作者：网路游侠

张百川（网路游侠） | 游侠安全网站长（前身为“网路游侠的信息与网络安全博客”，51CTO优秀独立博客）。深耕网络安全与数据安全27年，是陕西省信息安全标准化技术委员会委员、数字丝路安全智库专家、榆林市和延安市网络安全专家库专家、机械工业出版社计算机领域专家咨询委员会委员。30余次担任省市级网络安全攻防演习裁判长/专家组长，对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有深入研究。

安全

转载noless的“Web安全，学习计划”

　　游侠 www.youxia.org 在华安论坛看到noless的一个学习Web安全的计划，感觉不错，贴在博客，学习Web安全的兄弟们可以参考。
-----------------------------------
标题为Web安全学习计划，实属我的愿望：将下面这份Web学习清单完善成为一个Web安全，学习计划指导性帖子。

说明：本来打算给自己设计一个详细的学习计划，但是发现这些学习内容罗列出来后，发现这是个很庞大的系统，一时不知该如何来安排时间（自已把自己杯具了~~）。那就暂时成了如下的一个学习清单列表。发表出来，希望看看大家的建议。想成学习计划虽为私心，但如果修改得好也是一个福利大多想学习Web安全的朋友的一个机会。
...

2010年11月7日网路游侠 2 分钟阅读 0

站长

产品经理：做产品前六问自己

　　作者：小威

　　最近做产品很迷茫，不知道自己做的产品到底干嘛的，有时做到一半时或者遇到难题时才反过来思考自己做的产品到底是干什么的，哪类用户会去用，用户会喜欢吗……当这一切问题烦绕着自己时，才发现迷失在产品怪圈里了。当然不排除很多产品的需求来自市场、来自于BOSS敲板定的，但你是产品经理，当你都没办法说服自己时，这产品是否还值得继续做下去呢？

　　做产品前六问自己：

　　第一问：你的产品定位是什么？

　　1、产品是什么？

　　你要做的产品是被用户使用还是消费，能够满足用户哪些需求？怎么满足用户的需求？做为一个产品经理需知道自己要做的产品是什么，如何满足用户的基本需求，同时对于高级用户的需求如何把握。
...

2010年11月6日网路游侠 4 分钟阅读 0

文摘

11度青春·筷子兄弟《老男孩》：80后的青春是否还记得当初的梦想

11度青春系列

　　《老男孩》：80后的青春是否还记得当初的梦想。

11度青春系列电影 (The bright eleven)
http://www.youku.com/show_page/id_zac398d46a47011df97c0.html

11度青春《老男孩》的精彩评论：
http://kanba.youku.com/bar_bar/barid_D2RQNA5rVWYIPg==?scid=-2

2010年11月6日网路游侠 2 分钟阅读 0

安全

佰驿互联“网站提示机”网站安全监测系统

　　网站安全监测系统抛弃传统的单纯依靠硬件或软件产品进行网站防护的思路，而是提出“预防为主，应急为辅”的新的网站安全防护观念。系统采用C/S架构，由网站端和实时监测平台组成。结合网站端自动安全防护和监测端实时监测，对网站异常提供双重保护，在应用层拦截针对网站的各种攻击，实时监测、及时告警。

2010年11月5日网路游侠 2 分钟阅读 0

业界

2010年全国信息网络安全协会联盟年会在西安召开游侠有发言

　　在大会上，游侠安全网 www.youxia.org 站长张百川（网路游侠）作为陕西电信的代表接受了网络安全协会颁发的证书，并就陕西电信在网络安全、等级保护方面的工作做了汇报。

　　2010年10月19至20日，由陕西省信息网络安全协会承办的2010年全国信息网络安全协会联盟年会暨信息系统安全保护论坛在陕西西安胜利召开。来自全国政协、公安部及甘肃、宁夏、青海、新疆、新疆兵团、上海、山西、河南、内蒙、广东、海南、湖北、重庆、四川、江苏等15个省（市、自治区）公安厅（局）网安部门主要负责同志，以及杭州、南通、扬州、揭阳、连云港、宁波、茂名、清远、呼和浩特、包头、巴彦淖尔、沈阳、长春、曲靖、成都、乌海、岳阳、金华、郴州等市网安部门负责同志、全国信息网络安全协会联盟成员单位负责人和信息网络安全产品厂商近300人参加了本次大会。

