(PDF Based Targeted Attacks are Increasing)

How the Security Development Lifecycle Helped Improve the Security of the 2007 Microsoft Office System

Internet Explorer 8 and the Security Development Lifecycle (SDL)

Edge-Security's theHarvester

Metasploit's search_email_collector.rb

两个小工具通过google和必应来进行快速的账户信息收集

zombie@haktop:/tools/email/theHarvester# ./theHarvester.py -d defcon.com -b google -l 500


*************************************


*TheHarvester Ver. 1.5 *


*Coded by Christian Martorella *


*Edge-Security Research *


*cmartorella@edge-security.com *


*************************************


Searching for defcon.com in google :


======================================


Total results: 462000


Limit: 500


Searching results: 0


Searching results: 100


Searching results: 200


Searching results: 300


Searching results: 400


Accounts found:


====================


quietpro@defcon.com


nick.s@defcon.com


robert@defcon.com


lynne@defcon.com


@defcon.com


joe@defcon.com


info@defcon.com


dtangent@defcon.com


====================

Running MSF search_email_collector...

[*] Please wait while we load the module tree...
[*] Harvesting emails .....
[*] Searching Google for email addresses from defcon.com
[*] Extracting emails from Google search results...
[*] Searching Bing email addresses from defcon.com
[*] Extracting emails from Bing search results...
[*] Searching Yahoo for email addresses from defcon.com
[*] Extracting emails from Yahoo search results...
[*] Located 7 email addresses for defcon.com
[*]     headsets@defcon.com
[*]     info@defcon.com
[*]     jobs@defcon.com
[*]     nick.s@defcon.com
[*]     nick@defcon.com
[*]     robert@defcon.com
[*]     spr@defcon.com

========================================================================

#!/bin/bash

echo "Running MSF search_email_collector..."
echo
ruby /pentest/exploits/framework3/msfcli auxiliary/gather/search_email_collector DOMAIN=$1 OUTFILE=$1_emails.txt E
echo
echo "Running theHarvester on Google, BING, MSN, PGP..."
echo
perl /pentest/enumeration/google/theHarvester/theHarvester.py -d $1 -b google -l 500 >> $1_emails.txt
perl /pentest/enumeration/google/theHarvester/theHarvester.py -d $1 -b msn -l 500 >> $1_emails.txt
perl /pentest/enumeration/google/theHarvester/theHarvester.py -d $1 -b pgp >> $1_emails.txt
cat $1_emails.txt | grep @ |grep -v @edge-security.com |sort > $1_emails.txt
echo
echo "Searching for LinkedIN profiles with theHarverster..."
perl /pentest/enumeration/google/theHarvester/theHarvester.py -d $1 -b linkedin -l 40 >> $1_emails.txt
echo
echo "Finishing... E-mail Results:"
echo
cat $1_emails.txt

done =)

详情参考US-CERT文章: Energizer DUO USB battery charger software allows unauthorized remote system access

而曹贼的转贴的李彦宏发的《互联网行业注定是弱势群体》感慨道：

今天看到一篇关于两会的博文，很有见地，转给大家看看：

在这样一个自扫门前雪的利益集团诉求横行的平台上，互联网行业注定是弱势群体。

此前国务院的三网融合意见中就对互联网产业未见任何鼓励和支持，而是让电信和广电融合对外挺进互联网地盘，所以，如果期待两会能给互联网以政策利好几乎不可能。

在很多已经年龄很大的委员代表的眼中，互联网几乎就是洪水猛兽，连提供给弱势群体的网吧都被视为眼中钉，更有对内容管制强化的大声呼吁。

在中国最高级别的决策会议上，却没有一个人愿意振臂高呼，或者哪怕是敢于提一两个句子来呐喊。

李彦宏的帖子里面顺带还转了个帖子《移动互联网：为何与两会热点咫尺天涯》。不知道 Robbin 是不是有点感慨自己光做商业没有影响政治啦？早在 2010 年 1 月 5 日，“整顿”之风刚刚刮起时我就在某个群里面跟人扯以下的观点：

