老板是我非常敬重的前领导之一，他的一些管理风格，也影响了后来我对技术团队的管理。 理想企业 什么是程序员理想的IT企业？公司里面有良好的同事关系，合理的产品需求和开发进度，最好老板懂点编程，这样公司更有工程师文化。稍微总结一下就是，有活干、有钱拿、不憋屈，其实技术人员不就要求这么点事吗，但往往这些也并不简单。 我在西安的时候就遇到这么一个小而美的公司，同事之间的关系非常好，每次下来的需求都比较合理，几乎没有太加过班。公司一共50多人，其中就一个人事、一个行政、一个老板助理，其它貌似都是技术人员了，其中大部分的同事都是程序员。上班的时候非常的安静，大家都安心写自己的代码，中午有空大家还可以一起玩玩篮球，聊聊天，每天的下午4点到4点半有半个小时的活动时间，刚开始是做体操，后来发展成各种活动。周末几乎没有加过班，同事之间还会组织活动，不是爬山就是腐败，反正是其乐融融。 每一个入职面试的员工都需要做一个PPT，用十几分钟的时间来讲一下自己对做过项目的理解，考察面试者的综合能力。公司没有产品经理，测试不但要测试软件，也需要整理需求、写测试用例、进行测试，有时候还包括实施，所以在这家公司出了好几个对产品、测试都很牛逼的人物。 每次过节，公司几乎都会组织个聚餐，让大家组织一些表演，这里的大家是指部门所有的程序员，特别是年会的时候，会让几乎每一个人参加到公司的年会表演中。在公司选拔几个活动爱好者，在网上找一些视频资料，然后大家就跟着练，在以前我们这些程序员几乎从来没有上过舞台，但在这家公司每个人都表演过N次，十几个大男人还表演过洋葱舞，画面太美现在都不敢回想。也正是这些活动增加了凝聚力，让我们这几十号人的团队之间都非常熟悉和紧密。 甚至我一度感觉，这样的公司比我老姐的公务员工作都轻松。 传奇老板 有的人会说，这样的公司文化，员工的工作效率会不会低，从我个人的角度来讲，效率并没有降低，反而开发出来的产品质量有保证，我正是在这家公司养成了良好的编程习惯和做事方式，这样的公司文化几乎都源自于我们的老板。 老板在我们公司也算是一个传奇人物，老板是西电毕业的硕士研究生，在上研究生的期间希望找一家IT公司来实习，投了简历就来到了我们的这家公司，那个时候公司也才成立没几年，公司一共才十几号人。老板就从实习生开始做起，到毕业后转正成为初级Java工程师，就这样一干就是十几年。 在公司的前十年，从一个实习生干到了西安分公司的老总，听说现在是西北地区的总监。比较具有人格魅力，擅长领导，对他印象最为深刻的画面就是，每次大家集体开会的时候，会这样讲：我们大家这段时间做的特别好，或者说XX最近又给了我们一大笔钱，暗语就是公司发展大好，也肯定了大家的成绩，几分钟之后真正的讲话才开始，我们还需要做的事情，需要改进的地方。 当我感觉一切都很美好的时候，突然发生了这么一件事情。那时候我和波仔刚入职半年多，有一天我正在工作，突然看见部门经理的MSN头像闪烁了起来，经理问了我一句，你还是单身吧，一个人住？我靠，什么情况，如果只是问我是否单身我会认为有可能给我介绍对象，但是问我是否一个人住是什么意思？紧接着又问了一句波仔也是单身吧？那时候我和波仔住在同一个房东下，都是单身狗。虽然我满腹疑惑，还是给经理回复了，是单身，一个人住。 聊天中，经理很委婉的告诉我和波仔，可能某一天需要我俩帮忙，我忙问要帮什么忙？部门经理说我们老板最近身体不太舒服，如果有需要的话，可能需要你或者波仔晚上和老板一起住到酒店，帮忙照看一下！我和波仔听到这个消息之后，紧急的讨论了起来，我们当时不知道老总的情况，但是感觉很怪异，还在邪恶的猜测老板会不会有特殊的癖好，还商量着到时候谁先去。 终于有一天晚上都九点多了，我和波仔在出租屋里闲聊，部门经理给波仔打了一个电话，说让一个人出来照顾一下老板，那次波仔英勇献身去了。第二天见到波仔问他，昨晚没有发生什么吧？波仔说，没有啊，老板晚上和我谈了很多人生和理想，收获颇多，我半信半疑。 但确认了老板的精神状态确实有点不太好。 一套拳法 好长一段时间老板都没有再找过我或者波仔晚上去陪陪他，以至于我和波仔都忘了有这件事。有一天我们全体员工收到了人事经理的邮件，公司有一个福利，老板亲自传授大家一套拳法，但是名额有限，预报从速，从小对我华武术感兴趣的我和波仔，第一时间报了名。到了第二周，老板来到了公司，人事将众多爱好者喊到了会议室，准备让老板给大家展示这套拳法。 这套拳法总共有十二式，老板一边给我们讲这套拳法的由来，一边打拳给我们演示，十二式一共走下来大概会有十几分钟，老板的头上已经出来一层密密麻麻的细汗。练习的时候，老板打开书来让我们看书中描述的拳法精要，里面还有一部分的文言文，但也大概能看得懂，这次演示完之后，老板定下来，每天下午四点到四点半教大家练习这套拳法。 报名参加学习这套拳法的同事大概有10人左右，会议室施展不开，我们就到西岳阁的楼顶，楼顶的内部刚好一个二三十平方米的一个空间，我们站在两边，老板在中间。每次打拳的时候，老板先让我们热身五分钟，要保证打拳开始前身体热起来，老板教我们打拳的时候很热情，也很认真，在打拳的过程中会对我们的动作做纠正，我也被纠正过好多次。大概教了我们十几次的时候，大家就大概掌握了打拳的技巧，那段时间我刚好脚崴了，不能打篮球，所以几乎每天都参加打拳活动。有时候西岳阁楼顶的门没有锁，楼顶种着好多花花绿绿的植物，我们几个就站在这些花草之间，打着拳法，那种感觉真的很奇妙。