技术员的面试

在微软工作的Tim Sneath的blog上有一篇关于面试技术人员的文章,觉得挺受启发的,把其中关键的几点摘录一下:




  1. 很多的面试中都经常会问到这样的问题:“告诉我一下你在XX项目里做过XX…“ 问这个问题的目的是面试官想要了解你在实际工作中的表现。很多面试者在回答这样的问题时,会把着重点放到项目上,而不是自己的角色。正确的回答应该是你做了什么、对你的影响、你学到什么经验,而不是让面试官去了解你原来团队里的其他人。



  2. 对你正在面试的职位和你过去做过的事情有着同样的热情。面试中我们经常通过简历复述着过去,但往往对面试的职位一无所知。面试前应该就已经通过搜索等渠道了解这个职位和所在团队的信息,找到他们的兴趣在所在、他们在网上发布了哪些方面的文章、他们的热情在哪 – 从而将它们变为你在面试中表现你的热忱的资料和信息。



  3. 当面试官询问你的弱点是什么的时候,这并不是一个trick question。人无完人,谁都会有缺点。但有些人在遇到这个问题时往往将一个自己的优点强调成缺点(别人都说我太仔细了!)。面试官想知道的是,你了解自己的能力范围,愿意接受别人的反馈,能够反思自己的不足。



  4. 描述你的职业理想与雄心。告诉面试官这个职位在你职业生涯规划中的位置,你希望中五年后你的位置。你策略性的思考以及你对行业的理解,都是一种超出你所面试职位需求以外的能力的表现。


最后,也是最重要的,不要在面试中假扮自己(明明没有那么强的技术能力或者明明不是很感兴趣),因为从长远来讲你自己也不会对这个职位满意的,由于技术不匹配导致差的考评,或者每天做着自己没有兴趣做的事情。
当找到真正符合自己兴趣、技术和目标的工作,你才会找到工作的乐趣,而且自然而然的表现优异。

Live Clipboard – web世界中的剪切板

Jogn Bernnan;s Blog上看到一种新的web技术叫做:Live Clipboard。它的功能是能够在网站之间用Ctrl+C和Ctrl+V很简单的复制结构化的数据。


在XML出现以前所有的页面都是一个个信息的孤岛,随着XML的出现诞生了RSS和ATOM这样的标准来组织web信息,RSS使得网站间的交互变得较为简单,但RSS是一种传输数据得形式,我们还需要自己写程序来解析它。


Live Clipboard的概念是要使用户只需要通过复制、粘贴就能跨站点的复制信息。比如会议网站上列出了会议的信息,我只需要在信息上点击复制,然后到我自己的网站(如日历网站提供商、或BSP)点击粘贴就可以将信息加入到我的日程表上,而不再是像以前那样要将会议名称、会议时间、会议议程等一个一个的复制过来了。


Live Clipboard Demo 站点 (你可以打开两个ie窗口,或者一个ie一个firefox来测试)


如何在自己的站点上实现 Live Clipboard (代码实现并不很复杂,js+XML)


我觉得吧,这个技术一定非常有前途,因为“一切科技的发展都是为懒人服务”。


3月28日更新:


Live Demo 地址


这个从flickr直接拷贝照片到本地的Demo非常的cool

又中木马了(res.exe)

我这人有经常打开 msconfig 看看的习惯,今天突然发现里面多了个 res.exe 以及一个 update.exe 的启动项,多年斗争经验告诉我这两个东西很有可能是木马,马上去google,果然没错,这是我第二次中木马(前一次),来路不明。


马上去掉msconfig中的启动项,重启,到windows/system32下面把res.exe给删了,update.exe是res.exe的自动升级程序,放在program files/common files/update目录下,一并删除。


突然想到去打开norton看了看,原来之前就扫到了这个木马,可是没办法处理,当时也没引起我注意,就leave alone了,看res.exe的日期已经在我机器上存在了一个月了,想想还真是后怕,还好机器主要在内网里用。不过对norton实在有些失望,我都已经把病毒给删了,它还是显示成infected,又不能做任何的处理。



另:最近发现C盘下面出现了很奇怪的文件:
sqmnoopt00.sqm
sqmnoopt01.sqm
..
..
开始以为也是什么病毒之类的,查了一下原来是msn messenger 8的测试版产生的,没有安全隐患,只是有碍观瞻了点,尤其是对于像我这种对文件、进程、桌面图标全都有洁癖的人来讲:)