sbilly(1xxxx) 17:12:24
互联网群体太缺乏行会了
sbilly(1xxxx) 17:12:39
这种对行业的打击，应该是大家一起来反抗的
sbilly(1xxxx) 17:13:14
呵呵 主要是大家一起来造势
sbilly(1xxxx) 17:13:19
大的形势是好的
sbilly(1xxxx) 17:13:23
blah blah
sbilly(1xxxx) 17:13:35
要不然一个点就被人无限放大，没得混了
sbilly(1xxxx) 17:15:00
新浪、网易、51 什么的都应该有自己喊话的渠道
sbilly(1xxxx) 17:16:13
整整在国内搞了十多年的一个行业，没有办法去影响决策层，甚至连行业协会都不动一下，这肯定是不正常的
sbilly(1xxxx) 17:20:24
呵呵
sbilly(1xxxx) 17:20:33
其实现在这个时间点蛮重要的
sbilly(1xxxx) 17:21:10
高层通过7.5之类的事件知道了互联网的威力，国内也有从严和从宽管理的声音（智囊团内部）
sbilly(1xxxx) 17:21:28
如果这个时间点，互联网行业没有什么象样的动作，
sbilly(1xxxx) 17:21:34
估计以后天平就不均衡了
sbilly(1xxxx) 17:21:46
哈哈，个人分析
sbilly(1xxxx) 17:23:56
控制是不能摆脱的
sbilly(1xxxx) 17:24:03
但是自己控制和别人控制能一样么？
sbilly(1xxxx) 17:25:14
现在互联网行业要做的是让政府相信行业内能处理好这个事情，也愿意配合政府来处理这个事情
sbilly(1xxxx) 17:25:24
而不是这样被单方向的说啥干啥
sbilly(1xxxx) 17:26:28
这个也是赌博
sbilly(1xxxx) 17:27:00
其实如何处理民企和国有企业关系，也是政府在摇摆的
sbilly(1xxxx) 17:27:16
他也希望找到一个好的方法，不简单粗暴的解决问题
sbilly(1xxxx) 17:27:27
但是如果他认为互联网不是一个好的试水环境
sbilly(1xxxx) 17:27:31
它就会简单粗暴
sbilly(1xxxx) 17:28:23
是啊，反而是互联网这样的行业容易试水
sbilly(1xxxx) 17:28:29
因为国家没有什么投入在里面
sbilly(1xxxx) 17:28:38
处理国企、民企关系更容易
sbilly(1xxxx) 17:28:52
中石油这种行业能一下让民企进去么？
sbilly(1xxxx) 17:29:13
说白了，互联网行业就是要争取当年深圳特区那样的特区待遇
sbilly(1xxxx) 17:30:50
一方面是经济特区，另一方面也是开启风气先河的特区

©2010 乌托邦. All Rights Reserved.

　　宋山木，山木培训创始人，山木教育集团总裁。

　　1964 年宋山木出生于山东临邑。 1981 年考入山东聊城师范学院数学系本科。 1990 年华东师范大学计算机专业研究生毕业。从 1991 年 11 月份成立第一间 “ 山木培训 ” 至今，经他一手创办的培训学校，星星之火般在全国遍地开花，给人们创造了众多学习与就业的机会。同时山木终身教育集团也在英国、日本、美国、加拿大等国家设立分部。他自己也被誉为 “ 平民教育家 ” 、 “ 实业家 ” 。

成长：父亲的 “ 朴素成功学 ”

　　宋山木自小就是个淘气大王，闯祸是他每天的必修课。上天赐给了他一位异常严厉的父亲，他稍有错处就棍捧相加。父亲吩咐他去做件事，不问过程只论结果，做不好便是一顿好打。许多年后，心有余悸的他会比同龄人有更多的细致与耐心，百分百投入地将事情做好，因为他从小就懂得：愉懒没有好果子吃。

　　父亲有着自己的一套 “ 朴素成功学 ” 。父亲手把手教他学自行车，一边教，一边跟他闲聊：“孩子，自行车很好学，只要腰板挺直，盯住目标，脚下用力，记住这三点，就学会了。做人也是一样，成功就像骑自行车，你光盯着前方，方向有了，目标有了，但脚下不用力也是枉然。 ” 直至现在，宋山木还时时跟员工提起这三句话，他说： “ 无志者常立志，不付出行动不吃苦，再大的志向也是画饼！”

　　1981 年，宋山木考入山东聊城师范学院数学系。大学期间他依然不爱学习。父亲花了两个月工资给他买了一台照相机，从此，他迷上了照相。课外活动的时候，他在图书馆前面摆摊，给同学们照相，并且自己成立了摄影协会。

　　大二时，父亲写信要求他自立，他便又想出很多挣钱的点子，比如印一些书签 , 把照片弄成书签卖给别人，一毛钱一套 , 成本只有两分钱。这样，第一个月他就挣了 35 元，和父亲每月的工资差不多。临近毕业的时候，宋山木搞了一个个人摄影展，在学校非常有名，曾轰动一时。

　　如今，宋山木终于领悟到父亲的苦心与执着。自己能有今天，父亲功不可没，可当他醒悟时，父亲已同他天人永隔。

机遇：落难时的一份菜单

　　1991 年 8 月，宋山木来到深圳，他的动机很单纯 —— 买台便宜点的电脑。不料，刚下火车，钱包就被人偷走了。无奈之下，他只好露天睡在深圳书城对面的草坪上，也就是现在的地王大厦地皮。看着天上的月亮，生性坚强乐观的宋山木想：月亮、太阳总是毫不吝啬地将自己的光和热普照大地。如果有一天，我拥有自己的企业，名字就叫“ SUNMOON （日、月的英文）。”——这也就是山木培训名字的由来。

