woyigui's blog

蘑菇定律——为什么职场新人更容易受冷落

woyigui — Wed, 18 Jan 2012 11:19:01 +0800

每个人初入职场都会遇到打击、赞扬，如何应对这些问题，就要保持良好的心态，年终晋升，有成功的，有失败的，也有气馁的，更有气馁后愤愤不平的，甚至叫骂的。希望看完下面的东西可以帮助辛苦一年工作上未得到肯定的朋友：）

大家都知道，蘑菇是生长在阴暗的角落，它们得不到阳光，也没有肥料，自生自灭，只有长到足够高的时候才开始被人们关注，可此时它自己已经能够接受阳光了—“蘑菇定律”据此而来。
有这样一个故事。湖畔有两棵树，一棵粗如熊腰，一棵细若手臂。给湖底清淤泥时，它们被锯掉了。人马离去，岸上就多了两根树桩。
一天，来了一个花木工人，要挖掉它们重新植树。这时一个散步的老人走过来说，大的不敢保证，小的一定会活。花木工人看了看树桩，没有动，收起工具走了。
一年过去了，小树桩上的嫩芽长成手指粗的枝条，大树桩上的嫩芽长成了一丛灌木。花木工人很希望大树桩上的嫩芽也长出粗壮的枝条来，他砍去多余的枝条，留下最有希望的一枝，可是，一点都没有用。三年后，这根抽过多次芽的大树桩在最后一根枝条枯萎后，悄无声息地死了。
有一天，散步的老人又来这儿，园林工人遇见了他，很想解开心中的迷惑。老人说，树和人一样，凡是早年受挫的人都幸运的，他们还有从头做起的时间，可以鼓起勇气来不忧不惧地学一门东西，最后成为有用之才。到了四五十岁才灾祸临头，就真正可怜了，他已没有从头做起的时间和精力。
这个故事对很多职场上的新人有借鉴意义，因为他们往往正处于蘑菇定律的困境之中。如果你刚进入职场不久，或仍对那个时期记忆犹新，相信这个故事一定会让你发出会心而苦涩的一笑。的确，绝大多数初出茅庐的年轻人都有过一段“蘑菇”经历：被置于阴暗角落（不受重视的部门，打杂跑腿的工作），浇上一头大粪（无端的批评、指责、代人受过），自生自灭（得不到必要的指导和提携）……总之，那是一段很不愉快的日子。
受苦受难不一定是什么坏事，特别是在一切刚刚开始的时候。当上几天“蘑菇”，能够消除很多不切实际的幻想，能够使我们对形形色色的人与事有更深的了解，这些对一个人的成长是必要的。但是，如果你“当蘑菇”的时间过长，你就可能成为众人眼中的无能者，更糟的是，你自己也会渐渐认同这种角色。
“蘑菇”经历对于成长中的年轻人来说，就像蚕茧，是羽化前必须经历的一步。但是如果茧太厚，蚕就可能闷在里面，永远不会化成蛾。所以，如何最高效率地走过生命中的这一阶段，从中尽可能汲取经验，成熟起来，并树立良好的值得信赖的个人形象，同时又避免可能的负面影响，是每个初入职场的年轻人必须面对的课题。而你在这一阶段的成绩如何，直接关乎事业的成败乃至一生的成败。
所以，对年轻人而言，要想顺利地经过“蘑菇成长期”，就要有好的、积极向上的心态与工作作风。
1．摆正态度俗语说：“求学无捷径。”走上成功之路当然不会有任何速成方法。只要你仔细观察，就会发现，那些在公司里常常获得好评、能力很强、工作积极的人，多多少少都有某些共同的行为标准和思考模式。我们姑且把这种模式，称为商业适应行为。如果无法身体力行这些商业适应行为，就不可能做好自己的本职工作，在公司的地位也就无法提升了。
想要在商场上活跃，不仅要有专业的知识技术，也要有基本的思考力和创造力等“知识的能力”。不过，光凭这些能力来做事，还是不够的。必须把这些能力融入自己的人际关系和周围环境中，简单地说，就是这些能力必须配合商场上的需求。商业适应行为就是这种让你能达成目的的行动。你一定听过“学校的高材生，未必是商场的风云人物”，这是因为许多在校的才子，到了社会上无法适应商场的需要。相反，在商界适应行为良好的人，即使不是一流大学毕业的，还是可以成为商界的顶尖人物的。
这种适应行为，会受到个人性格、意愿和价值观等的影响。所以，要迅速摆脱蘑菇的成长环境，就必须首先要有形成适应行为的一种能力，也就是所谓“态度的能力”。
2．热爱自己的工作如果你只是为了薪水而来上班，那么公司的确是一个很无聊的地方。每天一大早得挤公车上班，下了班还要加班做未完的工作。另外，还要接受主管或老板的训示和交代下来的工作，遇到客户更要毕恭毕敬、低声下气的。工作规定严格，而且还要做许多自己不想做的事，真是苦不堪言啊！
不过，如果你想到的就只有这些，那就过于肤浅了。工作的乐趣是要由自己一点一滴慢慢去体会的，当你辛辛苦苦完成一件工作时，那种感觉不是用金钱可以换得的，这就是所谓的“成就感”。也就是这些成就感的累积，使你的生活越来越充实，充满活力。当很多人一起同心协力完成一件事的时候，每一个参与的人当然都会深受感动。这种感受，要比其他如运动比赛胜利时所产生的感受更深。就是这些由平时各式各样工作累积起来而达成的成果，悄悄地把日常生活的重心填满。

