇新闻进去,返回首页看都没有被采纳。过了几分钟,又把自己写的一篇《特别奉献-09年国内外免费杀毒软件大收罗》投了上去。然后就接着忙手上的事情了,一会foxmail提醒有新邮件,一看是cnbeta的,文章被采纳了。

      再在cnbeta首页上截个图:

      事实上,这篇文章前面部分基本都是转载的,自己把有些地方改了改,后面的国产杀软是自己用的墨者安全专家和金山毒霸广告版替换掉了原文章的360和超级巡警。但当时没有仔细检查其中的转载内容,文章第一段关于小红伞的介绍说到一半就成了AVG Anti-Virus Free,因此在cnbeta上很多口水。发现之后赶紧回到自己的博客上修改,当时就在博客上修正好了,但cnbeta上的文章没有办法,只能让大家将就着看了。觉得非常愧疚,哎,好不容易投一篇文章还是有有瑕疵的,觉得很对不起观众:)。文章后面关于墨者安全专家的介绍我的介绍文字稍微多了点,结果cnbeta上很多人把我当枪手,说文章是枪稿,也太高估我了。
      由于在文章中我把自己的《大蜘蛛官方FTP下载地址》地址放到了文章中,当天通过cnbeta和其他转载网站过来的IP就达到500多;周日用手机看了下,网站日IP达到600多。
      今天上班已上面的大蜘蛛下载地址为关键词在google上搜索,找到了200多结果,证明这篇文章至少被100多家不同的网站转载。这时再到cnbeta上看看,阅读次数已经到了20000多,69次推荐,131次评分,而且上了网站推荐。

      cnbeta的确够猛,短短两天就有这么多网站转载,而在google上以文章题目搜索,翻了好几页才找到自己的博客,还是自己的博客权重不够啊。
      最后附上cnbeta的文章地址:http://www.cnbeta.com/article.php?sid=82194

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/other/247

特别奉献二–09年国内外免费个人防火墙大搜罗

      前一段时间写了一篇免费杀毒软件的文章,此文可以作为它的姊妹篇。
      同上一篇文章,愿意让自己的机器在网络上裸奔或者愿意为软件防火墙支付银子的请跳过此文。
      注:本文仅讨论免费个人软件防火墙,硬件防火墙和企业级防火墙不在讨论之列(实际上硬件防火墙基本上没有免费的:),除非自己动手搭建)

Comodo Personal Firewall
      出品公司:Comodo Security Solutions, Inc.
      Comodo Personal Firewall这是一款功能强大、高效的且容易使用的防火墙,被很多媒体誉为No.1的防火墙,提供了针对网络和个人用户的最高级别的保护,从而阻挡黑客的进入和个人资料的泄露。能够提供程序访问网络权限的底层最全面的控制能力,提供网络窃取的最终抵制,实时流量监视器可以在发生网络窃取和洪水攻击时迅速作出反应,通过简单的界面安装后,Comodo 个人防火墙使您安全的连接到互联网。针对网络攻击完备的安全策略,迅速抵御黑客和网络欺诈。使用友好的点击式用户界面来确认或阻拦网络访问;完全免疫攻击;通过使您的PC隐身而抵御黑客攻击;免费的升级维护;静默式安全单元–避免不必要的安全警报。使您的PC在内外网中受到保护、在常规端口扫描时隐身、不被特洛伊木马程序访问,使您的个人资料不被窃取,使您的PC和网络得到最终的保护。
      现在官方不提供Comodo Personal Firewall单独下载,取而代之的是Comodo Internet Security,最新版本3.8.65951.477,集成了防火墙和防病毒软件,安装时可自由选择。

      官方网址:http://personalfirewall.comodo.com/

ZoneAlarm Free Firewall
      出品公司:Check Point
      ZoneAlarm的设计是为了保护你的ADSL联机避免被黑客攻击。这个程序包含了四个连锁的安全服务;防火墙、应用程控、一个因特网保护锁、和防护区。ZoneAlarm Security Suite 版本增加了 IM Security 及 Web Filtering 的功能。它还为用户准备了不同的安全级别和网络锁定功能。又是一款非常可口的“免费大餐”,它可以防止“特洛伊木马”程序在你的电脑中偷偷作乱。ZoneAlarm可以监视电脑中到底有什么软件在偷偷运行,从而使你免受坏人在你的电脑中窃取资料或是搞破坏。它还为用户准备了不同的安全级别和网络锁定功能。该软件的最大特点就是使用简单,运行稳定,系统资源占用率也相当少,对应用程序访问网络请求监控严格。
      
