10月25号下午5点收到天气预报时，说是烟花大会观看会下雨，纳闷了，好像小区下面也贴了一个观看烟花注意事项，上网一查才知道钱塘江放烟花，由于事先没有买到票，只要在钱江龙下面观看。美中不足是天空下着麻麻小雨，烟花震耳欲聋、五彩缤纷，整个过程持续了40分钟。人山人海的，今天新闻报导有60万市民观看，有够蛮热闹的，好久没有看到这么漂亮的烟花了。最后时刻，闭眼祈愿......
　　
More......

from:《新京报》

PS:
走在马路上，请保持微笑...
进入超市，请保持微笑...
在ATM机前，请保持微笑...
在舞厅娱乐，请保持微笑...
进入网吧时，请也保持微笑...
Hello!请关注下篇《出门前，请保持微笑》....总会有一方的人，将为此付出沉重的代价，这才是令人相当的遗憾。

　　目前,在全市1500多家网吧上网时,如果是第一次进入网吧,就要在网吧内的监管系统终端设备上拍照、扫描身份证,并且以此存档.年内北京所有网吧都将安装并使用这种登记摄像设备.据介绍,当市民在网吧服务台办理开机手续时,需站在“北京市网吧上网登记设备”摄像头前拍照.同时,摄像头下方的扫描仪对市民身份证进行扫描.两项信息同时传递至文化执法总队的监控平台,进行存档.办理的过程差不多半分钟.

　　当市民第二次进入网吧时(任何一家已安装该系统的网吧),只需报身份证号,经由工作人员核对系统档案信息和上网者信息后,即可上网.

　　文化执法总队新闻发言人李菲介绍,该系统从2005年启动.截至目前,除门头沟、海淀、延庆和房山外,其他14个区县均已实施安装.到12月中旬,全市所有网吧完成安装使用.

远程监控可精确到机位

　　李菲介绍,保存图像信息是为了更好地防止“一证多用”.在监控平台上,工作人员可以实时对任意一家网吧的任意一个机位进行监控.某一个机位上的上网者的年龄、图像资料也可以快速查阅,确保进入网吧登记的资料与机位上上网者保持一致.

- 焦点

1.上网者资料会不会外泄?

　　文化执法总队新闻发言人李菲介绍,整个的控制终端是执法总队的管理平台上,网吧业主只是负责采集资料以及核对资料,无权对资料进行任何修改和使用.所以,不用担心个人资料泄露的问题.

2.系统能否“屏蔽”未成年人?

　　李菲介绍,以往在网吧业主某种程度的“默许”或者“帮助”下,未成年人还是可以进入网吧.现在,系统不仅有身份证信息,还有图像资料作为核对,所以,预防未成年人进入应该是比以前更加有效了.随着系统的不断更新和完善,相信其效果会越来越明显.

- 反应
【网吧】
客人慢慢习惯监控系统

　　东城区张自忠路附近的一家网吧的负责人说,上半年网吧就安装了这套系统.刚开始,一些客人也不习惯,但是很多回头客慢慢也都习惯了这样的方式.

　　这位负责人表示,目前看来,对营业额也没什么影响.

【网民】
担心隐私,尽量少去网吧

　　一位刘姓上网者说,这个措施对于那些瞒着家长偷偷打游戏的中学生可能有效.“你长什么样人家都知道,还敢干坏事?”对于那些在网吧里正正经经上网的人应该没什么影响.

　　另一位网民小张则表示,最担心的是这些个人资料会不会泄露,毕竟网吧是一个鱼龙混杂的地方.“其实,拍照也不一定有这个必要.如果是这样,我以后会少去网吧,尽量在家上网.”



More......