楼层比我们高的办公区上班族，有时候会好奇的将脖子伸出来看我们在楼顶干啥。 这套拳法只有十二式，招式不是特别的复杂，如果只是按照图或者视频教学的方法去打一遍，其实并没有太多的感触。打拳最重要的是气和意。气就是打拳的时候需要调整气息，呼吸和拳法需要保持一致，刚开始的时候老板为了让大家掌握，会呼出声来让大家学习；意就是想象，在打拳的时候需要想象自己身上所负载的力量。为了达到效果，我们每一式打六遍。 老板每次打拳完的时候，身上的汗水瀌瀌的往下流，一副很爽的感觉。我们刚开始打拳的时候没有太多的感觉，就是照猫画虎，跟着老板的样子学学，在老板的纠正下，慢慢的进入了节奏，从打完身上也热乎乎到后来一套拳打下会汗水淋漓。行、气、意、力都对的时候，效果最佳。 这套拳法就是易筋经，来源于少林寺，最初是由于僧人长期打坐会导致血液筋脉不通，因此创造了这套拳法用来活血化瘀，在实际的打拳中会发现，这套拳法对人的筋脉和身体柔韧性有非常好的锻炼。 在一次分享的时候，老板说这套拳法拯救了自己。 事情由来 我感觉老板也是一个性情中人，有感情有温度爱分享。当他觉得自己已经从这个过程中走出来后，给我们分享了他那段难忘的经历。 老板说他在33岁以前都非常非常的顺，感觉一切尽在掌控中，家庭、生活、职位、工作一切都顺风顺水，巅峰时刻觉得只要给他创造条件，原子弹也可以造出来。但是突然的有一天，自己感觉不太对，开始有点心慌气短，自己也么当回事，过了一段时间，发展为失眠，到后来整宿整宿的睡不着；最严重的时候会出现轻微的幻觉，夜晚害怕一个独处，人几乎崩溃，无法正常生活，也就是那个时候经理联系了我和波仔。 老板尝试了各种方法来解决，买了一些安眠药，去看了心理医生，在医院精神科挂了号，让老医生给开了药，折腾了几个月没有任何好转。人也折腾的几乎陷入绝境，但幸好老板人品好，人脉丰富，大家纷纷来想办法，后来有一个朋友就建议他去练太极拳，平稳下心性。老板想想都这样了，也么有什么好的办法，就去试试吧。 经过朋友的引荐，老板找到了一个练太极的前辈，一番交流下来，前辈直接把老板拒绝了。说像他这样的基础根本没法去学习太极拳法，根基太差，在老板非常失望的时候，前辈又对老板说，先给你介绍一套拳法，练练基础，等以后时机成熟了再说练太极的事情，于是前辈就给了老板这本泛黄的书籍，里面是拳法十二式详解。 这是一本比较老，但也不厚的一本书，估计是民国时期的版本，如果你去潘家园估计也能淘的到。书中招式描述倒不是太多，主要在讲气和意，也就是心法，描述在打拳的时候如何吸气，呼气，在做动作的时候你的脑海中需要意会的事情，正所谓眼随拳走，意由心生。 老板跟着老前辈练了一段时间，掌握拳法之后，每天早上上班前打一次，晚上睡觉前打一次。半年之后生活恢复了正常。 最后 武术到底是真还是假，前一段时间闹的沸沸扬扬，但以我的实践经验来讲，武术作为养生还是非常有益处的。老板的经历告诉我，其实人人都有最难的时刻，关键时期挺一挺就过去了，也许还会有意外的收获，看见不一样的景致。 在杀手不太冷的电影里面，小女孩和杀手有这么一段对话： Mathilda： Is life always this hard, or is it just when you're a kid? 玛蒂尔德：人生总是这么苦么，还是只有童年苦？ Léon： Always like this.一个 莱昂：总是这么苦。 喜欢我的文章，请关注我的公众号 作者：纯洁的微笑 出处：http://www.ityouknow.com/ 版权归作者所有，转载请注明出处 点赞 3 收藏 分享 文章举报 微笑很纯洁 博客专家 发布了293 篇原创文章 · 获赞 6965 ·

老板是我非常敬重的前领导之一，他的一些管理风格，也影响了后来我对技术团队的管理。就是这样一个非常令人尊敬的领导，为什么会有这么过分的要求，请允许我先卖个关子，接下来就会知道。 理想企业 什么是程序员理想的IT企业？公司里面有良好的同事关系，合理的产品需求和开发进度，最好老板懂点编程，这样公司更有工程师文化。稍微总结一下就是，有活干、有钱拿、不憋屈，其实技术人员不就要求这么点事吗，但往往这些也并不简单。 我在西安的时候就遇到这么一个小而美的公司，同事之间的关系非常好，每次下来的需求都比较合理，几乎没有太加过班。公司一共50多人，其中就一个人事、一个行政、一个老板助理，其它貌似都是技术人员了，其中大部分的同事都是程序员。上班的时候非常的安静，大家都安心写自己的代码，中午有空大家还可以一起玩玩篮球，聊聊天，每天的下午4点到4点半有半个小时的活动时间，刚开始是做体操，后来发展成各种活动。周末几乎没有加过班，同事之间还会组织活动，不是爬山就是腐败，反正是其乐融融。 每一个入职面试的员工都需要做一个PPT，用十几分钟的时间来讲一下自己对做过项目的理解，考察面试者的综合能力。公司没有产品经理，测试不但要测试软件，也需要整理需求、写测试用例、进行测试，有时候还包括实施，所以在这家公司出了好几个对产品、测试都很牛逼的人物。 每次过节，公司几乎都会组织个聚餐，让大家组织一些表演，这里的大家是指部门所有的程序员，特别是年会的时候，会让几乎每一个人参加到公司的年会表演中。在公司选拔几个活动爱好者，在网上找一些视频资料，然后大家就跟着练，在以前我们这些程序员几乎从来没有上过舞台，但在这家公司每个人都表演过N次，十几个大男人还表演过洋葱舞，画面太美现在都不敢回想。