诗剑书生的专栏

新浪被黑，完全和技术无关，101%的安全意识问题。

axman — Wed, 29 Jun 2011 09:42:00 +0800

连一个十一流水平的WEB开发人员都知道的“不要根据GET请求的内容修改数据”都没有遵守。
如果所有更新操作的数据都检查一下是否是POST请求，会出现被人利用URL这种弱智的方法攻击吗?

攻击者甚至没有利用CSRF/XSS这些稍微智能一点的方法。几个月前测试过虽然首页显示的内容进行了
XSS过虑，但查看详细页面竟然能成功弹出XSS(Android手机客户端)，这说明对用户输入的内容并不是
所有出口都进行了过虑。

不知道新浪是否有安信息全官这一角色，反正安全问题还处于入门级水平。

看到WEIBO上面好几个牛人在BS .NET，实在无语。

axman — Sat, 18 Jun 2011 20:40:00 +0800

阿里在JAVA方面可以说在全国甚至全球都是最彻底的。作为阿里巴巴的技术人员，现在我仍然优先选择JAVA技术。但是这绝对不是可以BS .net的理由，BS .net的人，你真的了解.net吗？你真的了解.net在windows平台的特定优势吗？

第一次看到不是用字典而是用内容的第一个字符来表示静态数据的。

axman — Fri, 17 Jun 2011 14:46:00 +0800

'a':application
's':system
'n':network
我想问如何超过26个项如何表示？

最悲哀的是我竟然无力改变这种设计。

只记不评

axman — Sun, 15 May 2011 10:03:00 +0800

6年java经验? java中HashTable和HashMap有什么区别？（这题虽然是经典面试题，但目的是当回答后想问他CurrentHashMap的实现原理）：java中有HashtTable吗？我只用过HashMap。我了个去的。

asm中导出方法本地变量

axman — Thu, 12 May 2011 11:37:00 +0800

在方法出现异常时需要把传入参数值和本地变量值异导出来供分析。之前因为测试的对象都是普通的值，写的loadLocalVarArray能正常工作。
这几天要在方法进入时inject一个long startTime供在方法退出时计算方法方法执行时间，发现如果本地变量是long和double本地变量栈中实际
占用两个位置，而nextLocal和firstLocal是本地变量栈的地址位置，根本无法知道实际的本地变量个数和具体的索引。

当然用for(int i=0;i
try{ loadLocal(i+firstLocal) }catch(Exception ex){........}
}利用异常来判断是否有某个localIndex是可以牧举出来的，但是这样太猥琐了。

查看GeneratorAdapter发现有一个私有yojgList localTypes，在visit的时候，本地变量的type会被放在这个数组

这样的错误竟然能得到正确的值，这个bug藏的够深的。

axman — Sun, 08 May 2011 18:32:00 +0800

为了统计方法执行时候，我用ASM在方法开始的时候插入一个变量startLocal记录开始执行的时间，然后在结束的时间用当前时间去差这个开始时间，为了调试，我同时又插入了一个endLocal

/** * Project: dragoon-common-2.5.3 * * File Created at 2011-5-5 * $Id$ * * Copyright 1999-2100 Alibaba.com Corporation Limited. * All rights reserved. * * This software is the confidential and proprietary information of * Alibaba Company. ("Confidential Information"). You shall not * disclose such Confidential Information and shall use it only in * accordan

今天看了Objective C中在方法中分配并返回对象这一节，应该坚决禁止这种行为。

axman — Thu, 28 Apr 2011 08:55:00 +0800

Objective C还不能象java这样完全自动gc。所以要么象传统C++一样从外部传入要返回的对象指针，由创建该对象的
调用者释放该对象，要么就在方法内部释放对象（不能返回到方法外）。

由方法设计者在方法内分配并反回对象，由方法调用者在方法外释放对象是一种极不友好的协作方式。非常容易出问题，
这在传统C++中是最基础的知识。

JS写到这种程度，XSS攻击成功了也不冤了。

axman — Wed, 27 Apr 2011 16:20:00 +0800

2011年的BlackHat DC 2011大会上Ryan Barnett先生的杰作。

一次load飙高的故障分析过程

axman — Wed, 27 Apr 2011 08:27:00 +0800

这个故障已经过去好多天了，但是还是要记在这里以供别的兄弟参考。

现象：
应用服务器正常服务期间，load突然飙高，但是看访问日志却发现不了异常，应用支持的架构师说访问量没有任何异常。

分析：
load突然飙高,要么瞬间访问量突然加大，要么原来的事务中依赖的资源突然耗时导致事务处理时间突然加大。

我们的应用集群下服务器的性能还是有把握的，正常的有交易性事务的服务能力也在500万/日以上。而服务器在正常服务器间
没有做任何改动，所以首先不考虑参数优化和代码性能造成的原因。

先分析所有事务的处理时间，根本accesslog分析基本排除每次请求处理超时，也就排除请求处理中访问其它资源耗时的情况。
于是再次想到访问量，应用支持架构师说该时段内访问量正常，但是..........

我们的服务能力在高峰期有几十万/时，从整个时段内看不了异常，但如果在某几分钟内突然发生十万请求，对于整个时段是看不出来

又遇img src=""的问题。

axman — Mon, 25 Apr 2011 09:44:00 +0800

尽管这个问题有过n次教训。但是监控开发这两天再次被该问题折磨。他们不知道折腾了多久，找到了我。一个帮助页面，浏览过后session就会丢失，需要重新登录。而其它页面就没有这个问题。首先这个页面是一个静态页面，所以怀疑其中有js改写成cookie引起session丢失，但是搜索了现根本没有js.然后考虑一定是某种源加载引发异常，一种一种排查。当把img src都替换成img src1时，问题消失，说明图片加载引起。既然是图片加载引起，于是分两种情况，一是大量图片并发，导致有的图片请求时间超时，而引起tomcat/jboss的那个著名的request没有清空的bug. 但打开debug模式看，因为本地调试，图片请求都很快完成。没有超时出现。突然灵光一闪，好久以前解决过的src=""引起的session异常，因为src=""在不同浏览器解析不同，有的会解释成http://host/就去访