sanshow的技术专栏

25大软件编程错误不可赦

lzlutao — Tue, 13 Jan 2009 20:12:00 +0800

大多数IT安全事件(如补丁程序或网络攻击等)都与软件编程错误有关,在过去的三年中,非赢利调研机构MITRE和美国系统网络安全协会(SANSInstitute)发现了700多处常见的软件编程错误,经过安全专家的筛选,最终于周一公布了以下25大软件编程错误:

1. 错误的输入验证

　　2. 不正确的编码或转义输出

　　3. 维持SQL查询结构(SQL注入)错误

　　4. 维持网页结构(跨站点脚本)错误

　　5. 维持操作系统命令结果(操作系统命令注入)错误

　　6. 明文传送敏感信息

　　7. 跨站点请求伪造

　　8. 资源竞争(Race condition)

　　9. 错误信息泄露

　　10. 限定缓冲区内操作失败

　　11. 外部控制重要状态数据

　　12. 外部控制文件名或路径

　　14.

2009年9大最热门IT技能

lzlutao — Wed, 07 Jan 2009 17:23:00 +0800

旧观念：公司对于某些技能，如编程，主要靠外包。新规则：公司想拥有自己内部的开发人员和其他IT类人才。
无论以何种标准评价，美国经济都正处于自1929年经济大萧条以来最为严峻的时期。消费者开销减少，信贷市场持续疲软，另外1000多万美国人失业。

然而，尽管金融形势如此严峻，公司对某些IT类技能的需求仍持续走高，如SAP，.net和help desk/support。虽然有些雇主将继续从公司外部寻找此类和其他领域的专家，但一些首席信息官（CIO）们构建内部的技术雇佣冻结团队也越来越普遍。

那么就让我们跟随《计算机世界》（Computerworld）年度预测调查一同细说2009年9大最热门IT技能。

1. 编程/应用软件开发
询问任何一位招聘人员“当今最吃香的IT技能是什么”，你所得到的最普遍的答复就是三个字母：SAP。

“现在我们IT行业流行这样一个玩笑，如果你的简历上标有SAP技能，你就不会失业，你就拥有了一个金饭碗”，iSymmetry有

如果说编程语言是一种宗教，你的信仰是？

lzlutao — Wed, 07 Jan 2009 17:06:00 +0800

原文来自If programming languages were religions，很有意思，可以从宗教的角度来看看各种常见语言的特点。（这里丝毫没有要找出不同语言优劣的意思，每个人都有信仰自由）
C是犹太教——很古老而且戒律很多，但大多数人都熟悉并尊重其戒律。问题是很难皈依它，你要么开始就信仰它，要么会认为它简直太疯狂了。而且，一旦事情出了差错，人们就会怪罪于它。
Java是正统基督教——理论上来说它基于C，但它去掉了很多老的戒律，以至于跟原教旨已经大相径庭。另外，它新加了一套严格的教义，追随者们相信这些比原来的教义更为重要。他们认为这是世界上最好的语言，而且会将所有的异端烧死在刑柱上。

PHP是Cafeteria基督教——与Java在Web开发领域进行竞争。它引入了C和Java的一些概念，但只限于它所喜欢的。也许它不像其它语言那样条理清楚，但至少给你了更多自由，看起来还算一个整体。而且不会有下地狱（goto hell）这样的说法。

C++是伊斯兰教——来源于C，不仅保持了后者的戒律，还变本加厉加入了一套新

关于本地缓存登陆和域用户将计算机加入域的问题及登录过程- -

lzlutao — Thu, 30 Oct 2008 21:13:00 +0800

这是我看过最清楚的文章,登陆过程写得非常详细.用处:公司的笔记本加入域后,外出怎么样办,用缓存登陆呀.有人发现公司的电脑,在DC坏掉后,还可以登陆,非常奇怪,那就是缓存登陆的原因,你可以在域控制器里设置是否允许缓存登陆及缓存的个数(只用登陆过才能缓存哟)默认是关闭的