也正是这些活动增加了凝聚力，让我们这几十号人的团队之间都非常熟悉和紧密。 甚至我一度感觉，这样的公司比我老姐的公务员工作都轻松。 传奇老板 有的人会说，这样的公司文化，员工的工作效率会不会低，从我个人的角度来讲，效率并没有降低，反而开发出来的产品质量有保证，我正是在这家公司养成了良好的编程习惯和做事方式，这样的公司文化几乎都源自于我们的老板。 老板在我们公司也算是一个传奇人物，老板是西电毕业的硕士研究生，在上研究生的期间希望找一家IT公司来实习，投了简历就来到了我们的这家公司，那个时候公司也才成立没几年，公司一共才十几号人。老板就从实习生开始做起，到毕业后转正成为初级Java工程师，就这样一干就是十几年。 在公司的前十年，从一个实习生干到了西安分公司的老总，听说现在是西北地区的总监。比较具有人格魅力，擅长领导，对他印象最为深刻的画面就是，每次大家集体开会的时候，会这样讲：我们大家这段时间做的特别好，或者说XX最近又给了我们一大笔钱，暗语就是公司发展大好，也肯定了大家的成绩，几分钟之后真正的讲话才开始，我们还需要做的事情，需要改进的地方。 当我感觉一切都很美好的时候，突然发生了这么一件事情。那时候我和波仔刚入职半年多，有一天我正在工作，突然看见部门经理的MSN头像闪烁了起来，经理问了我一句，你还是单身吧，一个人住？我靠，什么情况，如果只是问我是否单身我会认为有可能给我介绍对象，但是问我是否一个人住是什么意思？紧接着又问了一句波仔也是单身吧？那时候我和波仔住在同一个房东下，都是单身狗。虽然我满腹疑惑，还是给经理回复了，是单身，一个人住。 聊天中，经理很委婉的告诉我和波仔，可能某一天需要我俩帮忙，我忙问要帮什么忙？部门经理说我们老板最近身体不太舒服，如果有需要的话，可能需要你或者波仔晚上和老板一起住到酒店，帮忙照看一下！我和波仔听到这个消息之后，紧急的讨论了起来，我们当时不知道老总的情况，但是感觉很怪异，还在邪恶的猜测老板会不会有特殊的癖好，还商量着到时候谁先去。 终于有一天晚上都九点多了，我和波仔在出租屋里闲聊，部门经理给波仔打了一个电话，说让一个人出来照顾一下老板，那次波仔英勇献身去了。第二天见到波仔问他，昨晚没有发生什么吧？波仔说，没有啊，老板晚上和我谈了很多人生和理想，收获颇多，我半信半疑。 但确认了老板的精神状态确实有点不太好。 一套拳法 好长一段时间老板都没有再找过我或者波仔晚上去陪陪他，以至于我和波仔都忘了有这件事。有一天我们全体员工收到了人事经理的邮件，公司有一个福利，老板亲自传授大家一套拳法，但是名额有限，预报从速，从小对我华武术感兴趣的我和波仔，第一时间报了名。到了第二周，老板来到了公司，人事将众多爱好者喊到了会议室，准备让老板给大家展示这套拳法。 这套拳法总共有十二式，老板一边给我们讲这套拳法的由来，一边打拳给我们演示，十二式一共走下来大概会有十几分钟，老板的头上已经出来一层密密麻麻的细汗。练习的时候，老板打开书来让我们看书中描述的拳法精要，里面还有一部分的文言文，但也大概能看得懂，这次演示完之后，老板定下来，每天下午四点到四点半教大家练习这套拳法。 报名参加学习这套拳法的同事大概有10人左右，会议室施展不开，我们就到西岳阁的楼顶，楼顶的内部刚好一个二三十平方米的一个空间，我们站在两边，老板在中间。每次打拳的时候，老板先让我们热身五分钟，要保证打拳开始前身体热起来，老板教我们打拳的时候很热情，也很认真，在打拳的过程中会对我们的动作做纠正，我也被纠正过好多次。大概教了我们十几次的时候，大家就大概掌握了打拳的技巧，那段时间我刚好脚崴了，不能打篮球，所以几乎每天都参加打拳活动。有时候西岳阁楼顶的门没有锁，楼顶种着好多花花绿绿的植物，我们几个就站在这些花草之间，打着拳法，那种感觉真的很奇妙。楼层比我们高的办公区上班族，有时候会好奇的将脖子伸出来看我们在楼顶干啥。 这套拳法只有十二式，招式不是特别的复杂，如果只是按照图或者视频教学的方法去打一遍，其实并没有太多的感触。打拳最重要的是气和意。气就是打拳的时候需要调整气息，呼吸和拳法需要保持一致，刚开始的时候老板为了让大家掌握，会呼出声来让大家学习；意就是想象，在打拳的时候需要想象自己身上所负载的力量。为了达到效果，我们每一式打六遍。 老板每次打拳完的时候，身上的汗水瀌瀌的往下流，一副很爽的感觉。我们刚开始打拳的时候没有太多的感觉，就是照猫画虎，跟着老板的样子学学，在老板的纠正下，慢慢的进入了节奏，从打完身上也热乎乎到后来一套拳打下来汗水淋漓。行、气、意、力都对的时候，效果最佳。 这套拳法就是易筋经，来源于少林寺，最初是由于僧人长期打坐会导致血液筋脉不通，因此创造了这套拳法用来活血化瘀，在实际的打拳中会发现，这套拳法对人的筋脉和身体柔韧性有非常好的锻炼。 在一次分享的时候，老板说这套拳法拯救了自己。 事情由来 我感觉老板也是一个性情中人，有感情有温度爱分享。当他觉得自己已经从这个过程中走出来后，给我们分享了他那段难忘的经历。 老板说他在33岁以前都非常非常的顺，感觉一切尽在掌控中，家庭、生活、职位、工作一切都顺风顺水，巅峰时刻觉得只要给他创造条件，原子弹也可以造出来。但是突然的有一天，自己感觉不太对，开始有点心慌气短，自己也么当回事，过了一段时间，发展为失眠，到后来整宿整宿的睡不着；最严重的时候会出现轻微的幻觉，夜晚害怕一个独处，人几乎崩溃，无法正常生活，也就是那个时候经理联系了我和波仔。 