看看这些：

《玩转QQ5》——2012，我们来了。3+1重连环大奖等你来拿

woyigui — Mon, 26 Dec 2011 15:34:28 +0800

《玩转QQ5》让这个寒假不太冷。600元超值大奖等你来拿。

龙年回执贺新禧，3+1项连环大奖欢乐颂。

特别Q粉大奖：奖励1年（QQ会员红黄蓝绿超级QQ 短信QQ 一次尽享600元增值业务）

穿越火线VIP特权，DNF闪耀黑钻，非安全专属T恤，更有666名开钻平台资格等你来拿……

新游戏章节揭秘DNF地下城洗号内幕，穿越火线CF新奇玩法。黄钻非黄钻共同玩转免费QCC，DNF道具百分百囊中收入，空间炫技QQ酷玩全聚得……

你的寒假，我来买单。

玩转QQ5封面

玩转QQ5宣传海报

非安全淘宝店订购：http://item.taobao.com/item.htm?spm=1101_RPC.1-7s8cb.4-3sztgu&id=14969904953

非安全在线商城订购：http://book.nohack.me/goods-85.html

《玩转QQ系列经典合辑》回执获奖名单

大奖一获奖名单

一等奖：1名，奖励16G U盘1枚。
获奖者：
李宇波 QQ：691794xxx 陕西省宝鸡市宝鸡中学13届

二等奖：2名，奖励8G U盘2枚。
获奖者：
1）罗步宽 QQ：10561xxx 江苏省铜山县郑集中学城区校区
2）刘晨 QQ：1207953xxx 陕西省西安市长安区韦曲广场南路
三等奖：3名，奖励4G U盘。
获奖者：
1）金鑫 QQ：94615xxx 南通市海安县李堡镇镇南中路
2）李二焱 QQ：275514xxx 河北省石家庄市元氏县
3）李京涛 QQ：1873775xxx 河北省河间市果子洼乡柳林村

