msgbartop
用铅笔写日记,记录那最原始的美丽
msgbarbottom

发现一件很有意思的事情

有事情在维基百科上查询一些资料,完了之后便没有关掉维基。随便看了看其他一些信息。

浏览了中国的古代史、近代史一直到现代史,尽管这些我在学校历史课本上全都学过了,算是回顾一下吧
自黄帝、炎帝到夏商周,再到春秋战国,再到秦汉王朝,之后又是东汉末年魏蜀吴三国鼎立,后又是魏晋南北朝。接下来又是隋唐英雄传,后期又是安史之乱,分裂成五代十国。然后又形成了宋辽金等杯具局面,后期元朝大统。再然后就进入了明清时期。
再再然后就是国民政府,之后就是现在的中国啦.

正当我感慨我们中华民族有着这么多灿烂文化和文明,正在历史的长河里傲游的时候,不知不觉的看到了维基关于台湾的词条。

我饶有兴趣的读了下去,因为真的本身除了郑成功收复台湾之外,对宝岛的了解不是很深.

看呀看呀,最下方的《东亚、南亚和东南亚领土争议》图示引起了我的注意。想不到这个世界上还有这么多地方是存在冲突的。
忽然我发现了很让我吃惊、不解的一条! 如图:
领土冲突

注意看倒数第三条,我彻底倒了~~~
真不知道这是谁加上去的,难道是中正兄?难道他要来反攻大陆鸟? 囧rz……

如果,撰写该词条的是一位台湾同胞,我想说请不要自慰.
如果,撰写该词条的是一位大陆兄弟,我想说请不要发昏.

其实,我认为针对这些敏感问题,我们每一个中国人的态度应该是要必须明确起来的。这一点不容置疑。
可是,我们某些政府的机构却没有做到这点,如 工信部的备案网。

相信每个站长都要去为自己的网站备案,可是在选择所在省份的时候,却出现了纰漏.
这是我去年提交的问题/建议,大半年也没人回我.

见:
问题

问题内文

真心希望该问题可以得到迅速、果断的解决。

sql注入真有意思

不知道怎么想的,忽然之间对网站的SQL 注入感兴趣了.

看了很多文章,也学到了一些注入中通用的手法。

尝试了去注入了很多站点,比如昨天下午半天都用在注入美空网了(连美空网都没听说过?囧rz).

因为美空注册是需要邀请码的,所以一直希望可以把邀请码条件注掉,呵呵

可是,忙活了半天,搞得头昏眼花也没有成功...

今天上午又尝试了下以 http://beautyleg.com/sample.php?no=1 为注入口,去搞beautyleg。
不是报"無法判別相冊編號 !" 就是报"資料庫中找不到指定的相冊!"...

难道注入这么难?

看了一下,beautyleg 用的是 Apache/2.2.3 (Red Hat) 搭配 PHP/5.1.6,数据库应该是mysql了.

如果,每个人都把 magic_quotes_gpc 设成 on,再搞个什么参数过滤.或者都用addslashes() 和mysql_real_escape_string() 来处理一遍,那SQL注入不是干着急嘛???

日啊,别的我不知道.我知道美空网是用java写的.用的是tomcat 4 + Apache-Coyote/1.1 connector.
此外图片等静态资源用的是nginx/0.6.35,所以应该确定是linux服务器无疑了(没有人会蠢到在win上跑nginx吧).

如果jdbc连接数据库用的是预编译语句 preparedstatement,那么像我这样的SQL 注入不是鸟用没有了么?

目前真的很疑惑.

谈谈互联网的免费午餐

互联网的免费午餐,我一直都在吃。
最多的就是免费空间,毕竟像我这样的草根站长,花钱去搞个虚拟主机都是奢侈,更不要说VPS之流了。
只能靠这些个免费午餐填填肚子,不过质量好的真的是不多见.