　　第二天，宋山木来到一家小吃店用最后的几块钱吃早点。吃饭时，他无意中瞥见里屋有一台电脑，而店里的菜单却是手写的，字迹潦草歪歪扭扭。既然有电脑为什么不打印一份菜单，反而用手写呢？一问之下才知老板不会用！热心的宋山木立即帮老板打印了一份。通过这件事，他发现，虽然普通老百姓已经买得起电脑，可是大多却不会使用。这绝不是个别现象，而是普遍现象。

　　后来他在一间电子厂找到一份电脑编程的工作，并碰上了为某家大型企业编制一套财务软件包的机会。经过一个月不眠不休的努力，宋山木提前保质保量地完成了任务，从而挖到了来深圳的第一桶金—— 4 万元。

创业：吃苦耐劳加眼光独到

　　宋山木回到山东，毅然辞去了大学讲师的工作重返深圳。他想起那个餐馆老板不会用电脑的例子，在深圳这个城市，老百姓已经有了购买电脑的能力，但是却很少有人会使用，想要学习如何使用，却没有人教——这正好是一个市场的空白点，所谓“授人与鱼不如授人与渔”，人们的需求是亘古不变的成功点！为此，他萌生了“培养中国的电脑工程师”的念头。

　　说干就干，绝不拖拉。1991年11月，宋山木租了一间教室，那天晚上他就把 A4 纸裁成近百张纸条，用圆珠笔写上“电脑培训，收费 80 元”，连夜塞进居民的邮箱和门缝。数天后，他迎来了自己的第一个学生。没有人手，他就一个人既上课又做宣传，接待报名，组装电脑，编订教案，印刷教材，忙起来饭都顾不上吃，创业时期的辛苦换来了学生的认可。

　　为了扩大宣传，宋山木还想了一记妙招 —— 到电影院里打广告。有一段时间，在深圳最有名的电影院南国电影院，观众经常在影片播放过程中听到诸如“山木培训的 ** 老师，外面有人找！”之类的广播。如此一来，常来此看电影的人便很快都知道有个电脑学校叫山木培训。

　　宋山木的很多主意至今也没扔，不论深圳、上海、北京、杭州、青岛，去这些城市，下了飞机，出了火车站，你准会看到一个人举着个大牌子，上面写着： “ 山木培训接 XXX” 。机场保安说你们怎么天天接人？那人就会反问： “ 不可以吗？ ”

发展：独创企业管理方式

　　经宋山木一手创办的连锁学校，星星之火般迅速在全球遍地开花 —— 香港、深圳、北京、上海、济南，远至英国、日本、加拿大、美国。在英国官方网站，山木终身教育集团与海尔、华为并列。宋山木头顶英国剑桥管理博士方帽子， “ 平民教育家 ” 、 “ 实业家 ” 两个耀眼光环。

　　虽然如此，但他最看重的还是多年总结出的管理经验。宋山木有着经商天赋，有着良好的商业直觉。在管理上，他敢于排除众议，不唯书，不唯心，不唯利。知易行难，一些企业家在经营过程中，遇到问题就要查看春秋老庄、哈佛工商，而宋山木就敢于藐视这些干巴巴的印刷体，就敢于从理论回到常识，独辟蹊径，重新 “ 发明轮子 ” 。

　　例如，山木培训采用“快餐店式”直营连锁办学模式，在服务上，山木培训推出“ 倒金字塔”式结构将学员置于服务的最顶层，推出“学员是上帝”的服务理念与山木礼仪为代表的服务举措。

　　宋山木十分强调执行力，他独创了一套先进的管理模式，如“米”字型管理结构、“纳米管理法则”、“ 24 小时复命制”、稽核检查制、走动式管理，以及让任务描述量化、清晰化的“ HWWC ”“ QMW ”原理等，其中“纳米管理法则”曾得到中央党校的推广。

　　不仅如此，山木培训在漫长的发展历程中逐步形成了自己深厚的企业文化，这成为山木人共同的价值标准与行为准则，渗透于每一个山木人的一举一动，一言一行中。山木员工自一入职，便被灌输“敬业、守信、创新、图强”的山木精神以及感恩思想，这些都成为了企业的价值观，产生了强大的凝聚力和向心力，使得山木培训各分校“形散而神不散”，构造成一个坚实的整体，同步向前。

　　另外，广阔的个人发展平台培养了教职工的高度忠诚，“火炉原则”培养教职工的严谨自律，完善的培训体制塑造教职工的自我管理，高度统一的学校形象培养了教职工的荣誉感与归属感。