　　原中共中央宣传部常务副部长、现国家政协常委龚心瀚出席会议，陕西省公安厅副厅长、本届大会名誉主席许强同志出席会议并致辞，公安部网安局张俊兵处长应邀出席会议并讲话，全国信息网络安全协会联盟秘书长黄丽玲做了“全国信息网络安全协会联盟2010年工作总结和2011年工作计划”的报告。会议由陕西省公安厅网安总队总队长、陕西省信息网络安全协会秘书长苏欣主持。

2010年11月5日网路游侠 3 分钟阅读 0

业界

西安网络与信息安全从业者QQ群：53210718 欢迎加入

　　新建西安网络与信息安全从业者QQ群，群号：53210718。请将名片扫描或拍照后发 55984512@QQ.COM 审核后方可加入。

　　群名片格式“公司或产品_真名”，不符合者或无名片者一律踢出。

　　西安网络与信息安全从业者QQ群将定期举行各类产品、营销培训会、沟通会，及各类休闲娱乐活动，如：钓鱼、唱歌、爬山等。

　　欢迎介绍西安朋友加入！（仅限人在西安或负责西安、西北片区的网安从业人员加入），朋友介绍请在提交时发介绍人名字。不要忘了发您的名片哦！

　　目前已经入群的朋友公司涵盖：绿盟西安、天融信西安、启明星辰西安、天泰西安、中软华泰西安、中科网威西安、知道创宇、西安安智、汉邦西安、西科电子、金山、趋势科技、陕通安全、电信集成陕西公司、西安电信、瑞星等。

　　目前已有X家公司愿意提供活动场地、器材如投影仪等，以及Y家安全公司可以提供活动经费，热忱欢迎各位身在西安的同行加入！

　　全国群：75140776、1255197、53651293，西安群：53210718

2010年11月5日网路游侠 1 分钟阅读 0

业界

杭州安恒信息疯狂招人中……杭州,上海,重庆,深圳,南京...

售前技术支持工程师(杭州）
Linux内核开发高级工程师（杭州）
Linux应用Web服务器程序开发工程师（杭州）
C++开发（杭州）
Web安全研究（杭州）
综合安全研究（杭州）
区域销售经理（合肥、福州、南京、郑州、重庆、广州）
行业经理（金融行业）上海
行业经理（能源、教育行业）上海
技术支持工程师（重庆、深圳、杭州）
生产工程师（杭州）
安全网站运营策划（杭州）

2010年11月5日网路游侠 4 分钟阅读 0

业界

人生有几多个十年——铱迅信息诚征各路英雄

　　“人生有几多个十年，最重要的是痛快！”这是一部香港电视剧《巾帼枭雄》中的经典台词，是啊，人生有多少个十年呢。

　　回想十年前，太多太多的事情浮现在眼前。绿盟那时刚刚成立，创业阶段的他们老一辈的安全从业人员，连续几个月发不出工资，还是一如既往的坚持着自己的梦想。她一步一步的走来，同行们都看在眼里。在这个圈子里，绿盟一直是我最尊敬的公司之一。如今的老一辈的他们都完成了自己的梦想，如今的绿盟可是如日中天，如今的他们事业有成，安享天年。那段艰难的时刻已经过去，但是这个确实他们宝贵的财富。回想起十年前不仅是记忆犹新，却也值得人们去怀念，对啊，什么都经历过，奋斗过，死而无憾。
...