老板尝试了各种方法来解决，买了一些安眠药，去看了心理医生，在医院精神科挂了号，让老医生给开了药，折腾了几个月没有任何好转。人也折腾的几乎陷入绝境，但幸好老板人品好，人脉丰富，大家纷纷来想办法，后来有一个朋友就建议他去练太极拳，平稳下心性。老板想想都这样了，也么有什么好的办法，就去试试吧。 经过朋友的引荐，老板找到了一个练太极的前辈，一番交流下来，前辈直接把老板拒绝了。说像他这样的基础根本没法去学习太极拳法，根基太差，在老板非常失望的时候，前辈又对老板说，先给你介绍一套拳法，练练基础，等以后时机成熟了再说练太极的事情，于是前辈就给了老板这本泛黄的书籍，里面是拳法十二式详解。 这是一本比较老，但也不厚的一本书，估计是民国时期的版本，如果你去潘家园估计也能淘的到。书中招式描述倒不是太多，主要在讲气和意，也就是心法，描述在打拳的时候如何吸气，呼气，在做动作的时候你的脑海中需要意会的事情，正所谓眼随拳走，意由心生。 老板跟着老前辈练了一段时间，掌握拳法之后，每天早上上班前打一次，晚上睡觉前打一次。半年之后生活恢复了正常。 最后 武术到底是真还是假，前一段时间闹的沸沸扬扬，但以我的实践经验来讲，武术作为养生还是非常有益处的。老板的经历告诉我，其实人人都有最难的时刻，关键时期挺一挺就过去了，也许还会有意外的收获，看见不一样的景致。 在杀手不太冷的电影里面，小女孩和杀手有这么一段对话： Mathilda： Is life always this hard, or is it just when you're a kid? 玛蒂尔德：人生总是这么苦么，还是只有童年苦？ Léon： Always like this. 莱昂：总是这么苦。 推荐阅读： 你看那个人他像一条狗 思维的局限 100万可以把生活过的更好吗？ 点赞 收藏 分享 文章举报 微笑很纯洁 博客专家 发布了293 篇原创文章 · 获赞 6965 ·

AD9中更改PCB的视角 切换到3D（view–>switch To 3D）视图，然后点击 view–>Orthogonal Rotation,然后在切换到2D视图（view–>switch To 2D）

使用环境： 时间选择器。 第一步： 打开\system\csc\others.xml文件，删除以下代码： ChinaNalSecurity 可能需要找一会才能找到,一般位于底部.建议先从底部开始找 第二步：删除以下两个apk 位置在\system\app\ AutoRunChecker.apk ApplicationPermissions.apk 然后重启就好了 成功了请告诉我 谢谢 本人亲测自己的I9500完美成功

游戏安全资讯精选 摘要： 游戏账号窃取日益猖獗，2017世界物联网博览会IoT安全观点 【每周游戏行业DDoS态势】 【游戏安全动态】 游戏账号窃取日益猖獗，游戏运维人员如何做好防范？点击查看原文 概要：盗取游戏账号主要目的是获取个人信息在暗网售卖，并且用账号、虚拟货币、虚拟装备来盈利，这也意味着，游戏行业越发达，安全风险也就越高，因为攻击者的盈利空间越大。 作为游戏公司，可定期引导玩家去检查自己的账户密码是否受到数据泄露的影响；如果遇到游戏账号丢失或大面积被窃取，游戏公司需要尽快做好沟通；安全运维人员要随时关注登录游戏的活跃IP，如果遇到IP增加的情况，则需要及时提防响应；同时需要为安全准备相应的资源，安全产品能灵活扩展很重要；最后，通过序列号，个人信息验证机制，来确保玩家身份的真实性。 【相关安全事件】 Struts2 REST插件远程执行命令漏洞全面分析。点击查看原文 概要：2017年9月5日，Apache Struts 2官方发布一个严重级别的安全漏洞公告，该漏洞由国外安全研究组织http://lgtm.com的安全研究人员发现，漏洞编号为CVE-2017-9805（S2-052）。 点评：当Struts2使用REST插件使用XStream的实例xstreamhandler处理反序列化XML有效载荷时没有进行任何过滤，可以导致远程执行代码，攻击者可以利用该漏洞构造恶意的XML内容获取服务器权限。 建议运维人员或开发人员尽快关注并资产，可以检查使用了REST插件Struts版本是否在受影响范围内。如果存在，建议您尽快按照以下方式修复漏洞。 目前官方已经发布补丁，建议升级到 Apache Struts2.5.13、Apache Struts 2.3.34版本。阿里云云盾WAF已发布该漏洞规则，用户可以通过WAF，对利用该漏洞的攻击行为进行检测和防御，最大程度减少安全风险。 【云上视角】 2017世界物联网博览会：IoT安全观点。点击查看原文 概要：9月10日，2017世界物联网博览会在江苏无锡拉开帷幕，阿里巴巴集团携阿里云IoT及蚂蚁金服参会在9月11日的安全智能高峰论坛上，三位阿里巴巴的IoT安全研究者：阿里云首席安全科学家吴翰清，阿里巴巴资深IoT安全专家谢君，和阿里巴巴集团安全部安全研究专家王康，从趋势和技术两个角度，分享物联网给我们带来的价值，以及如何才能构筑安全、可信、在线的物联网。 吴翰清提出，物联网的未来价值在于连接与在线；端、连接和云；IoT作为基础设施的三大支柱；与变革同时而来的是风险。庞大的数据量，实时的交换，如何对这些在线的数据做管控，是物联网安全的关键。 