首先说免费空间,最近忽然发现我的博客文章里面的一些贴图不能正常显示了。
我这个图床(或者说网络共享平台)是搭建在nginxadmin上面的,该免费空间服务一直很稳定。
提供不限空间,不限流量的存储空间,支持 ftp + mysql,更重要的是速度也很快.

不过有一点很恶心,就是会在每一个网页里面插入一段ad(弹窗式),虽然承诺一个ip每天显示一次,不过我还是不能忍受。
所以便把它做成了文件共享平台。nginxadmin从不能在文件流里面插入ad吧,哈哈

用了这么久,第一次出现问题。我便打开nginxadmin首页一看究竟,结果很是令我震精!

只见nginxadmin首页出现了几行小字,居然是停止服务的公告.如图:

NginxAdmin

天哪!他们的硬盘居然挂了!!怎么搞的?很庆幸我没有存入什么重要数据。
只是要去寻觅另外一个图床了,不过看来nginxadmin的免费是用到头了.

祸不单行,我又收到了火山互联给我的消息,内容是由于我没有经过“身份认证",我的VPS也被停掉了.
如图:
VPS 通知

这样,刚上线两天的“小鑫论坛”再次下线,囧rz

话说回来,火山互联的这个免费VPS真的蛮不错的。可惜就是要什么“身份认证”,而且只针对企业用户。
要上传什么营业执照之类的,否则是用不长的.
如图:
要求认证

我等个人用户还是另寻他处吧.

一日之内,连损两处空间。于是迫切的需要找到一个稳定、免费的空间了。
仔细想想,自己可用的空间还真没有。搜索了一下,大多都不行。

只有000webhost还可以,早些年申请过,貌似一直没通过,帐号依稀还记得。
本想登录后,按照网上的介绍,给客户提交一个ticket,可是进去一看,连域名都给我删了,日啊

于是用了某代理到该站又注册了个帐号,居然一次就激活了。兴奋呀
可是马上我又傻眼了,分配给我的居然是被墙掉的ip....(这个又不能换)

无奈删掉了该域名,打算再创建一个。提示要24小时后才可以操作。
无奈,等吧.

一天过去了,再次登录,创建新域名,恩,可以了。可是……泪奔了
如图:
000webhost 墙 ip

又是一个墙内的ip,看来和概率的游戏有的玩了.

说完免费空间,再说说免费域名.
谈到这个,很多人都会想到 *.co.cc、*.uni.cc以及最近的*.co.tv 和 *.eu.tv.
不过很遗憾,这些域名不是被墙了,就是时不时的抽风.
我已经是彻底放弃了这些二级域名了(本人已经注销掉了持有的这些域名),还是花点钱买个顶级域名吧。

不过最近发现很多人在用*.tk的顶级域名.这个域名我以前用过,功能很单一,只能转发.
可是现在貌似功能多了起来。

所幸以前在dot.tk的帐号还记得,进去后注册了一个xiazhengxin.tk,居然可以自定义name server!!
这不就意味着……呵呵

把域名转到像everydns、zoneedit等类似免费的DNS服务商,就可以任意设置记录啦!

而且dot.tk 还开放了api,用户可以参照api给出的例子和说明(见:http://www.dot.tk/zh/pageE01.html),让用户可以在自己的网站上开放*.tk域名的注册(不过前提得去申请一个api key).

比如我的这个(处理页面现放在我VPS上,随时可用):

要跳转的网址(要有http://前缀,且地址可访问):

要注册的域名(不含.tk后缀):.tk

不过这样注册的功能很简单,有点类似于goo.gl 这样的域名减肥服务.

想要设置A、cname 等记录,建议还是去官网注册.

还有一点就是,当我满心欢喜的要去Google apps 注册个企业套件(标准版)的时候,发现居然不支持*.tk域名!
搜索了一下,发现谷歌是干掉了这域名,很多人以前注册过的都被干掉了。
见:http://www.google.com/support/forum/p/Google+Apps/thread?tid=4edca886add19a63&hl=en

杯具呀,看来只能用QQ 的域名邮箱了..