PS:我在家的10月前为黑手又更新了黑客DVD工具包，本来是放在增刊上面的，由于个人的原因没有及时处理完成，现在更新了～

update:
1.工具进行了细致化的分类，增加新型攻击工具
2.取百家之长，融合各个HACK社区的工具组成
3.增加CHIP精选应用软件，来自全球的机构评选
4. 仍然.7z压缩，删除使用率不高的软件
5.一盘在手，万事无忧.....(绝没有夸张成份)

Download.........
《黑客社会工程学攻击》随书DVD工具包
第二版.黑客DVD工具包 2.0
More......

from:http://kallahar.com/smallprojects/php_xss_filter_function.php

function RemoveXSS($val) {
// remove all non-printable characters. CR(0a) and LF(0b) and TAB(9) are allowed
// this prevents some character re-spacing such as
// note that you have to handle splits with \n, \r, and \t later since they *are* allowed in some inputs
$val = preg_replace('/([\x00-\x08,\x0b-\x0c,\x0e-\x19])/', '', $val);

// straight replacements, the user should never need these since they're normal characters
// this prevents like
$search = 'abcdefghijklmnopqrstuvwxyz';
$search .= 'ABCDEFGHIJKLMNOPQRSTUVWXYZ';
$search .= '1234567890!@#$%^&*()';
$search .= '~`";:?+/={}[]-_|\'\\';
for ($i = 0; $i < strlen($search); $i++) {
// ;? matches the ;, which is optional
// 0{0,7} matches any padded zeros, which are optional and go up to 8 chars

// &#x0040 @ search for the hex values
$val = preg_replace('/(&#[xX]0{0,8}'.dechex(ord($search[$i])).';?)/i', $search[$i], $val); // with a ;
// &#00064 @ 0{0,7} matches '0' zero to seven times
$val = preg_replace('/(&#0{0,8}'.ord($search[$i]).';?)/', $search[$i], $val); // with a ;
}

// now the only remaining whitespace attacks are \t, \n, and \r
$ra1 = Array('javascript', 'vbscript', 'expression', 'applet', 'meta', 'xml', 'blink', 'link', 'style', 'script', 'embed', 'object', 'iframe', 'frame', 'frameset', 'ilayer', 'layer', 'bgsound', 'title', 'base');
$ra2 = Array('onabort', 'onactivate', 'onafterprint', 'onafterupdate', 'onbeforeactivate', 'onbeforecopy', 'onbeforecut', 'onbeforedeactivate', 'onbeforeeditfocus', 'onbeforepaste', 'onbeforeprint', 'onbeforeunload', 'onbeforeupdate', 'onblur', 'onbounce', 'oncellchange', 'onchange', 'onclick', 'oncontextmenu', 'oncontrolselect', 'oncopy', 'oncut', 'ondataavailable', 'ondatasetchanged', 'ondatasetcomplete', 'ondblclick', 'ondeactivate', 'ondrag', 'ondragend', 'ondragenter', 'ondragleave', 'ondragover', 'ondragstart', 'ondrop', 'onerror', 'onerrorupdate', 'onfilterchange', 'onfinish', 'onfocus', 'onfocusin', 'onfocusout', 'onhelp', 'onkeydown', 'onkeypress', 'onkeyup', 'onlayoutcomplete', 'onload', 'onlosecapture', 'onmousedown', 'onmouseenter', 'onmouseleave', 'onmousemove', 'onmouseout', 'onmouseover', 'onmouseup', 'onmousewheel', 'onmove', 'onmoveend', 'onmovestart', 'onpaste', 'onpropertychange', 'onreadystatechange', 'onreset', 'onresize', 'onresizeend', 'onresizestart', 'onrowenter', 'onrowexit', 'onrowsdelete', 'onrowsinserted', 'onscroll', 'onselect', 'onselectionchange', 'onselectstart', 'onstart', 'onstop', 'onsubmit', 'onunload');
$ra = array_merge($ra1, $ra2);

$found = true; // keep replacing as long as the previous round replaced something
while ($found == true) {
$val_before = $val;
for ($i = 0; $i < sizeof($ra); $i++) {
$pattern = '/';
for ($j = 0; $j < strlen($ra[$i]); $j++) {
if ($j > 0) {
$pattern .= '(';
$pattern .= '(&#[xX]0{0,8}([9ab]);)';
$pattern .= '|';
$pattern .= '|(&#0{0,8}([9|10|13]);)';
$pattern .= ')*';
}
$pattern .= $ra[$i][$j];
}
$pattern .= '/i';
$replacement = substr($ra[$i], 0, 2).''.substr($ra[$i], 2); // add in <> to nerf the tag
$val = preg_replace($pattern, $replacement, $val); // filter out the hex tags
if ($val_before == $val) {
// no replacements were made, so exit the loop
$found = false;
}
}
}
return $val;
}

More......