金融安全资讯精选 摘要： 美国信用评分公司Equifax 泄漏 1.43 亿用户数据，Struts2 REST插件远程执行命令漏洞全面分析，阿里云护航金砖五国大会 【金融安全动态】 美国信用评分公司Equifax 被攻击，泄漏 1.43 亿用户数据。点击查看原文 概要：泄露的信息包括用户社会安全码、驾照信息、生日信息、信用卡数据等。据SEC（U.S. Securities and Exchange Commission）的文件，三位Euifax董事已经售出了“一小部分”所持股票。Equifax 称黑客利用了 Web 应用的漏洞访问了某些文件，Apache Struts 受到的怀疑最多。Apache Struts 项目今年爆出了两个漏洞，一个是在 3 月，另一个就是在上周。Apache本周对此发表了澄清声明，称在接到漏洞报告之后，已经尽快修复了漏洞。 点评：令人恐慌的，不仅仅是泄露规模之大，和被泄露信息的“隐私”程度，更是因为Equifax是全美最权威的信用评分公司之一，却在网络攻击中“信用彻底崩塌”。随着针对性攻击变本加厉，信息泄露事件会更加频繁，以法律和标准来保护个人信息安全是必然，政府、金融等行业，也需要承担更大的安全责任。 有理由推断，该事件有可能成为近年来在广度和深度上最严重的数据泄露事件之一。根据国外法律，当隐私违规使得消费者利益受影响，FTC（Federal Trade Commission）有可能会予以20年审计的处罚，另可能涉及不同州的州际法律，对数据泄露的要求和惩罚。 在信用业务管理和信息安全技术方面，无论是市场成熟度还是政府监管，美国都有很多成熟的经验。但从此次事件的体量、发生原因和高层的表现来看，很多大型企业在技术，内部安全管理方面都缺乏应有的态度和经验。尤其在安全治理层面。从另一个角度来说，通过法律和监管措施去推动企业提升安全管理水平才是长远之计。在国内，等级保护制度就是一个很好的方式，企业可通过“过等保”这个过程，沉淀出企业安全管理的方法论，从事后亡羊补牢，转换成事前风控，从根源上缓解安全风险。 【相关安全事件】 Struts2 REST插件远程执行命令漏洞全面分析。点击查看原文 概要：2017年9月5日，Apache Struts 2官方发布一个严重级别的安全漏洞公告，该漏洞由国外安全研究组织http://lgtm.com的安全研究人员发现，漏洞编号为CVE-2017-9805（S2-052）。 点评：当Struts2使用REST插件使用XStream的实例xstreamhandler处理反序列化XML有效载荷时没有进行任何过滤，可以导致远程执行代码，攻击者可以利用该漏洞构造恶意的XML内容获取服务器权限。 建议运维人员或开发人员尽快关注并资产，可以检查使用了REST插件Struts版本是否在受影响范围内。如果存在，建议您尽快按照以下方式修复漏洞。 目前官方已经发布补丁，建议升级到 Apache Struts2.5.13、Apache Struts 2.3.34版本。阿里云云盾WAF已发布该漏洞规则，用户可以通过WAF，对利用该漏洞的攻击行为进行检测和防御，最大程度减少安全风险。

本系列文章由zhmxy555编写，转载请注明出处。 http://blog.csdn.net/zhmxy555/article/details/7422922 作者：毛星云 邮箱： [email protected] 欢迎邮件交流编程心得 我们知道，Visual C++中的CBitmap类的功能简直太弱小了，这曾经让Visual C++在图像处理方面的功能比较尴尬。之前笔记里面，我们采用的CBitmap配合GDI进行透明图像的处理有些晦涩繁琐，而且受到图像素材的限制，可以说是有些落后，不是太实用。 为了解决这个问题，这节笔记我们将系统的学习MFC和ATL中新增一个图像处理的类，它就是华丽而强大的CImage类。 由于本节笔记是对CImage类的一个非常系统近乎完全的介绍，我尽量让它涵盖到了CImage类的所有的属性和类成员，所以 篇幅也许比以往的笔记内容都长，里面的不少内容是用到的时候才需要掌握或者查阅的，并不用强行记忆。 一，概念讲解部分 1.CImage类的定位和概述 首先，我们简单介绍一下CImage类的定位。 CImage是MFC和ATL共享的新类，它提供了增强的位图支持，包括加载、保存和转换JPEG，BMP，GIF，PNG图像格式的能力。可以说是微软意识到了CBitmap的不足，然后推出了一个CBitmap的增强版。使用CImage类，需在代码头部加入包含atlimage.h文件，即添加代码#include “atlimage.h”。 由于CImage拥有功能强大的类成员函数的支持，它便具有了下列四个比较出彩的特性： 1、AlphaBlend支持像素级的颜色混合，从而实现透明和半透明的效果。 2、PlgBlt能使一个矩形区域的位图映射到一个平行四边形区域中，而且还可能使用位屏蔽操作。 3、TransparentBlt在目标区域中产生透明图像 4、MaskBlt在目标区域中产生源位图与屏蔽位图合成的效果。 2.以CImage类做媒，让CBitmap类也能处理丰富的图片格式 解决的思路比较明朗，我们采用CImage类的Load函数加载图片，之后用Detch取得HBITMAP的句柄，然后再将此句柄附加给CBitmap的对象就行了。 