PHP中无乱码截取中文字符串的函数

function substr_for_gb2312($str,$start,$len=null)
{
  $totlelength = strlen($str);


  //特例情况
  if ($len == null) $len = $totlelength;
  if ($len ==0) return “”;
  if ($len >= $totlelength && $start == 0 ) return $str;
  if ($start > $totlelength) return “”;


  //分析$start
  if ($start < 0 )  //$start<0时,转化为$start>0时的定位.
  {
      if ( abs($start) >= $totlelength ) $start = 0;
      else $start = $totlelength – abs($start);
  }
 
  //确定起始位置,当起始位拆分某汉字时,返回值包含此汉字.
  if ($start > 0)
  {
      $i = $start-1;
      $flag = -1;
      while ($i >= 0)
      {
        if ( ord(substr($str,$i,1)) > 160)
        {
            $flag = -1*$flag;
        }
        else break;
        $i–;
      }
      if($flag==1)
      {
        $start = $start – 1;
        $len++;        //保证不位移.
      }
    }
    $str = substr($str,$start);//截除字符串$str的$start位前的字符
    $totlelength = strlen($str);


    //确定结束位置,当结束位拆分某汉字时,返回值不包含此汉字.
    if ($len<0) $len = $totlelength – abs($len);
    if ($len <= 0) return “”;
    $i=min($len,$totlelength);
    $i–;
    $flag = -1;
    while ($i >= 0)
    {
      if (ord(substr($str,$i,1))>160)
      {
          $flag=-1*$flag;
      }
      else break;
      $i–;
    }
    if($flag == 1)
      $len=$len-1;
    $subit=substr($str,0,$len);
    return $subit;
}


分析:


ord()函数判断一个字节返回的ASC码,如果大于160则为中文字符的一个字节


while函数循环计算被截取的字符串中中文字节个数,若为奇数个,说明结束位拆分了某汉字

十个探测SQL Server漏洞的黑客技巧

十个探测SQL Server漏洞的黑客技巧


原文:Ten hacker tricks to exploit SQL Server systems


根据不同的探测技巧,文中提到很多好的工具,所以收藏一下,并没有对全文进行翻译


1.通过Internet直接连接
SQL Server 服务器没有安装防火墙


2.漏洞扫描
黑客常用开源的扫描工具进行漏洞探测。
不过好人也有商业安全扫描工具可以用,其中有我很熟悉的 WebInspect 还有 QualysGuardNGSSquirrel for SQL Server 都是很容易使用的工具,不过是要花钱买的。


3.SQL Server Resolution Service 漏洞
SQLPing v 2.5 这个工具软件能够扫描ip段的sql server信息。另外http://www.sqlsecurity.com 网站上有很多Free的安全工具


4.破解sa密码
其实很多Server根本就没有给sa账号加密码,上面提到的SQLPing同样可以对sa账号进行扫描


5.直接攻击
提到一个攻击软件Metasploit


6.SQL 注入
SQL 注入大名鼎鼎,SPI Dynamics的SQL Injector可以对单独页面进行sql注入的探测,不过这个工具是集成在WebInspect中一起卖的。


7. SQL 盲注
SQL 盲注(Blind SQL injection) 指的是在网页的错误信息被屏蔽的情况下进行注入攻击。
提到的 Absinthe 这个开源工具似乎挺不错的


8. 逆向工程 Reverse engineering the system


9. Google hacks
用Google去搜索SQL Server的错误信息,在Johnny Long的 Google Hacking Database 网站提供了不少的搜索关键词


10.收买源代码
也就说攻击之前先把源代码搞到手,自然就可以从中找到漏洞下手了,google hack中的不少方法就是这样,知道某个版本的bbs程序有漏洞,只要google一下就可以找到现在有哪些网站在使用这个有漏洞的代码了。

Sudoku

Google Desktop 上有一个新的插件很好玩:Sudoku



玩法:


数独sudoku」来自日文,但概念源自「拉丁方块」,是十八世纪瑞士数学家欧拉发明的。游戏规则很简单: 在九个九宫格裡,填入1到9的数字,让每个数字在每个行、列及九宫格裡都只出现一次。谜题中会预先填入若干数字,其他宫位则留白,玩家得依谜题中的数字分布状况,逻辑推敲出剩下的空格裡是什麼数字。