PS:呆家闲着扯蛋~在中国记忆力网看到七田中的是不是骗子的话题，于是也加入了支持版主mao9698的一组的打倒七田真队伍，过几天发现mao9698版主把贴子置顶了，我说那贴子去哪来着~原来置顶了:-)贴俺BLOG上，为伟大的祖国记忆事业发展发展！

~~~~~~~~~~~~~~~~~~~~~~我是分割线~~~~~~~~~

　　看了闲云版主发的《头脑航行： 七田真的照相记忆法是不是骗人？！》置顶贴，以及多个版主及会员观点的冲突，顿生一些读后感。欢迎大家拍砖！:)

　　首先，我们一点点将事情理清头绪。

　　第一点：右脑是什么？

　　1981年，诺贝尔医学生理奖得主罗杰·史贝尼教授将左右脑的功能差异归类:右脑(本能脑·潜意识脑) 左脑(意识脑)。

　　由此可见，右脑的研究很久就有前沿的科学家们研究分析。研究的成果开始吸引潜能开发专家的注意力，由此拉开了一场“右脑革命”。七田真也就是潜能开发专家的一部分人。

　　第二点：照相记忆是什么？

　　严格来说，很多的右脑产品都是围绕“图像”核心去开发的，由此引申出N多右脑技巧、右脑方法。

　　例如记忆术中就有图像记忆法。将数字、字母、字符、字组编码成有意义可被右脑接受的图像，其桩子符合右脑逻辑而成的记忆法。

　　七田真的照相记法也是如此。七田真有两本书：右脑波动速读以快速的方式阅读书籍；右脑照相记忆可只看一眼就记住任何东西，并可随时回忆起来。

　　而我想提的是：话题会有冲突

　　我们人类常常探究一件事、一个理论的错与对时，常用了大量的辩证思维、时间去论证它们。

　　感性的人会将一面的优点去掩盖全部的缺点，以期认可这件事应该都是美好的，而不应受到指责，试图以自已的态度去影响有人的观点。

　　理性的人只承认看得见、摸得着而活生生存在的事物，他们期望看到的缺点最好适而可止，是完美的。然而独断者的说法将十分决绝：你犯一点错误，你就有必要为全部的错误买单！

　　七田真是怎样的人一个人呢？

　　闲云版主列举了大量的资料，在普通人眼里看来：日本人七田真是值得受到尊重而身份显赫的潜能开发专家。

　　他的职位有哪些呢？博士、教授、会长、顾问、校长、所长。

　　他获了哪些奖呢？功劳奖、优等奖、骑士勋章。

　　他以右脑为主题的著作颇丰。研究右脑长达40年。

　　

　　即便如此，我们关注的照相记忆对我们有没有用？

　　一、我们尚未从日本的图书、视频、音频资料看到有练成“照相记忆”的事实。

　　二、我们仍然尚未看到活生生练成“照相记忆”的案例。

　　三、我们中国记忆界的领军人物如张海洋及民间记忆爱好者也没理出一个所以然。

　　大量证据表明，照相记忆法无一人出现图书所描述的结果：喀嚓地一下就像照相机把眼前景物拍下成为脑中的记忆。

　　假设前提，照相记忆练成之后将会怎样？

　　一、日本的教育将领先全球。

　　二、全球的媒体将以大量的版面报导练成照相记忆者的事迹。

　　三、七田真本人将获得全球最高的荣誉，成为日本的记忆科学家。

　　但事实，这一切并没有发生。抑或我们一厢情愿的认可？

　　科普：照相记忆到底可不可能？

　　我们都知道人脑与电脑的区别：人会思考，机器不会。

　　电脑由存储器、运算器、CPU、输入与输出设备组成，电脑之所以能保存文件介质是因为存储器的存在。

　　七田真将我们的眼睛当作照相机，只要喀嚓一下就会将所见的记下来。但人眼与照相机的区别是，照相机的感光器会将影像介质转换成数字介质存起来，就是1和0的排列。但我们人眼的视觉神经并非如此。如果大家像七田真戴有一副“记忆眼镜”的电子产品的话，那倒有可能。

　　我们照相记忆到底是干吗呢？

　　一、我们可以记下大量的知识，成为某个领域无所不知的学者。