这样就实现了让CBitmap类也可以操作JPG/JPEG/GIF/PNG格式的图片。 具体代码如下： [cpp] view plain copy #include “atlimage.h” CImage image； //定义一个CBitmap类 image.Load（“filename”）； //filename为要加载的文件地址 HBITMAP hBitmap=image.Detach(); //返回被分离的图片的句柄 CBitmap bmp; // 定义一个bitmap bmp.Attach(hBitmap); //进行句柄的附加 然后就可以用CBitmap进行余下的操作了。 3.CImage额外的一些性质 CImage类对于DIB（device-independent bitmap）设备无关位图文件和非DIB都可以处理。我们可以通过Create函数或者CImage：：Load来处理DIB部分，用Attach函数来将非DIB部分附加到一个CImage对象上。 对于以下函数，只支持DIB部分的位图文件，他们是： GetBitsGetColorTable，GetMaxColorTableEntries，GetPitch，GetPixelAddress，IsIndexed，SetColorTable。 我们可以通过CImage类中的IsDIBSection（）函数来帮助我们判断一个位图文件是否为DIB部分，其定义如下： [cpp] view plain copy bool IsDIBSection( ) const throw( ); //如果返回值为true，则该文件为DIB；返回flase则不是DIB文件 我们需要注意的是，CImage不能被选到一个新的CDC（ class of device-context设备描述表的类），CImage会为图像创建自己的HDC（设备描述表DC的句柄）。因为一个HBITMAP只能被选入到一个HDC中一次，也就是说这个与CImage相关的HBITMAP不能被选到一个其他的HDC中。

原文链接： https://yq.aliyun.com/articles/216647 本文讲的是 暗影追踪：是谁入侵了近百万台路由器，让德国电信全网宕机， 2017年2月，英国国家犯罪局（NCA）在伦敦机场逮捕一名29岁的英国嫌疑人， 涉嫌攻击2016年11月底德国的90万个路由器。根据披露的信息，本次攻击疑似为Mirai变种导致，分析人员在相关感染的样本中发现了与Mirai相同的代码。但与Mirai不同的特征在于，Mirai在进行感染传播的过程中，会对目标的23和2323端口进行扫描，而这次的样本是针对目标的7547端口进行扫描。我们捕获到了与此次攻击类似的样本并对其进行详细分析。 虽然目前调查人员还没有公布这名男子的名字，但在一份声明中，德国警方介绍到，本次攻击的这些僵尸主控机在黑市中都能买得到，所以媒体暂时将该男子成为“Bestbuy”。本文就为大家深扒一下这些售卖物联网设备信息的黑市。 译者注：百思买集团(Best Buy),全球最大家用电器和电子产品零售集团。 安全公司Tripwire发布了一份对Mirai攻击的研究报告，报告指出绑定到用于协调僵尸网络活动的服务器的域名被已不同的身份注册，且注册人的居住地为以色列的一个街道地址。 据多家安全公司的研究，负责德意志电信中断的Mirai僵尸网络会通过互联网地址62.113.238.138的服务器进行控制。其中Farsight安全公司发现，那些域名会在不同的时间段映射到不同的互联网地址，报告说这个地址只对应九个域名。 可以看出，与Mirai无关的唯一一个域名是dyndn-web.com，根据BlueCoat（现为赛门铁克）的2015年报告，该域名就是从GovRAT处买来的。GovRAT是一个给恶意软件签署数字签名证书的平台，而里面的数字证书最初在Tor网络黑市TheRealDeal上销售。GovRAT可以使用Microsoft SignTool、WinTrust、Authenticode技术等，对恶意代码进行数字签名。GovRAT目前的买家除了具有政府性质的APT组织，还有100多家公司。 来自安全公司InfoArmor的报告也显示，当在GovRAT上进行交易的时候，卖家会将自己称为“BestBuy”或“Popopret”。 以上是黑客“bestbuy”在黑市的网络论坛“Hell”上出售他的GovRAT木马截图：InfoArmor。 GovRAT自从至少2014年以来就一直在各种恶意软件和漏洞利用相关的网站上销售。例如，今天的oday[dot]today，GovRAT由一个昵称Spdr的用户销售，所使用的电子邮件地址为spdr01@gmail .COM。 回想一下，用于攻击德国电信的Mirai僵尸网络的域名在域名注册记录中都有一些特定的形式。另外，用于管理GovRAT木马的控制器和那个Mirai的僵尸网络同时在同一个服务器上托管。 根据InfoArmor的另一份报告，GovRAT也被一起出售，且允许任何人使用从合法公司窃取的代码签名证件对恶意软件进行数字签名。 InfoArmor表示，目前所发现的数字签名已发布给开放源代码的开发商Singh Aditya，使用电子邮件地址为[email protected]。 有趣的是，这[email protected]和[email protected] 两个电子邮件地址都连接到vDOS上类似命名的用户帐户，这是近年来最大的DDoS出租服务。 