背景知识:


如今数独的雏型首先於1970年代由美国的一家数学逻辑游戏杂誌发表,当时名為Number Place。现今流行的数独於1984年由日本游戏杂誌《パズル通信ニコリ》发表并得了现时的名称。数独本是「独立的数字」的省略,因為每一个方格都填上一个个位数。
数独冲出日本成為英国当下的流行游戏,多得曾任香港高等法院法官的高乐德(Wayne Gould)。2004年,他在日本旅行的时候,发现杂誌的这款游戏,便带回伦敦向《泰晤士报》推介并获得接纳。英国《每日邮报》也於三日后开始连载,使数独在英国正式掀起热潮。其他国家和地区受其影响也开始连载数独。
2005年10月,华人作家 食冻麵(Stoneman) 完成了全球第一部「数独小说」,名為《数独之恋》(英译Sudoku love story),是一部结合「数独游戏」和「故事情节」的作品,全作品共有65集故事和游戏,在每一集小说的最后,都有一款跟故事情节息息相关的数独游戏。


关于建行服务器被黑客用作钓鱼攻击的消息

来自英国网络侦测公司Netcraft 的消息,中国建设银行(China Construction Bank)上海分行的主机被用来藏匿钓鱼(phishing)网站,引诱美国Chase Bank的客户以及eBay客户连到该网站填写资料。
Netcraft说,事件可能是,黑客先黑了中国建设银行的网站,再用它来进行不法勾当。Netcraft的网络服务开发人员Paul Mutton说,这是目前为止我们见到的第一个银行设施被用于攻击其他机构的案例。在这次事件中,客户的邮件被导向了这台IP属于中国建设银行上海分行的服务器。
被黑客利用的建设银行网站上出现两个不同的伪造网页,一个是美国Chase Bank网页,另一个则是eBay网页,意图分别窃取Chase Bank用户及eBay用户的资料。然后发送大量电子邮件给Chase Bank的用户,邀请这些用户上网回答问券并回馈20美元,这个伪造的问卷调查还要求用户输入银行帐号、密码、社会安全码及其他个人私密资料等。



分析:


从截图来看,这个应该不是Cross-Site Scripting的攻击,因为URL是一个绝对的地址。
URL前面的部分被马赛克了,也许是出于保护ip地址的考虑,因为如果是域名也就没必要马赛克了,谁都能Google到的。
那么这个事情就比较奇怪,如果说这个链接的域名是建行的,那么可能会给用户造成错觉,因为用户能查到这个域名确实是建行的,是可信的,但如果它只是属于一个建行的ip地址,那么我随便找台机器都能干这个事情,互联网上有漏洞的站点多的是,干嘛千里迢迢从中国找了去骗美国人呢?好像有些说不通。


有意思的是:


1.Netcraft还指出,这些资料看起来是被送到一家印度公司在美国的服务器上(难道说是小印在折腾)。
2.虽然被黑的服务器是中国建行的,但骗的是老美的钱和账号。
3.Netcraft的这篇文章最后很郑重其事的介绍了建行的背景,14000多网点,China Big-Four &  刚刚香港上市。感觉像在做广告。

tampering bloglines toplinks

经常会去 http://www.bloglines.com/toplinks 看看最近网上又有什么新的受关注话题,今天上去的时候则看见了一些奇怪的链接,见下图



点了几个链接,发现果然是有人故意在利用toplink的漏洞。


原理很简单,就是申请了二十多个有独立子域名的blog,然后在一天内同时在这二十多个blog内发二十多贴,在每个帖子中都包含了其它blog的域名。


这样的攻击应该算是一种tampering,为了排名,伪造信息,没什么技术含量,还有就是中国制造:(

网络奢侈品商店

这周的外滩画报上提到网络奢侈品商店的话题,介绍了设计精美的Nordstrom网站:



但虽然制作精良,但网站的技术还是老的:flash+html,用户体验算是那个技术层面的天花板了。


思考:
1. 怎么样的网站设计能够让人有那种消费的快感和奢侈品的距离感?
2. 什么样的技术能够达到让人有身临其境的感受?


之后正好看了 North Face Demo at the PDC 的视频,唯一的感觉就是:Wow!


互联网技术进度的速度堪比扩张中的土家烧饼店,真正的网络奢侈品商店其实也并不遥远。