　　二、使我们的生活更加美好，能在年暮时将往事回想历历在目，而享受精神愉悦。

　　与此自相矛盾的是，你用20~30秒拍下一页图书的内容，请问：图书的内容看懂了么？你深刻理解到作者要表达的思想？你将“照相”都经过重新的科学组织、分类整理了么？如果没有，显然，照相记忆没有用。

　　那么，七田真到底是不是骗子？

　　这里的言论将不是客观，而是个人的看法。

　　一、七田真的右脑方法缺乏科学的理论、实践作为支持。

　　二、照相记忆是哗众取宠、个人臆测的产物。

　　三、七田真的东西大多忽悠小孩（某某人说：小孩比大人更适合右脑开发），对成年人不适用。

　　客观地说：七田真在照相记忆是骗子，其它方面不是骗子。他的照相记忆确实在骗人。

　　

　　最后，我们为什么深陷这个话题？

　　从NLP心理学的角度来解释：如果我有能满足你想要的东西，那么，你就会痴迷上这个东西。

　　大多数的人都有不劳而获的想法，什么意思呢？期待天上有掉陷饼的机遇。

　　拿一个例子来说，国外有个优秀的“吸引力定律”，但国内一个骗子看到了，便发展出“自然法则”，他告诉所有的人，你学会吸引力定律，你将会获得所想要的，就像阿拉丁神灯一样，财富任何一切都不再是梦。然后这个骗子紫雨会告诉你，你要付费加入一切皆可成梦。悲哀的是，做白日梦的人上当了，他以为一切皆梦成真。

　　为此，我想告诉朋友们：我们要学习一件事，应该清楚的看到本质！

　　例如，中国记忆力网的图像记忆法就有理论、实践作为基础而发展的，任何人都看到通过图像记忆法可2分钟记下100数字。

　　

　　客观与非客观

　　如果有七田真狂热的粉丝看见了，他会怒恼：你不能如此说七田真是骗子！他其它的领域是卓越的！

　　我将专断的说：是的，他其它领域可能是非凡的，但是，他的照像记忆是骗人的！他就是骗子！

　　你将说，你没有证据！

　　我将说，证据就是你！

　　另外：七田真的图书资料我粗略看了就丢了，因为对俺没用。:) 　（我的意思是：你能看得懂，听得明白，感觉有用，就去看，反之，丢了！）

More......

PS:九月黑手杂志刊的是经过编辑处理了的，这是原版的~~:-)
---------------

应小编土豆的邀请下俺成了临时记者来采访Amxku牛人，大部分的读者可能不太了解Amxku是谁，即使经常有访问sebug漏洞公告以及在红狼论坛灌水的朋友都不太知道其管理员是谁，并且，Amxku也是曾经的中国被黑站点统计系统的创始人哦！

可大家为什么感觉陌生呢？归根其底，主要是Amxku一直低调行事。顺便说下他喜欢SWAN的话：“低调是最牛B的炫耀方式”。那么Amxku在网络与现实是怎样的人呢？他开发的众多程序的背景是什么呢？且看从采访中走近低调的Amxku，认识他，并熟悉他……

Lizaib：Amxku，听说你专注于PHP开发，对么？

Amxku：恩，是的。主要关注PHP，LINUX ，信息安全，目前服务于上海的一家安全咨询公司。

Lizaib：红狼的创始人听坏坏说你是其中之一，你是啥时候加入的？

Amxku：我是创始人之一，我们是06年3月开始筹划这个站点的。其它创始人分别是自在轮回、孤独坏坏、冷漠。

Lizaib：嗯，记得当时我就开始从红狼起步的，常灌水 。那时候原创的氛围特好。什么时候有做Sebug漏洞公告（www.sebug.net）站点的想法呢？

Amxku：是06-08月吧。我当时就想做一个收集吧。没想太多，后来在一些朋友的建议下，才把它进行了一些标准化。

Lizaib：国内外的漏洞都有收集，未来会不会打算弄成程序化的查询呢？参与翻译、编辑、收集的工作除了你外还哪些牛人呢？

Amxku：这个是肯定的，现在已经开放了一些相关的接口了。都是一些朋友业余维护的。在这里也谢谢他们了。

