比如：验证码存储在页面代码或Cookies里，暴露给客户端；通过Session存储的验证码，虽然解决了安全问题，但一个用户只使用一个变量存储验证码，假如用户同时打开一个以上的页面，分别提交的话，就无法正常使用了；验证码不会过期，这会留下隐患，使暴力破解变得可行(当然也可以通过刷新间隔、提交间隔、黑名单等手段加以控制)；此外还有伴随着提交产生的另一个问题——重复提交。为解决上述问题，我曾走过不少弯路，后来总结出了一个方案可以很好的解决这些问题，本文将结合ADO.NETEntityFramework技术来介绍此方案：这方案的核心就是通过数据库统一存储所有请求页面所对应的验证码及其相关信息(这也可以...

▲相信自己是一只雄鹰▲　　　　一个人在高山之巅的鹰巢里，抓到了一只幼鹰，他把幼鹰带回家，养在鸡笼里。这只幼鹰和鸡一起啄食、嬉闹和休息。它以为自己是一只鸡。这只鹰渐渐长大，羽翼丰满了，主人想把它训练成猎鹰，可是由于终日和鸡混在一起，它已经变得和鸡完全一样，根本没有飞的愿望了。主人试了各种办法，都毫无效果，最后把它带到山顶上，一把将它扔了出去。这只鹰像块石头似的，直掉下去，慌乱之中它拼命地扑打翅膀，就这样，它终于飞了起来！　　秘诀１：磨练召唤成功的力量。　　　　▲五枚金币▲　　　　有个叫阿巴格的人生活在内蒙古草原上。有一次，年少的阿巴格和他爸爸在草原上迷了路，阿巴格又累又怕，到最后快走不动了。爸爸...

[html]<!DOCTYPEHTMLPUBLIC"-//W3C//DTDHTML4.01Transitional//EN""http://www.w3.org/TR/html4/loose.dtd"><html><head><metahttp-equiv="Content-Type"content="text/html;charset=gb2312"><title>zhou'shtml</title></head><body>一共三个层,下面还有一个,把他拖上来<divid="test"st...

服务器上装的东西越少越好，远程控制只用自带的3389就绝对安全，不要相信和使用网上流行的那些远程控制软件！不要安装ＳＥＲＶ－Ｕ，真想装的照着这个教程做，不会的可以向我请教！------------------------------------为SERV-U打造最安全的FTP设置http://www.jb51.net/article/16109.htmServ-UFTP软件的攻击防守http://www.jb51.net/article/16110.htm从安全角度应该让ＭＳＳＱＬ和ＭＹＳＱＬ必须运行在普通计算机用户权限下，而不是system用户或adm用户下，否则后果不堪设想！MYSQL设置...

首先是SERV-U的SITECHMOD漏洞和Serv-UMDTM漏洞，即利用一个账号可以轻易的得到SYSTEM权限。其次是Serv-u的本地溢出漏洞，即Serv-U有一个默认的管理用户（用户名：localadministrator，密码：#　@$ak#.　k;0@p），任何人只要通过一个能访问本地端口43958的账号就可以随意增删账号和执行任意内部和外部命令。　　　　此时，人们才开始重视起SERV－U的安全来，并采取了一些相关措施，如修改SERV－U的管理端口、账号和密码等。但是，修改后的内容还是保留在ServUDaemon.exe文件里，因此下载后用如UltraEdit之类的16进制编辑软件...

《程序员》2008.09期有一篇名为《无废话ErLang》的文章，这让我想到了许多的诸如“无废话C”、“无废话书评”这类的文章，也想到了JavaScript可没有一篇“无废话”，所以决定开个篇来写这个。与这个决定相关的，还因为另一个缘故：许多读者认为我那本《JavaScript语言精髓与编程实践》读来辛苦，所以我一直想写个简单的读本。索性，这次就写个最简单的吧。声明一下：如果只想看复杂的东西，不要读这篇文章了。一、JavaScript最初其实是过程式的追溯到1.0时代的JavaScript，其实是过程式的。它的基本特性有只有两项，一项是能够直接放在网页的HTML标签中去接管事件，例如：[cod...