去年夏天，vDOS遭到大规模的黑客攻击，之后其用户和付款数据库被泄露了出来。泄露的数据库显示，这两个电子邮件地址都绑定到名为“bestbuy”（bestbuy和bestbuy2）的vDOS上的帐户。 Spdr01在恶意软件和漏洞利用网站上的GovRAT木马的销售列表显示他使用电子邮件地址[email protected] 泄露的vDOS数据库还包含vDOS客户用于登录攻击目的服务的互联网地址的详细记录。这些日志显示，英国和香港的多个不同的IP地址重复登录了bestbuy和bestbuy2帐户。 vDOS的技术支持日志表明，vDOS数据库显示两个名为“bestbuy”的不同帐户的原因是vDOS管理员在看到登录到英国和香港的帐户之后，禁止原始“bestbuy”帐户。 原始“bestbuy”帐户向vDOS管理员表示，他确实没有将账户共享。 上述数据中的一些线索表明，对这两个Mirai僵尸网络和GovRAT负责的人都与以色列有联系。一方面，电子邮件地址[email protected]注册了至少三个域名，所有这些域名都绑在以色列的一个地址。此外，在几个黑市的网站信息中，可以看出“bestbuy”询问是否有任何关于以色列域名的信息。 虽然目前对绑在[email protected]上的域名还没有什么调查结果，但是，似乎昵称“spdr01”和电子邮件[email protected]早在2008年被以色列黑客论坛和IRC聊天室Binaryvision.co.il的核心成员使用。 访问该用户的Binaryvision页面，我们可以看到Spdr是一名擅长技术的用户，他撰写了几篇有关网络安全漏洞和移动网络安全性的文章。 本文的作者与Binaryvision的多位会员取得联系，并询问有人是否仍然与Spdr保持联系。其中一位会员说，他觉得Spdr持有以色列和英国双重国籍，现在大约30岁。另外还有人说Spdr最近刚刚结婚。 但是，对这些用户的社交网络帐户进行一些搜索可以发现，上述描述都很靠谱。一个叫Daniel Kaye的用户在Facebook的别名为“DanielKaye.il”（.il是以色列的顶级国家代码域），Kaye先生现在已经29岁了，与他结婚的名叫凯瑟琳的女人在英国。 Kaye的Facebook个人资料中的背景图片是香港的照片。 本文作者在Domaintools.com 上，以“Daniel Kaye”的名称进行了“reverse WHOIS”搜索，并在其中显示了103个当前和历史名称的域名记录。其中Cathyjewels[dot]com域名似乎只绑在了一个英国的自制珠宝店的地址。 Cathyjewels [dot] com于2014年注册于英国Egham的Daniel Kaye，使用的电子邮件地址为[email protected]。于是本文作者决定通过Socialnet运行这个电子邮件地址，Socialnet运是一个用于数据分析工具Maltego的插件，Maltego是一款十分适合渗透测试人员和取证分析人员的优秀工具,其主要功能是开源情报收集和取证。一番分析表明这个电子邮件地址与Gravatar的一个帐户相关联，这个账户允许用户在多个网站上使用相同的头像，比如Spdr01。 当搜索电子邮件地址[email protected]时，来自Maltego的Socialnet插件的显示Daniel Kaye没有收到多个通过Facebook发送的评论请求以及本文提到的各种电子邮件地址。 如果有人想继续这项研究，则可以根据本文作者提供的思维导图接着进行。 原文发布时间为：2017年7月8日 本文作者：xiaohui 本文来自云栖社区合作伙伴嘶吼，了解相关信息可以关注嘶吼网站。 原文链接

1.今天我们来讲下一个非常有用的东西，代理ip池，结果就是一个任务每隔一定时间去到 目标ip代理提供网站（www.bugng.com）去爬取可用数据存到mysql数据库，并且检测数据库已有数据是否可用，不可用就删除。 2. 编写 提取代理ip到数据库 的爬虫 2.1准备mysql表 CREATE TABLE `t_ips` ( `id` int(10) NOT NULL AUTO_INCREMENT COMMENT '主键', `ip` varchar(15) COLLATE utf8_unicode_ci DEFAULT NULL COMMENT 'ip', `port` int(10) NOT NULL COMMENT 'port', `type` int(10) NOT NULL DEFAULT '0' COMMENT '0:http 1:https', PRIMARY KEY (`id`) ) ENGINE=InnoDB AUTO_INCREMENT=421 DEFAULT CHARSET=utf8 COLLATE=utf8_unicode_ci COMMENT='ip表'; 2.2创建爬虫工程，编写items.py(对应数据库的字段) import scrapy class IpsItem(scrapy.Item): # define the fields for your item here like: # name = scrapy.Field() ip = scrapy.