Lizaib：未来的时间打算做一个团队吗？不错，设计上提供了RSS输出等。

Amxku：未来的变化太多，哈哈，做一个专业的团队是我一直的想法。在设计上，主要以人为本。人性化才是WEB系统的核心。

Lizaib：做sebug一方面是个人的兴趣，还有深层的意义吗？

Amxku：为相关的用户提供方便吧，看到有很多站点一天到晚被入侵什么的，sebug也是为他们提供了一些帮助吧。

Lizaib：刚在你博客（www.amxku.net）才知道中国被黑站点统计系统（www. zone-h.com.cn）是你建立的，你何时建立的呢？

Amxku：这个是我和三尺寒冰在05年8月建立的。当时我们在武汉做工作室，哈哈。

Lizaib：对于zone-h这样的站点是否会靠成负面的影响啊，比如不同的黑客爱好者相互比排名。

Amxku：恩。是啊，当时我们没想到这点，所以说这个站点可以说是一个相对失败的站点，现在我也没有参与维护了。

Lizaib：sebug的发展过程也困难么？那么多的记录都是人工编辑的，目前的数据库容量多大了？

Amxku：困难肯定是有的。哈哈。现在基本上是人工的，也有想过有采集的，但测试后发现效果不怎么好，所有没有用，而且人工的质量也会高一点。现在差不多有8000多条记录吧，类似于milw0rm，用户可以提交漏洞公告。

Lizaib：sebug概括了哪些类型的漏洞公告呢？可提供语法搜索精确定位么？

Amxku：主要有基于OS的，漏洞类型的。没有，是单纯的关键字，对用户来说方便查询吧。

Lizaib：今天的互联网，WEB　2.0的SNS横行，你会不会计划更加人性化？sebug是非营利的么？可否带有商业性质？

Amxku：我希望是可以开放所有的接口，所有的用户都可以来维护这个数据库，可能会在年底做一次大规模的升级。是，没有任何商业性质在里面，不过曾经有想过投放广告，但是这样就体现不出这个数据库的专业性了。

Lizaib：amxku比我大么？你从何时才接触计算机安全的呢？

Amxku：85年。差不多是03年吧，不过当时什么都不知道，哈哈。

Lizaib：哪有啊，这几年就成长的很快，膜拜下，嘻嘻。完全一个人自学吗？

Amxku：04，05这两年让我学到了不少东西。没有啊，有很多朋友的帮助。当时在GodKiller学到了很多东西，不知道你听过GodKiller这个小组没，哈哈。

Lizaib：PHP会，C＋＋会，WEB攻防也会，LINUX也会，风险评估也会，牛人哈，你还精于哪些专业？嗯，没听说GodKiller小组，请前辈赐教，看上去我没找到这个小组的信息。

Amxku：C＋＋倒是不怎么会，就会点VC，DELPHI 。GodKiller老大是小轩吧，当时也就一个简单的站点。还有一个群吧，我就在这个群里认识了影子、小蛋、雨夜……好多好多朋友，现在也见不到几个了，小轩把我当小弟一样看，教了我很多东西。

Lizaib：NB的上帝杀手（GodKiller：www.godexp.com）哦，网站好像打不开了，你那里呆过一段时间了吧，看网上历史信息，小组写出的作品技术含量也很高的，为什么没有深入发展呢？

Amxku：恩。05年的大半年时间吧，都因为工作各忙各的了。小组为什么没有发展下去，我也不是太清楚。

Lizaib：很酷的经历，除了现在呆的红狼，之前还是哪个安全小组的成员呢？

Amxku：中国防黑网（www.fanghei.com），这个站点，这是我当时在CSN小组时的站点，三尺寒冰现在自己做公司了，可能没有时间弄这个网站了吧。

Lizaib：你从各个小组都在学习，这段期间都有一位对你产生深远影响的朋友吧，当时主要学习哪方面的技术呢？