谈到了everydns,就再来谈谈免费DNS服务.
作为一个站长,应该经常要和这个打交道.

我想国内很多人用的都是everydns和国内的DNSPOD,至少我目前用的就是这两个.

不过现在有了新的选择,那就是freedns.ws.

这是我最近刚刚发现的免费大餐,支持大多数常见的记录,速度很快(我不想谈记录生效,因为那取决于记录的TTL值).

还有就是DNSPOD的(请原谅我用dnspod来做比较)免费用户所不支持 @ 的cname记录。

众所周知,DNSPOD现在已经不支持域名根的别名记录了,以前设过的也不可以再修改了,如图:
根域名别名

如果需要添加该记录,就得升级为VIP用户...

曾就此问题多次向DNSPOD管理员交涉,要求增加这一功能。
不过,很遗憾。DNSPOD管理员对待这个问题,或者说是对待免费用户的态度让我很失望(聊天记录就不在这里公布了).
这显然不能让崇尚免费和平等的我容忍.
故而决定彻底和DNSPOD划清界限,并陆续把停靠在DNSPOD的域名托管到别处去.

用自己的实际行动抵制DNSPOD,抵制“免费用户不是用户”的荒谬言论,抵制这种藐视人权的不良心态.
看看,这都是市场垄断,一家独大导致的恶果呀!
试问,如果国内DNS服务商遍地可见,看他敢这么说话 :)

最后,再揭一下DNSPOD的短,直接看图:
泛解析

这就是DNSPOD宣传的泛解析?原来只能设置 "*" 的泛解析,囧rz 等于没有...
还有就是传说的URL转发功能,也奇怪的消失了...
看来DNSPOD首页的宣传应该改改了.

呃,跑题跑到西伯利亚了……回来了
总之,本人吐血推荐使用freedns.ws
试试看,真的很好用噢! 一点也不伤手哟

_END_

不花一分钱看遍beautyleg站

最近谷歌PageRank 更新,大家的站或多或少都更新了,而我依然是4。

我于是在想,这是为什么?难道是我博文的质量下降了??还是我懒了,更新少了?

不管怎样,我得自我反省.

于是今天我决定把我刚刚发现的一个小的技巧分享出来,以期PR up up up !!!

这个方法是我刚刚在浏览beautyleg论坛(现已实行邀请注册)的时候,无意发现的。

当然不一定完全有用,在大都情况下应该是可行的.(显然标题有点过了 *_* )

beautyleg是一个图站,顾名思义,应该是和美腿有关系的。
这是它首页的description :腿模-美腿 美腿小舖之美腿名模 絲襪美腿 模特兒寫真 美女 內衣秀 美腿論壇

可是,和大多数的图站一样,它是需要付费会员身份的。否则,只能以一个游客身份,浏览一些sample....
而我的方法,就是可以从给出的sample推算出原始尺寸图片的url.

这样的话,就可以利用吸血雷等利器去批量下载整套。是不是很兴奋?哈哈哈

下面说我的方法:
打开beautyleg.com 首页(冷静点,朋友!不要鸡冻),在右侧罗列着最新几期的模特的封面照。
选中一张,右击查看图片属性.如图:
图片属性

请注意该图片的编号(也就是选中部分),389号,好,记住它.

下面用它替换下面的url 中的###,也可以说389是实参,###是形参
http://photo.beautyleg.com/model/###-01.jpg

如图:
编号原始图片

以 http://photo.beautyleg.com/model/389-01.jpg 访问到了该套组图的第一张原始图片(请注意图片分辨率).
下面的以此类推,不讲了.

ps: 该链接要感谢beautyleg论坛的斑竹 Tommy 以及 beautyleg无数的工作人员,是你们严谨的工作态度和严格的编号制度成全了这一切.
:)

当然,看完这篇文章,有些人可能是bs我的,因为我的这种行为严重的侵害了那些“正版”用户,也就是付费会员的利益.
我对此深表遗憾.
这些地方才是你应该去的,http://www.beautyleg.com/join.htm

最后我还要再次强调一点,该方法不能100%成功.我就遭遇过好几次404……
如果你的口袋还算丰满,还是请支持正版,支持付费模式.