一前言问题的存在从代码级别上，也就是应用层次上考虑代码安全的话（也就是不考虑底层的语言本身等问题的漏洞），脚本安全问题就是函数和变量的问题。变量直接或者间接的接收用户不安全的的输入，由于php本身的特性，在php中更容易发现这种变量的混乱（很多php程序都用来定义以及初始化以及接收变量，可以直接在程序中使用$id这样的变量，初始化完全由php的设置来完成，如果稍不注意，就可能导致变量的混乱从而导致攻击）。变量接收不安全的输入之后，没有做恰当的过滤又用在不同的地方，就可能造成不同的危害。如果直接进入数据库然后显示给用户就会导致跨站脚本攻击，如果用在sql语句中就可能导致Sql注射攻击，这几种攻击...

1.关闭DirectDraw这是C2级安全标准对视频卡和内存的要求。关闭DirectDraw可能对一些需要用到DirectX的程序有影响（比如游戏，在服务器上玩星际争霸？我晕..$%$^%^&??），但是对于绝大多数的商业站点都应该是没有影响的。修改注册表HKLM\SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI的Timeout(REG_DWORD)为0即可。2.关闭默认共享win2000安装好以后，系统会创建一些隐藏的共享，你可以在cmd下打netshare查看他们。网上有很多关于IPC入侵的文章，相信大家一定对它不陌生。要禁止...

1．利用win2000的安全配置工具来配置策略微软提供了一套的基于MMC(管理控制台)安全配置和分析工具，利用他们你可以很方便的配置你的服务器以满足你的要求。具体内容请参考微软主页：2．关闭不必要的服务windows2000的TerminalServices（终端服务），IIS,和RAS都可能给你的系统带来安全漏洞。为了能够在远程方便的管理服务器，很多机器的终端服务都是开着的，如果你的也开了，要确认你已经正确的配置了终端服务。有些恶意的程序也能以服务方式悄悄的运行。要留意服务器上面开启的所有服务，中期性(每天)的检查他们。下面是C2级别安装的默认服务：ComputerBrowserservic...

初级安全篇　1.物理安全服务器应该安放在安装了监视器的隔离房间内，并且监视器要保留15天以上的摄像记录。另外，机箱,键盘，电脑桌抽屉要上锁，以确保旁人即使进入房间也无法使用电脑，钥匙要放在另外的安全的地方。　2.停掉Guest帐号在计算机管理的用户里面把guest帐号停用掉，任何时候都不允许guest帐号登陆系统。为了保险起见，最好给guest加一个复杂的密码，你可以打开记事本，在里面输入一串包含特殊字符,数字，字母的长字符串，然后把它作为guest帐号的密码拷进去。　3．限制不必要的用户数量去掉所有的duplicateuser帐户,测试用帐户,共享帐号，普通部门帐号等等。用户组策略设置相应权...

记得上次获得GoogleAdsense的钱，本站醉美点金还是做垃圾站的时候在2006年11月，那可是花了我近2年时间，才赚了123.17元。不过还是很开心，毕竟是自己在网络上赚的第一笔钱，呵呵，虽然少了点！那时候GOOGLE还没开通西联快汇，只能通过光票托收！想起来就是个“烦”字。前前后后共花了我近2个多月时间才拿到那可怜的钱！先是花了1个月时间让银行去托收，后来接到电话，说钱已经拿到了，到了银行，却告知我要存银行一个月才能取，没办法，不同意，就意味着一个月后一分钱也没啊。不过，现在好了，GOOGLE终于开通了西联快汇，我的小站也改版了，成了博客，还建了个房产站-久房网，而我也是报着试试看的心...