大奖二获奖名单

凡是前500名回执卡者，均获得了以下任选其一的三个奖项，1、开通开钻平台帐户权限；2、赠送靓号资源；3、添加其为好友／看私密日志／QQ秀免费合影等。

获奖者：王炳淇杜锦博解浩田陈宇扬子沛刘晨徐铭佳李宇波吴天昊赵毅堃罗步宽徐誉崔宇童魏政李京涛李二焱张文和赵哲辰金鑫……

（注意：大奖一和大奖二的获奖者有重复，因为《经典合辑》的回执规则就是一张回执就有机会赢取双重大奖。真是实惠多多，拿奖拿到手软啊。所以还在犹豫不决你，赶紧拿起笔或者敲打键盘吧，填写回执，赢取QQ5的N重龙年大奖）

看看这些：

基于发起源判断CSRF攻击的方法

woyigui — Sat, 26 Nov 2011 22:04:36 +0800

当我们要利用一个CSRF漏洞去攻击的时候，常会在第三方站点使用资源请求的方式加载存在漏洞的CSRF接口，当用户访问这个页面的时候就会偷偷的发送http request到漏洞站点，即攻击成功。实例利用代码：

<img src="http://www.woyigui.cn/index.php?csrf=woyigui">

使用资源发送http request的方法很多，带上认证信息的属性如：SRC、background等，标签可使用img、script、css等。

正常使用html标签去加载所需要的资源的时候，对应的类型是一致的，如：
script的SRC对应：application/javascript
img的SRC对应：img/jpeg、img/png
任意标签的background-image对应的是：img/jpeg、img/png

和正常加载相反的是：我们进行CSRF攻击的时候请求的接口正好返回的 text/html 类型，这就与正常的请求有区别了。
我们看一下正常与CSRF攻击在浏览器中的发起源的区别：

//img src CSRF 对比
<img src="http://www.baidu.com/img/baidu_sylogo1.gif" />
<img src="http://www.woyigui.cn/index.php?csrf=woyigui" />
 
//script src CSRF 对比
<script src="http://www.baidu.com/js/bdsug.js?v=1.0.3.0"></script>
<script src="http://www.woyigui.cn/index.php?csrf=woyigui"></script>

看一下他们的发起源信息：

可以看到，区别是有的，script、img去请求的http api却是text/html的，这是有问题的，可能就是CSRF攻击。
当然有些站点常常就是请求一些text/html的类型，如callback回调函数api等。如：

//误报
<script src="http://www.woyigui.cn/my/alert.html"></script>

基于如上的对比与分析，我们可以在浏览器中这样做：
1、如果当前页面中的资源请求标签请求的是非正常类型资源，进行提示用户，或者阻断此请求；
2、为了解决误报，可配合其他防范策略，如：第三方域为黑名单等。

此文在刚逛物美想到的，如有缺陷，请找我交流，感谢。

看看这些：

《玩转QQ系列——QQ黑客4》火爆袭来，带你体验不一样的QQ！Fucking Cool！！

woyigui — Mon, 22 Aug 2011 15:12:08 +0800

内容：
想不想“揪出”QQ上的隐身好友吗？
想不花一分钱轻松玩转QQ吗？
还在为QQ秀的大同小异而感到懊恼吗？
还在为无法了解“QQ黑市”而四处寻找门路吗……
再次揭秘QQ不敢述说的秘密，
有了玩转QQ4，你不再迷惘……QQ不再是QQ。你也不再是你。

QQ4 封面

QQ4 宣传海报

订购地址：

淘宝地址：http://item.taobao.com/item.htm?id=12607087709

在线商城：http://book.nohack.me/goods-83.html

看看这些：

Content-Type 防范 XSS 绕过

woyigui — Thu, 28 Jul 2011 14:34:53 +0800

一、前言
09 年写过一篇文章：json xss 防范（http://www.woyigui.cn/2009/04/28/json-xss/）。文章描述了控制Content-type类型，用于 json 回调 callback 函数接口(如：http://y.baidu.com/vote/data/detail_vote/290b873e69f2ec33a1e0c9f2?alt=html&callback=window.alert%28document.cookie%29&t=1294931209000 )XSS攻击的防范：

<?PHP
  header("Content-type: application/json");
  $woyigui = $_GET["xss"];
  echo $woyigui;
?>