　　宋山木的野心很大，他的近期目标是 “ 解放 ” 全中国，远期目标就是让有太阳和月亮的地方都有山木培训的存在，自己站在月球上看地球上到处飘扬着的山木培训蓝色旗帜。宋山木这个人们心目中的明星人物，以其独有的思想向世界证明着他的存在。

宋山木语录

○企业以人为本，没有了人，便停止不前，最终消亡。（“企” - “人” = “止”）

○团队是将有才能且服从意识强的人放在一起工作。

○“忙”就是“心死”，只要用心，你就可以找到让自己不忙的方法。

○没有处罚的规章制度等于废话。

○在一张旧地图上永远找不到新大陆。

○别人对待你的方式是你教给他的。

○我最大的财富是我的员工，你可以拿走一切，但请把我的员工留下。

○没有不行的员工，只有不行的领导。

○没有教不会的学生，只有不会教的老师。

○人才就是把合适的人放在合适的位置上。

○员工三境界：“人材”、“人才”、“人财”。

○不因为你的存在而给他人带来不悦，这是素质底线。

○高素质就是先人后己。

○一种行为重复三次便可以成为习惯。

○努力工作、为他人服务是人生存于世的基本职责。

○孝在前，成功在后，孝是人素质修养之根。

○水烧 99 度不叫开，事做 99 分不叫成。

○ 0.1>0 （不能为了追求完美而放弃行动）。

○有敌便进步，无敌便寂寞。

○对人要感恩、对己要克制、对事要尽力、对物要珍惜。

○做人的关键是心态，成功的关键是细节。

○失败不是成功之母，失败之后的总结才是成功之母。

○做事先做人。

2个月前在谈时间管理，计划了很多action。

1个月前，一切都发生了改变。所有的action都变的7零8落。

如今我不迷茫却很被动，三口之家的生活实在忙碌。

掌控时间也成了最重要的必备技能。

　　此前，有媒体报道，3G手机强大的视频传输功能，容易导致在使用过程中，将办公环境中的作战地图、文件或军事设施等涉密信息传输出去，相当于给对方来了个视频直播。3G手机具有照相、大容量存储功能，如果在工作场所拍照并流传出去，同样会在无意中造成泄密隐患。3G手机具有随时随地上网功能，也必将给安全保密和管理工作带来更大的难度。此外，3G手机还安装有操作系统、办公文字编辑等软件，不排除黑客使用木马程序控制手机视频、照相功能的可能性。

　　国家保密局总工程师杜虹在会后表示，普通人使用3G手机无碍，但是核心的保密区域和保密人员不能使用3G手机。

求职行业：
甲方：技术部、信息安全部、系统运维部门
乙方：技术服务部、售前部

期望工作地点：
广州

现工作行业：信息安全
2007年至今：北京天融信网络安全公司 (安全顾问)

有储备人才意向的猎头请MAIL ring04h@gmail.com 索取详细简历。

虽然前一天就看到9500W的在线数据，知道这个时刻即将来临，但是这个时候还是感到很兴奋和骄傲。

TST团队的很多成员，都以工作的形式，见证参与到这个时刻，能以用户和服务提供者的双重身份，出现在这一刻，真的很有意义。

挺感谢并珍惜业界朋友发给我们的每一份鼓励和批评，我们也深知，用户对我们的产品和服务还有更高的期许和要求，还需要不断努力。

在未来的日子里，我们一定把大家的期许和鼓励当作我们继续努力的动力。

因为有您，在线精彩，生活更精彩！

为什么安全公司要开拓互联网行业？

1、已有相当一部分客户来自互联网行业，需要有专门的行业团队跟踪，维护。

2、建立可以复制的商业模式。一旦有机会进入其它行业（如制造、酒店、地产、零售等），可以快速复制应用。

3、创造新的营收来源。

我们在2009年成立了互联网安全部门。包括一个互联网行业销售部门，一个SaaS产品部门。

互联网行业销售部门：面向互联网企业客户销售全线产品和服务

SaaS产品部门：针对互联网客户设计、开发互联网产品，制定解决方案

我们过去的产品和销售模式，已经证明是成功的，但在互联网行业，我们遇到了新的问题。互联网行业发展快速，但是做为一个企业，怎么对待安全投入，怎么实施安全建设，它还没有完全成型。把互联网客户对接到公司平台上去，我们的产品和销售模式，都给客户带来了门槛。

我们在实施的消除门槛的工作包括：

1、影响公司产品的走向，一款新产品上市，它应该是包含有互联网企业的功能需要的

2、对已有的产品，在参与的行业项目，启用定制开发策略

3、推进互联网产品成长，制定行业解决方案

4、在公司内，争取独立自主权，让行业团队能够完全的发挥，在行业内做决定

我们还在起步阶段，仍需多参与项目，在项目中学习。