建议在看之前先了解下什么是linked server。比如参考微软的相关学习资料：

http://technet.microsoft.com/zh-cn/library/ms188279.aspx

文章很多专有名词，而且老外说话的方式和中国的差别还是太大了点……所以有很多地方翻译的不是很好，见谅。

Pwn2Own正在如火如荼的举行着。
Google在本周Pwn2Own黑客竞赛开始之前，在Chrome 33版本中修复了几个严重的漏洞。

大多数的web开发者都会遇到设计用户账号系统的需求。账号系统最重要的一个方面就是如何保护用户的密码。一些大公司的用户数据库泄露事件也时有发生，所以我们必须采取一些措施来保护用户的密码，即使网站被攻破的情况下也不会造成较大的危害。保护密码最好的的方式就是使用带盐的密码hash(salted password hashing).对密码进行hash操作是一件很简单的事情，但是很多人都犯了错。接下来我希望可以详细的阐述如何恰当的对密码进行hash，以及为什么要这样做。

任何开启了Pingback（默认就开启）的WordPress的站点可以被用来做DDOS攻击其它服务器。

看如下日志：

2龙好早以前说，能不能把这篇文章翻了，我拿到文章一看，有点意思，但是很多东西我不清楚，然后在维基百科上看了一些关于Entropy（熵）和PRNG（伪随机生成器）和RNG（随机数生成器）的文章，很拖沓，坑却越挖越大，今天打算跟随原文的过程的说一下这篇文章所说到的事情，但是不是完整的翻译。

Apple在最新发布的iOS 7.1系统上，修复了可能导致代码执行以及其他的一些漏洞，这个新版本的发布仅仅是在Apple为了修复SSL证书验证错误而发布iOS 7.06之后两个周。

2010年三月，ssh证书认证悄然地包含到了OpenSSH5.4中。到了2014年，很多人对ssh证书依旧相当模糊，既没有得到广泛的理解，也没有得到广泛的使用。对于这样一个问题，我们可能会认为它实施起来要不是很难，就是很复杂。实际上这样做既不难，也不复杂，只是它没有得到较好的文档化的描述。

2月24至2月28日，绿盟科技出席在美国旧金山召开的2014年RSA大会。本次是绿盟科技第七次参展该盛会。每年一度的RSA大会是信息安全行业最为重要的盛事，各行业领域的安全专家和厂商齐聚一堂共同分享安全专业技能、最新的安全趋势和创新科技，探讨企业面临的重要安全问题及解决办法。本年度的主题是：分享、学习与保护——运用集体智慧（Share. Learn. Secure. Capitalizing on Collective Intelligence）。

@瞌睡龙让俺仔细介绍一下，所以我就把之前文章http://drops.wooyun.org/papers/1020的一节的东西单独提出来了，之前百度浏览器5.0版本子窗口堆溢出的那版的程序我已经找不太到了，找到最接近的版本修复的只剩一个栈空间不足的问题而已了，这个小毛病我就搁在事后分析里面好了。

很多时候我们会因为一个活动或者一些其它的原因建立一些临时的站点。但是糟糕的是一旦这一切过去后我们会忘了关闭它。就像我在http://hk.promotions.yahoo.com上发现的这个漏洞一样，那些临时站点往往成为我们强大安全体系中的软肋。

最早在几年前看到一本书《挖0day》，里面介绍了一个搜狗浏览器的漏洞--伪造网站，虽然时隔四年搜狗还是犯了同样的错误，不过那会儿俺是只知道有这个理儿，但是苦于对这个理解并不深，现在接触的时间多了，渐渐的就快要走到入门的门口了。

操作系统：Windows Server 2008 R2 Enterprise Service Pack 1 x64IIS版本：IIS7.5程序：asp.net

GnuTLS的bug与Apple goto fail的bug都导致了验证TLS和SSL证书问题，但是他们两个实际上并非是同一个，虽然都是把假的证书也当成有效的证书。
霍普金斯大学的一位密码学教授说：“GnuTLS是一个编码错误，返回了错误的变量，而苹果可能是一个剪切和粘贴的失误。”

Shell注入(Shell Injection)，也被称为命令注入(Command Injection)，虽然不是最经常提及或发现的漏洞，但是危害巨大。

发现一网站存在漏洞，遂进行测试：

这是一个获取网页源码的cgi脚本http://xxx.com/cgi-bin/printfile.cgi?file=http://www.baidu.com
习惯性的,在file后面测试../../../../../包含或者读取漏洞均无效.有意思的是使用File协议(本地文件传输协议)成功读取目录以及文件。