因为之前公司全使用的是PHP代码，所以针对PHP代码此方案是相当有效的。时过变迁，换了公司后开始接触java\MVC等等框架，发现之前XSS解决方案针对现有的场景已经失效。
二、漏洞描述
最近测试发现，当文件后缀为 .htm\.html 后缀的情况下设置 application/json 等头部时，在 IE 浏览器下将不起作用，脚本依旧会执行。比如：

xss.html?callback=<script>alert(1)</script>

返回头部:

HTTP/1.1 200 OK
Date: Mon, 11 Jul 2011 06:17:05 GMT
Server: Apache
Content-Type: application/json;charset=GBK

此时，在 firefox 等浏览器里面执行会提示下载，脚本执行不成功，而当在 IE 里面去访问这个文件的时候，脚本就会执行的。
比如 utf-7 xss 的问题：

xss.htm?callback=%2B%2Fv9%20%2BADwAaAB0AG0APgA8AGIAbwBkAHkAPgA8AHMAYwByAGkAcAB0AD4AYQBsAGUAcgB0ACgAMQApADsAPAAvAHMAYwByAGkAcAB0AD4APAAvAGIAbwBkAHkAPgA8AC8AaAB0AG0APg-

如果采用控制文件内容方案设置 application/json 头部去防范 XSS，脚本也会执行的。
测试发现：
1、 .html : 可被绕过
2、 .htm：可被绕过
3、 .txt：可被绕过
4、 .php：可以防范
5、 .do：可以防范
6、 other：未测试
测试环境：
1、windows xp + ie6 + ie8
2、windows 7 + ie8 + ie9

三、原因
当请求的 http url 文件名扩展为：.htm .html 时，IE 首先会优先根据文件扩展名来判断解析文件内容（而非优先选择 application/json 头部做为首要依据），进而造成 XSS 攻击成功，绕过防范方法；
联想：IE 图片XSS解析漏洞、utf-7 xss 等等以内容解析而非以扩展名解析的攻击例子。

四、细节
1、application/javascript 等类型在IE下也是不起作用的。
2、设置头部：Cache-Control: max-age=0,no-cache 后，在IE访问漏洞URL时，需要请求两次。

五、解决方案
解决方案众多，在生成的扩展为 .html 等框架中，不要使用控制 Content-Type 方案即可。

看看这些：

php防注入

woyigui — Fri, 25 Mar 2011 22:50:29 +0800

翻某程序时看到这样写，记录下来：

function prepare_query($sql, $params=null)
{
	$sql_block	= explode("?", $sql);
	$sp_size	= sizeof($sql_block) - 1;
	$param_size	= sizeof($params);
 
	if ( $sp_size == 0 && $params == null)
		return $sql;
 
	if ( ($sp_size < 1) || ($param_size < 1) || ($sp_size != $param_size) )
		return "";
 
	if ($param_size == 1)
	{
		if ( gettype($params) == 'string')
		{
			$result = str_replace('?', "'".$params."'", $sql);
		}
		else if ( gettype($params) == 'integer')
		{
			$result = str_replace('?', $params, $sql);
		}
	}
	else if ($param_size > 1)
	{
		for ($i = 0; $i < sizeof($params); $i++)
		{
			if ( gettype($params[$i]) == 'string')
				$sql_block[$i] .= "'".$params[$i]."'";
			else if ( gettype($params[$i]) == 'integer')
				$sql_block[$i] .= $params[$i];
		}
 