您可以在“域安全策略”-〉“安全设置”-〉“本地策略”-〉“安全选项”-〉在右边找到“交互式登录：可被缓存的前次登录个数（在域控制器不可用的情况下）”后双击，设置为X即可(X代表你缓存的数量)

这些缓存存放的位置，它们是存放在注册表中的，具体路径如下：
HKEY_LOCAL_MACHINE\Security\Cache，但是这个键值连管理员默认都没有权限查看，所以请您在Security上右击一下，点权限，然后给管理员“读”权限。之后您就能够在下面看见N1$,N2$,N3$,N4$,N5$,N6$,N7$,N8$,N9$,N10$这些键值，这就是10个缓存的凭证，您可以手动删除它们。
下面是转的文章,也不知道是谁写的.在AD的日常管理中，有两个概念容易弄错，这里

如何列出 Active Directory 中的所有站点及这些站点内的所有服务器？

lzlutao — Fri, 24 Oct 2008 17:38:00 +0800

问：
您好，脚本专家！如何列出 Active Directory 中的所有站点及这些站点内的所有服务器？
-- DW答：
您好，DW。您知道，您这是在考验我们。如果咨询有关用户和组的问题，我们会处理得很好；我们至少在一定程度上了解用户和组所涉及的内容。如果咨询有关计算机帐户或 OU 的问题；也不要紧。不过，如果问题是站点、站点链接及类似方面的问题，则我们就开始担心了；毕竟，我们连那些内容是什么都没有真正弄懂过，更别提您如何使用脚本处理它们了。
但是，缺少知识和理解不足曾经让脚本专家止步不前过吗？当然没有。下面的脚本会列出 Active Directory 中的所有站点以及所有这些站点中的服务器：On Error Resume Next

Set objRootDSE = GetObject("LDAP://RootDSE")
strConfigurationNC = objRootDSE.Get("configurationNamingContext")

strSitesContainer = "LDAP://cn=Site

如何从本地管理员组中删除管理员和域管理组之外的一切成员？

lzlutao — Fri, 24 Oct 2008 17:37:00 +0800

问：
您好，脚本专家！如何从本地管理员组中删除管理员和域管理组之外的一切成员？
-- JS答：
您好，JS。我们知道，成为医生时都得宣读希波克拉底誓言，该誓言开头著名的一名话是，“首先，不要造成伤害。”成为脚本专家时就得宣读脚本克拉底誓言，该誓言就不那么著名了，开头一名话是，“首先，对他们进行警告。此后如果发生什么不好的事，那就不是自己的错了。”因此，JS，要知道我们已经警告过您了。
实际上，我们即将向您演示的脚本并不特别危险。但是，它可能会带来一点麻烦。按您的请求，该脚本会从本地管理员组中删除管理员和域管理帐户之外的一切帐户。这并没有什么问题，只不过至少在一种情况下除外。例如，在 Microsoft，用户在其计算机上通常都是本地管理员。但是，那些用户从来不以本地管理员身份登录，而是使用其域帐户登录，该域帐户恰好就是本地管理员组的成员。
那么，有什么问题呢？是这样，我们即将向您演示的脚本将会从本地管理员组中删除该域用户帐户；因此，那些用户将不再是本地管理员。这可能正是您希望出现的结果。但预先警告可以做到万无一失。
真实的