用https代替传统访问

由于一个众所周知的原因,就是为了打击大量非法网站的建设,在清查了一遍全国的IDC后,中国电信(网通不清楚)陆陆续续的封掉了家用ADSL的对外80端口.目的只有一个,就是让动态域名+家用服务器的小型网站从这个星球上消失。

当然,整顿非法网站我不反对。因为据我的经验,这些个站长的素质(或者说是职业道德)普遍不高。他们的网站上大多充斥着恶意脚本和后台木马、病毒等.这些都是为广大网民深恶痛绝的。

所以说,于情于理也都应该清理掉这些互联网的污垢.

可是这也给我带来了困扰,就是我用自己家里的一台Windows Server 08 r2系统搭建的web + ftp 的网络共享平台,也受到了影响,当然只是web方面.

本来想换个端口吧,开始毕竟我的朋友中有些人是不习惯这么奇怪的url的,一定程度上影响他们的使用。
后来又想,要不直接用ftp,因为21、22、23 端口是不受影响的。不过,有些人的电脑没有ftp 客户端,而且还要花时间去教他们怎么用。费事费力,再次搁浅.

面对80端口的时不时的抽风,我忽然想到了用https连接访问的方法.对啊!这是个好办法。因为https默认端口是443.
而且http与https仅有一字之差,很难分辨.

主意一定,我便开始行动了.

因为我的apache是集成了mod_ssl(提供openssl库的接口)的,所以不需要单独去下载openssl套件.
首先进入apache所在的目录,如"c:\program files\apache software foundation\apache2.2\",确保/bin 下存在 openssl.exe 程序.
我所要做的就是生成*.key、*.crt 两个文件,一个证书key和一个自签名证书.
请注意,我生成的是自签名证书(self-signed SSL Certificate).为什么呢?

因为我不可能,也没必要去到什么Verisign、Thawte等机构去申请一个。我启用SSL访问的唯一原因是为了不走80端口,仅此而已.不用那么麻烦,而且需不需要费用和通不通过还说不准.

用官方的话来讲,也可以是测试目的,呵呵
开始动手,
进入命令行,把当前目录定位到apache的/bin 下,

先生成key:
openssl genrsa -des3 -out server.key 1024
记住输入的pass-phrase,启动apache要用到.
如果和我一样是windows系统的话,最好不要加入pass-phrase,因为windows 不支持内置短语.
启动apache会报"Error: SSLPassPhraseDialog built-in is not supported on Win32"错.

如果已经生成,可以用
openssl rsa -in server.key -out srv.key
去除掉pass-phrase.
ps:不要忘了注掉httpd-ssl.conf 下的SSLPassPhraseDialog.

之后生成证书:
openssl req -new -x509 -nodes -sha1 -days 365 -key srv.key -out server.crt -config ..\conf\openssl.cnf
ps:openssl config的路径可能会不一样.

最后,把bin目录下生成的srv.key(最好改下名)和server.crt 复制到别处,如C盘根目录下.

在apache 配置文件httpd-ssl.conf 下定义路径
SSLCertificateFile "C:/server.crt"
SSLCertificateKeyFile "C:/server.key"

再添加好virtuahost,重启apache.即可

如果像我一样,想彻底的抛弃http访问,一律使用https的话,可以考虑利用地址重写达到目的.
编辑httpd.conf文件,加入:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}

或者
RewriteEngine On
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://cnserver.homeftp.org/$1 [R,L]

这样都可以了.
现在我就可以对电信的行为表示影响不大了,呵呵

更多SSL/TLS设置,参见:http://httpd.apache.org/docs/2.2/ssl/