Amxku：小轩，三尺寒冰是两个对我影响最大的朋友。当时主要是学习LINUX，VC，PHP。在小轩的忽悠下。我还去学了CCNA，CCNP。哈哈。现在想想，还是很值得。

Lizaib：在我出版黑手图书那会儿，红狼的Gh0st远控在水区特火的，这是一款开放源代码不错的东东，你也参与开发了吗？

Amxku：主要的代码编写还是逐云客（cooldiyer）完成的，我只是参与了设计和写了几个小的模块。

Lizaib：嗯，cooldiyer是一个很棒的牛人。我觉得gh0st与你的想法一样，简约、简单，你个人对这款远控如何评价呢？看上去市面上也有以gh0st源码为基础开发的作品，你知道这事不？

Amxku：简单是我一直的想法。gh0st的优点不应该我来说，要让用过这个软件的朋友来评价，哈哈。知道啊。有很多。还有开发出来后出售的。

Lizaib：我在水区的截图看到集群控制特赞，即同时控制多个摄像头，酷！未来小组还打算除了开发远控还将开发什么类型的软件呢？

Amxku：也没有什么，网上也有类似的软件了。多摄像头可能也是这个软件的一个亮点吧。计划开发基于应用层的扫描软件，因为我们有SEBUG这个强大的数据库做支持，软件设计说明书，我们正在设计，可能会年底或明年会发布吧。

Lizaib：是的，我有听过国内的启明星辰有开发这样的产品，但他们没有公布出来。这个项目将有几位负责呢？

Amxku：启明星辰的软件是商业性的，我们是基于免费的，到时间也会考虑开源，这个一切都还在计划当中，项目的开发人员暂时不便透漏。软件设计还需要花费比较长时间，这样更方便我们后期的开发和维护

Lizaib：冒味问下，你所在的公司是不是红狼那友情链接的安泰？

Amxku：不是，那是自在轮回的公司。我是在上海一家安全咨询公司。

Lizaib：我看到无论是SEBUG，Zone-h，以及4SEC的开发无不显示出这些产品都是新锐的创意，不可置非，你拥有国际上的前膽思维。

Amxku：我觉得互联网的核心竞争力就是创新，所以说创新才有发展。一直有走向国际的想法，只是我们现在还没有达到那个层次，以后我们会逐步和国际接轨。

Lizaib：那倒是，发展的环境决定了一切。对于现在的安全产业，你觉得哪一种的安全是现在的主流？

Amxku：挂马，只要和商业扯上关系的东西总是比较火的。

Lizaib：你的职业是信息安全风险评估，是否就风险评估上为黑手读者谈谈的一些经验呢？你现在主要为哪类型的公司服务？

Amxku：风险评估最主要的是能够把握几个核心的控制点，具体可参考我在博客写《风险评估杂谈》（www.amxku.net/talking-about-risk-assessment）。我现在主要为金融，运营商，企业等服务。

Lizaib：可否让一个普通的读者粗略理解什么是风险评估吗？

Amxku：风险评估就是一个亮化的过程。举个简单的例子吧，比如一个企业，会投资10万块钱在信息安全这块，风险评估可以帮助他们的是，现在这个企业急需的是杀毒软件还是防火墙。

Lizaib：这看上去是产品上的安全，人员的安全也需要管吗

Amxku：安全不仅仅局限于产品和技术。而管理占到了信息安全的很大一块，可以说是七成吧。这其中就包括了人员的安全，管理制度，各种信息体系的建立等等。而技术又是为业务服务的。所有的安全技术，制度，体系，都将围绕着业务系统来展开。

Lizaib：最后，对于黑手新手的读者，他们学习的过程常常都有困扰，你觉得他们最好如何学习这项安全技术？

Amxku：建议大家首先得定位好，定好目标后，然后在根据自己的目标去一步一步去努力，去实现。谁也不是一步登天的，比如angel在学习PHP时就把论坛的代码打印出来分析的。 引用SWAN的一句话，“低调是最牛B的炫耀方式，所以，加油吧~”

More......