如何计算某个域中的计算机数？

lzlutao — Fri, 24 Oct 2008 17:36:00 +0800

问：
您好，脚本专家！如何计算某个域中的计算机数？
-- TN答：
您好，TN。为您讲一个真实的故事。大约 5 年前，有一个脚本专家刚来 Microsoft 时，他所在的小组（可能不是公司内技术最精湛的小组）需要计算公司内所有计算机的数目。他们是如何完成上述任务的呢？嗯，与您设想的完全一致：他们将软盘分发给每个人。在这张软盘上有一个批处理文件，该文件可获取计算机名称并将其写入到该磁盘中。告诉大家将该磁盘放到他们各自所用计算机的软盘驱动器中，然后运行批处理文件。在那周的晚些时候，IT 部的人又来了一次，拿走了所有磁盘，大概还整理了获取计算机台数所需的所有信息。
如前所述，我们的小组可能不是公司内技术最精湛的小组。或者在别的地方也是如此。
不可否认，这种行为难以效仿。虽然我们不敢声称已经想出了像将软盘分发给您的所有用户这样的极具创造力的想法，但下面的脚本（可能看起来很普通并缺乏想象力）可为您计算出域内所有计算机（或者，至少是所有计算机帐户）的数量：On Error Resume Next

Const ADS_SCOPE_SUBT

如何计算用户登录到计算机的次数？

lzlutao — Fri, 24 Oct 2008 17:35:00 +0800

问：
您好，脚本专家！如何计算用户登录到计算机的次数？
-- DE答：
您好，DE。您是如何计算用户登录到计算机的次数？问得好，但最终的回答可能是：没办法计算。不过，我们至少可以对一些可能的解决方法进行研究，看其中的某些方法是否有助于解决问题。
首先，我们要弄清楚登录到计算机和登录到域之间的区别。如果运行了 Active Directory，就可以确定用户登录到域的次数；因为该用户帐户对象包含一个“LogonCount”属性，它可对这一情况进行跟踪。
但它有一个局限性，就是不能在域控制器间复制 LogonCount 属性。这重要吗？如果只有一个域控制器，这根本无关紧要。不过，如果有多个域控制器，就需要绑定到其中的每个计算机，检索登录次数，然后将这些数字相加，才能得出用户登录到域的次数。换句话说，Ken Myer 可能由域控制器 A 验证了 5 次，由域控制器 B 验证了 3 次。您需要将这两个数字（5 和 3）相加，才能确定 Ken 登录到域的次数为 8 次。
顺便提一句，以下脚本绑定到域控制器 atl-dc-01 并

如何限制域用户看到域中其他的用户及计算机信息。是否设置只让用户在只能看到一个OU中的用户

lzlutao — Fri, 24 Oct 2008 17:12:00 +0800

转贴自gnaw0725管理日志
以设置ou的安全属性，仅允许某个账户或某个群组有读权限
可以通过在Active Directory用户和计算机中针对OU设置权限的方法，禁止某个域用户查看该OU的信息。具体的操作步骤如下：

1. 使用域管理员帐号登录到域控制器上。
2. 点击“开始”——“运行”，输入“das.msc”，打开Active Directory用户和计算机。
3. 点击“查看”——选择“高级功能”。
4. 右键点击需要设置的OU——属性——安全——添加需要禁止的帐号，选择拒绝读取的权限。
5. 点击“确定”，退出Active Directory用户和计算机菜单。

如何使普通用户授权加入域的权限个数多于十个

lzlutao — Fri, 24 Oct 2008 17:11:00 +0800

在实际应用中，我们会遇到这种情况，我们让客户机加入域的授权帐户会是一个专用的帐户，此帐户一般不受任何权限，因为如果用脚本加入域的话此帐户的信息会写在加入域的脚本中。
但是当使用AD用户尝试加入域的工作站的数量超过 10 时，会出现如下提示：提示已超出此域允许的计算机用户的最大值，请联系统管理员。
怎样解决这个问题？运行services.msc，打开授权日志服务
然后在管理工具，授权，添加授权数量。授权日志文件英文名称为License Logging（以上是更改计算机连接到dc数量的方法）
如实现授权数量,请按如下方法:（找到的资料是2000系统的资料，我看了一下文章03中也有相关选项内容，应该也适合于03）

方法 1：预先创建该用户的计算机帐户

从 ActiveDirectory 用户和计算机管理单元中, 右击其中驻留帐户容器2新建依次-计算机 3在计算机名称框中, 键入基于 Windows 2000 的计算机对要添加到域的名称。

请确保也已在此（应发生自动