原文链接： https://yq.aliyun.com/articles/215779 本文讲的是 Tor也加入了漏洞奖励计划，悬赏4000美元挖漏洞， 前言 网络黑客猖狂的时代，很多组织除了利用自己的内部资源来完善产品外，还会发动群众（比如白帽子和技术达人）来从外部监控替自己解决问题（比如及时发现和处理潜在安全漏洞）。 这次，技术达人发财的机会又来了。近期，Tor项目组对外宣布，他们正式启动了“Tor漏洞奖励计划”。 Tor漏洞奖励计划 Tor项目组将与HackerOne共同开启一个公开漏洞奖励计划，其目的就是利用该计划发动广大高手专家找出可能会影响Tor的安全漏洞。 HackerOne是一个总部位于美国旧金山的漏洞众测公司，公司分部位于荷兰格罗宁根。多家世界知名技术公司都使用HackerOne平台，如Yahoo、Twitter、Adobe、Uber、facebook等。目前，HackerOne平台注册黑客共3000多人来自150多个国家，漏洞众测合作企业达500多家。HackerOne是最早接受并利用黑客开展商业模式的公司之一。 其实早在2015年的十二月，Tor项目组就在CCC（混沌计算俱乐部及混沌通讯会议）上对外宣布他们将启动公开漏洞奖励计划。 漏洞奖金 根据Tor项目组公布的漏洞奖励计划，最低奖金为100美元，中危安全漏洞的奖金在500美元到2000美元之间，高危安全漏洞的奖金在2000美元到4000美元之间。 作为一个非营利性组织，Tor项目组都是由一些志愿者来维护的，其主要资金来源都是来自Google和Knight基金会等大型公共机构。 Tor的用户们，既是人权捍卫者、社会活动家、律师、研究人员、以及所有希望通过Tor匿名网络来保护自己隐私安全人们的天堂，也是极端分子的联络站、垃圾邮件的生产基地、武器交易站、儿童色情网站……的“罪恶天堂”。 所以对于Tor是否应该像主流企业那样公开实行漏洞奖励，一直存有争议。不过鉴于近几年Tor网络中存在的安全漏洞，以及Tor流量被人为的监控、追踪或攻击。Tor项目组决定紧随潮流来提升Tor的隐私性。 比如早在2015年，美国联邦调查局就专门给卡内基梅隆大学的研究人员提供了一百万美元的研究资金来找出Tor网络中的安全漏洞以帮助他们找到犯罪嫌疑人的真实IP地址。 原文发布时间为：2017年7月24日 本文作者：luochicun 本文来自云栖社区合作伙伴嘶吼，了解相关信息可以关注嘶吼网站。 原文链接

原文链接： https://yq.aliyun.com/articles/204550 【每周游戏行业DDoS态势】 【游戏安全动态】 游戏账号窃取日益猖獗，游戏运维人员如何做好防范？点击查看原文 概要：盗取游戏账号主要目的是获取个人信息在暗网售卖，并且用账号、虚拟货币、虚拟装备来盈利，这也意味着，游戏行业越发达，安全风险也就越高，因为攻击者的盈利空间越大。 作为游戏公司，可定期引导玩家去检查自己的账户密码是否受到数据泄露的影响；如果遇到游戏账号丢失或大面积被窃取，游戏公司需要尽快做好沟通；安全运维人员要随时关注登录游戏的活跃IP，如果遇到IP增加的情况，则需要及时提防响应；同时需要为安全准备相应的资源，安全产品能灵活扩展很重要；最后，通过序列号，个人信息验证机制，来确保玩家身份的真实性。 【相关安全事件】 Struts2 REST插件远程执行命令漏洞全面分析。点击查看原文 概要：2017年9月5日，Apache Struts 2官方发布一个严重级别的安全漏洞公告，该漏洞由国外安全研究组织lgtm.com的安全研究人员发现，漏洞编号为CVE-2017-9805（S2-052）。 点评：当Struts2使用REST插件使用XStream的实例xstreamhandler处理反序列化XML有效载荷时没有进行任何过滤，可以导致远程执行代码，攻击者可以利用该漏洞构造恶意的XML内容获取服务器权限。 建议运维人员或开发人员尽快关注并资产，可以检查使用了REST插件Struts版本是否在受影响范围内。如果存在，建议您尽快按照以下方式修复漏洞。 目前官方已经发布补丁，建议升级到 Apache Struts2.5.13、Apache Struts 2.3.34版本。阿里云云盾WAF已发布该漏洞规则，用户可以通过WAF，对利用该漏洞的攻击行为进行检测和防御，最大程度减少安全风险。 【云上视角】 2017世界物联网博览会：IoT安全观点。点击查看原文 概要：9月10日，2017世界物联网博览会在江苏无锡拉开帷幕，阿里巴巴集团携阿里云IoT及蚂蚁金服参会在9月11日的安全智能高峰论坛上，三位阿里巴巴的IoT安全研究者：阿里云首席安全科学家吴翰清，阿里巴巴资深IoT安全专家谢君，和阿里巴巴集团安全部安全研究专家王康，从趋势和技术两个角度，分享物联网给我们带来的价值，以及如何才能构筑安全、可信、在线的物联网。 吴翰清提出，物联网的未来价值在于连接与在线；端、连接和云；IoT作为基础设施的三大支柱；与变革同时而来的是风险。庞大的数据量，实时的交换，如何对这些在线的数据做管控，是物联网安全的关键。 查看其它行业资讯 金融安全资讯精选 2017年第七期：Equifax 泄漏 1.43 亿用户数据，Struts2 REST插件远程执行命令漏洞全面分析，阿里云护航金砖五国大会 往期回顾 游戏安全资讯精选 2017年 第六期：Akamai报告称游戏是流量型攻击的主要受害者，英国二手游戏经销商CeX漏洞遭利用，MongoDB等数据服务被劫持勒索风险预警，网络安全上榜五大稀缺职业 期待听到您的反馈 金融、政府、游戏安全资讯精选会通过云栖社区专栏， 阿里云安全微信和微博，每周与您见面。 如果您是阿里云用户， 也欢迎通过邮件、钉钉公众号查看本周行业资讯。