这是今天早上到公司后刚开始写了几句话的日记，马上就去开会了。一忙就是一整天，现在吃过晚饭闲了，遗憾的是却接不下去了——思路打断了，很难再有当时那一刻的情绪。

      又是一个早晨。刷完牙来到客厅，LP正在厨房给我弄咖啡，而我们的肉松蛋糕早已摆放在了餐桌上。阳光，刚好走过我们的窗前，给LP的头发染上金色再撒到我的身边。新的一天开始了，而明天，就是我们结婚满一周年的日子了。细想起来，我和我家LP认识已经九年了，即将步入第十个年头。这些年来，一直是她陪着我走过各个城市，吹过北方的风沙，也领略过江南的细雨。翻翻以前的日记，看着往日的喜和乐，点点滴滴都在眼前，我们的欢笑，我们的眼泪……

      也许现在到了好好安定的时候了，让她不再跟着我一路辛苦。

A book about the Unix Way and its power, http://mercury.ccil.org/~cowan/upc/

The route you can traverse
  isn't a static route.
The name you can dereference
  isn't a universal name.

Namelessness is the root of everything.
Names are the mother of everything.

Therefore,
  the unchanging, seen from outside the box,
    reveals its inner nature;
  the unchanging, seen from inside the box,
    reveals its outer form.

These two are alike in origin,
  but different in name.
Their unity is called "the mystery".

Mystery of all mysteries,
  the gate to all wonders.

      nmap早些时候支持率lua扩展，wireshark也支持lua扩展。今天无意中发现连google输入法都支持lua写扩展了，也许可以去做一个安全人员使用的lua扩展，在敲入XSS的时候自动变成XSS（跨站脚本攻击）？BTW，在本机搜索lua的时候，发现阿里旺旺也带有一个lua51.dll，莫非也有类似的计划？

      其实nmap和wireshark支持lua的意义还是很大的。借助nmap强大的指纹识别能力，通过开源的扩展包逐步增强功能，这样nmap与扩展包就形成了类似latex与宏包的关系。也许不久的将来能够取代nessus，毕竟nessus闭源了，而且商业使用也不再免费。同样的，对于wireshark来说，lua扩展能够对应用层的协议做更细致的解码和一些定制的统计汇总，对于攻击分析等方面的事情也会有很大的帮助。

      总的来说，nmap和wireshark还是大有可为的，至少在工作中帮了我不少忙。

      今天无意中得到一个可以无限解压缩的ZIP包，很有意思。如果是比较愚蠢一些的病毒网关或者杀毒软件，可能会发生死循环的事情。

      http://www.icylife.net/yunshu/attachments/droste.zip

      摘要：sowhat大牛今天介绍了国外一 种的新的针对TLS/SSL3.0的攻击方式，貌似关注的人不多，所以我特地看了一下那个PDF，稍微八卦一下。

      "So you wanna build your own massively distributed password cracking infrastructure? Electric Alchemy has published a writeup detailing their experiences cracking PGP ZIP archives using brute force computing power provided by Amazon EC2 and a distributed password cracker from Elcomsoft."

      http://it.slashdot.org/story/09/11/03/0053230/Cracking-PGP-In-the-Cloud

      这几天有几个大牛在讨论SDL方面的东西，我刚好略微知道一点，所以就分别回复了两个人的博客。不过不巧的是，我在其中一个博客上发的那个略带讨论性质的回复今天早上不见了，我也没备份，所以只能在自己的页面再说几句，还请大牛不要见怪。

      可能是因为很多大牛一般都在乙方做漏洞挖掘漏洞研究做得比较多，精通各种奇妙的攻击方式而对一些整体性质的防御策略涉及偏少，所以对SDL的 理解不是特别的准确。SDL并不是一个简单的直接在编码过程中对照着编码的规范，告诉你不能使用什么API函数，不能使用什么API函数。 Security Development Lifecycle是一个比较抽象一些的方法论，让我们可以按照这个指导思想去设计去实现。它是一个流程，是一种思路，一种容器。不仅仅针对溢出之类的二 进制漏洞挖掘，在WEB安全，网络安全基础架构等方面，都能起到它的作用。

      作为流程，SDL总结了常规的风险类型，描述安全开发的各个阶段以及这些阶段各个部门需要做事情。这些部门包括产品设计，包括QA，包括架构 师，包括安全人员等等。至于各个部门应该如何去做这些事情，需要根据各个公司部同的情况，根据各个产品的区别去做灵活的设计。C/S的和B/S的不 同，WEB的和二进制的也各异。SDL所起的作用在于可以让安全这个概念渗透到不同类型产品的血液里，让不同类型的产品有一个比较统一的模型，从最初的设 计到最后的发布每一个步骤都有一个关键的点掌控在安全部门的手中。这种流程是对以前单纯的黑盒或者白盒测试的巨大改进，因为这种测试已经是在产品成型之 后，很多东西没法去做本质的变更。

      同时，SDL也能作为一个大的容器，包含其他各种技术方面的手段或者理论，用来作为SDL中的一个环节或者一个环节的某一个部分。举例来说， 看过天龙八部的都知道天山童姥的天山折梅手，其中有一段这样的描述可以用来阐述SDL。“我这天山折梅手是永远学不全的，将来你内功越高，见识越多，天下 任何招数武功，都能自行化在这六路折梅手中。”对于漏洞挖掘来说，每个人都有自己的分析理论，根据这些理论都能挖掘到很多的漏洞，包括使用了SDL开发的 软件中的漏洞，但是这个和SDL的理念是不冲突的。因为精妙的漏洞挖掘思路和理论，恰好可以融化进来，作为SDL最后面的黑盒测试或者白盒测试的一种具体 的手段。而且，越是精妙的漏洞挖掘理论，越是对SDL的进化有利。

      SDL没法消灭所有的安全问题，但是可以在一定程度上减轻出错的可能性，至少提高了攻击的门槛，让比较平凡的人做出的系统能够防御85%的入 侵者的攻击。作为甲方来说，我们不能因为一种方案只能防御85%的攻击就不做了。当然，如果SDL能融合进一些大牛们先进的比较具体的漏洞挖掘分析的理念 作为最后的保障，将会更是无往而不利。

      最后膜拜一下各位大牛，大学的时候就是看了各位的文章，才走上安全的道路。