2010年11月4日网路游侠 2 分钟阅读 0

业界

小道消息：腾讯成立团队研发杀毒腾讯不予置评

　　新浪科技讯 11月2日上午消息，据消息人士透露，腾讯已经在内部成立杀毒软件研发项目团队，对杀毒方面进行研发。另有消息称该杀毒软件已经进入测试期，有望在近期推出。这意味着其与360之间或将引发更大的对抗。

　　数月前坊间曾有传闻称腾讯将在7月公测杀毒软件，正式进军杀毒领域，不过当时腾讯称只是提供电脑管理软件。QQ已经有与360安全卫士类似的产品QQ医生，该软件与今年5月升级为电脑管家，9月该软件的一次“强行升级”成为其与360争端的导火索。

　　据消息人士透露，腾讯内部成立的杀毒软件研发项目与电脑管家项目处于同等级别，目前腾讯杀毒软件已经进入测试期。
...

2010年11月4日网路游侠 2 分钟阅读 0

随笔

如果QQ不扫描硬盘，怎么知道你用360的？

今天下班后发生的这个事情，其实意料之中
但是，此前只是想想而已，没想到腾讯真的被逼到这种程度
试问：如果QQ不扫描硬盘，你怎么知道我用360了？

其实游侠想了很久，没想到360怎么破坏QQ了……
没有最无耻，只有更无耻。
不过话说回来，360和QQ都一样，只不过这个回合QQ更无耻而已。
参照：[人民网：QQ，MSN，GTalk，Skype安全性对比]
补充一点，网上有这么个新闻：
《QQ号盗窃案一审判决 11人被判侵犯通信自由罪》
那么，这次腾讯一夜之间让上亿人用不成QQ，是不是也犯罪？

2010年11月3日网路游侠 1 分钟阅读 0

安全

人民网：QQ，MSN，GTalk，Skype安全性对比

　　本文转载自“人民网”，原文地址是：http://it.people.com.cn/GB/42892/114555/115746/11818779.html，当然，如果您打不开了——很正常，因为本文作者知道的太多了……Now,Start!

　　因为众所周知的原因，最不靠谱的当然是 QQ，所以如果你有秘密或者艳照之类，千万不要通过 QQ 传递。MSN 的通讯是明文未加密的，也不是很靠谱，不过

2010年11月3日网路游侠 5 分钟阅读 0

安全

各种上传漏洞的利用方法

　　1、文件头+GIF89a法。（php）gif 文件头欺骗，gif89a文件头检测是指程序为了他人将asp等文件后缀改为gif后上传,读取gif文件头,检测是否有gif87a或gif89a标记,是就允许上传,不是就说明不是gif文件。而欺骗刚好是利用检测这两个标记,只要在木马代码前加gif87a就能骗过去。

　　2、使用edjpgcom工具向图片注入代码。（php）

　　3、cmd命令下c

2010年11月1日网路游侠 1 分钟阅读 0

安全

MY-CCMS 文件上传漏洞分析及修补

影响版本：最新 Version : 5.1.0 及以前所有版本
官方地址：http://www.my-ccms.com/
漏洞类型：文件上传
漏洞描述：MY-CCMS 美易企业内容管理系统，上传页过滤不严导致asp\aspx\cer等脚本文件上传漏洞。
漏洞分析：

2010年11月1日网路游侠 8 分钟阅读 0

业界

360曝光QQ超级黑名单飞信迅雷赫然在列

2010年10月29日网路游侠 1 分钟阅读 0

业界

中国互联网安全研讨会 ISF2010 邀请函

　　云安全联盟 CSA（Cloud Security Alliance）成立于2009年的RSA大会，云安全联盟成立的目的是为了在云计算环境下提供最佳的安全方案。自成立以来，CSA迅速获得了业界的广泛认可。现在，CSA和ISACA、OWASP等业界组织建立了合作关系，很多国际领袖公司成为其企业成员。
　　到目前为止，CSA的企业成员多达50个以上，名单中涵盖了国际领先的电信运营商、IT和网络设备厂商、网络安全厂商、云计算提供商等。云安全联盟中国区分会是CSA在中国的分支组织。
　　
　　CISRG是一个活跃的技术研究团队，团队成员都拥有自己特定的技术研究方向，目前的研究方向主要有：操作系统内核、逆向工程、漏洞挖掘、WEB漏洞挖掘及漏洞利用、渗透测试、信息搜集与社会工程。
...

2010年10月26日网路游侠 4 分钟阅读 0