      官方网址:http://www.zonealarm.com

费尔个人防火墙专业版
      出品公司:费尔安全实验室
      费尔个人防火墙专业版是费尔安全实验室最重要的产品之一,它不仅功能非常强大,而且简单易用,既能满足专业人士的需求也可让一般用户很容易操控。它可以为你的计算机提供全方位的网络安全保护,而且完全免费。
      它可以实现:阻止网络蠕虫病毒的攻击;阻止霸王插件,并允许自定义规则阻止新的霸王插件,广告和有害网站等;应用层与核心层双重过滤系统可以提供双重保护;Windows信任验证技术可以自动信任安全的程序,而不再需要询问用户,增加程序的智能性和易用性;内置了 7 大模式供不同需求的用户选择;交互式规则生成器使生成规则简单易行;密码保护可以保护防火墙的规则和配置不被他人修改;可以非常方便的对规则进行备份和恢复;可以控制对网站的访问,阻止霸王插件就是使用此功能实现;支持文本和二进制两种格式的日志。文本日志更容易查阅,二进制日志可以方便的查询和生成控管规则等扩充功能;它还支持在线升级、流量示波器、隐私保护、Windows 安全中心、气球消息警示以及更多独特的功能。
      作为一款开源防火墙,我们相信它可以走的更远。

      官方网址:http://www.filseclab.com/chs/default.htm

System Safety Monitor free
      出品公司:未知
      System Safety Monitor (SSM)是一款对系统进行全方位监测的防火墙工具,它不同于传统意义上的防火墙,系针对操作系统内部的存取管理,因此与任何网络/病毒防火墙都是不相冲突的。该软件获得了WebAttack的五星编辑推荐奖,十分优秀。
      功能特性: · 可控制机器上哪些程序是允许执行的,当待运行程序被修改时,会报警提示; 可控制“DLL注入”以及键盘记录机对特定系统函数的调用; 可控制驱动程序的安装(包括非传统方式的驱动型漏洞-Rootkits); 可控制诸如存取"\Device\PhysicalMemory"对象这类底层活动。
      很可惜由于此软件作者没有时间继续开发,在08年9月停止更新,当前最新版本:2.0.8.585

      国内下载地址:http://www.skycn.com/soft/42082.html

SoftPerfect Personal Firewall
      出品公司:SoftPerfect Research
      为保护您的电脑免受来自于因特网或局域网攻击而设计的一款免费的网络防火墙。使用该防火墙,用户可以通过包过滤定义规则来自定义安全策略。它在底层工作,允许创建诸如ARP的基于非IP端口的规则。SoftPerfect 个人防火墙支持多网卡。您可以为每个网络设备单独定义规则,比如说拨号适配器或其它系统接口。结合灵活的网络过滤系统、受信MAC地址检测特性和多网卡独立配置功能您甚至可以将其应用于路由器和服务器上。SoftPerfect 个人防火墙有学习机制,当检测到无法判定的网络数据包时它会提示您,让您选择进行何种处理动作。这种机制可以帮您快速建立自定义规则。本软件简单易用,内置多种预定义规则,且其完全免费。还可以提供诸如密码保护、登录保护等特性。
      当前最新版本:1.4.1

      官方网址:http://www.softperfect.com

风云防火墙个人版
     出品公司:风云安全阵线
     您不需要复杂的设置,风云防火墙在简约人性化
方面考虑周详,在您安装了风云防火墙之后,它便开始防护您的系统网络安全,抵抗以知类型的网络扫描及攻击,同时又为高级用户提供了丰富多面的细节监测功能。
      特色功能:密码保护功能;ARP局域防护;CRC程序检测CRC程序完整性验证,防止网络访问程序被恶意软件或病毒木马篡入;木马特征拦截;自我安全保护。
      最新版本:风云防火墙个人版2009
      
      官方地址:http://www.218.cc/

天网防火墙
      出品公司:众达天网
      天网防火墙个人版(简称为天网防火墙)是由天网安全实验室研发制作给个人计算机使用的网络安全工具。它根据系统管理者设定的安全规则(Security Rules)把守网络,提供强大的访问控制、应用选通、信息过滤等功能。它可以帮你抵挡网络入侵和攻击,防止信息泄露,保障用户机器的网络安全。天网防火墙把网络分为本地网和互联网,可以针对来自不同网络的信息,设置不同的安全方案,它适合于任何方式连接上网的个人用户。
      作为新手入门级的免费防火墙,曾经在国内拥有大量用户,功能算不上强大但也算比较全面。
      最新版本:3.0.0.1015
      
      官方地址:http://www.sky.net.cn/

      总算写完了,曾经有许多优秀的免费防火墙产品,但要么转向收费,要么倒闭,文中的几款都是本人经过挑选发布的,希望以后大家能有更多可供选择的产品。

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/pc-tech/248

《提单系统知识》word版下载

      《提单系统知识》,介绍了提单的定义与关系人、定义等基本概念;提单的内容;提单的类型;提单的缮制四大章节内容,适用于于外贸单证人员,尤其是要处理信用证条款下的单证人员、货运代理(货代)人员及其它需要了解货运相关流程的从业人员。
      全书共41页,在网上有零散的发布,本人将之整理出来发布于本站,在此感谢此书作者的无私奉献,如有设计版权,版权归原作者和出版社所有,本站仅提供下载服务,请不要用于任何形式的商业活动。

下载文件 点击下载《提单系统知识》

转载请尊重版权,出处:秋天博客
本文链接: https://www.cfresh.net/international-trade/249