		$result = "";
		for ($i = 0; $i < $param_size; $i++)
		{
			$result .= $sql_block[$i];
		}
	}
 
	return $result;
}

看看这些：

九级秘书

woyigui — Thu, 24 Mar 2011 23:24:49 +0800

总经理要求秘书安排次日上午九点开一个会议。在这件事下，什么是任务？什么是结果？下面是一至九段秘书的不同做法。

一段秘书的做法：发通知–用电子邮件或在黑板上发会议通知，然后准备相关会议用品，并参加会议。

二段秘书的做法：抓落实–发通知后，再打电话与参会的人确认，确保每个人被及时通知到。

三段秘书的做法：重检查–发通知，落实到人后，第二天在会前30分钟提醒与会者参会，确定有没有变动，对临时有急事不能参加会议的人，立即汇报给总经理，保证总经理在会前知悉缺席情况，也给总经理确定缺席的人是否必须参加会议留下时间。

四段秘书的做法：勤准备–发通知，落实到人，会前通知后，去测试可能用到的投影、电脑等工具是否工作正常，并在会议室门上贴上小条：此会议室明天几点到几点有会议。

五段秘书的做法：细准备–发通知，落实到人，会前通知，也测试了设备，还先了解这个会议的性质？议题是什么？然后给与会者发去过去与这个议题相关的资料，供他们参考（领导通常都是很健忘的，否则就不会经常对过去一些决定了的事，或者记不清的事争吵）。

六段秘书的做法：做记录–发通知，落实到人，会前通知，测试了设备，也提供了相关会议资料，还在会议过程中详细做好会议记录（在得到允许的情况下，做一个录音备份）。

七段秘书的做法：发记录–会后整理好会议记录（录音）给总经理，然后请求总经理是否发给参加会议的人员，或者其他人员。

八段秘书的做法：定责任–将会议上确定的各项任务，一对一地落实到相关责任人，然后经当事人确认后，形成书面备忘录，交给总经理与当事人一人一份，并定期跟踪各项任务的完成情况，并及时汇报总经理。

九段秘书的做法：做流程–把上述过程帮成标准化的”会议”流程，让任何一个秘书都可以根据这个流程，把会议服务的结果做到九段，形成不依赖于任何人的会议服务体系！

从以上九个不同段位的秘书的工作方法可以看出，由于对结果的追求程度不同，工作内容也发生了很大变化。总经理要的是结果，不是问我过程，至于过程中遇到的问题是我们应该去解决的，而不是强调这些客观，应该是从主观能动性上找问题，强调客观对我们于事无补，从主观上端正自己的态度才可以帮到我们提高工作。

看看这些：

新浪招聘安全工程师、安全开发工程师

woyigui — Mon, 28 Feb 2011 18:57:30 +0800

帮朋友发招聘：）

联系方式（邮箱&Gtalk）：guizaicn@gmail.com
欢迎有兴趣的同学！欢迎各种简历！

工作地点：北京

安全工程师：

职位描述：

负责公司产品和业务的安全检测和安全加固，引导开发人员修复安全问题
负责各类安全问题和安全事件的跟踪和分析，支持公司各部门日常安全工作
负责公司定期的安全风险评估和检测
负责安全设备，如防火墙、IDS、VPN等的维护和管理
负责WEB代码检查，WEB漏洞检测
DDoS、DNS劫持等突发网络安全事件的快速处理
突发安全事件的应急响应
跟踪和分析新的安全漏洞、安全技术

职位要求（满足以下一条或者多条均可）：

精通常见Web漏洞类型及原理（具有丰富经验者优先考虑）；
精通常见的WEB漏洞防范方法与安全审计；
精通渗透测试，熟练掌握各种渗透测试工具，精通常见安全攻防技术；
具有一定的编程能力，熟悉至少一种编程语言；
熟悉和处理过常见网络攻击，如DDoS、DNS劫持等突发网络安全事件的快速处理；
熟悉网络协议、交换机、路由器等网络设备的配置管理；
熟悉常见网络安全产品（如FireWall、IDS、Scanner、Audit、IPS、VPN等）的使用；
具有一定的逆向分析能力和经验；
对常见的Web编程语言要有一定的解读能力；
熟悉Linux或Windows操作系统及相关服务和应用的配置管理、安全加固；
熟悉钓鱼攻击和防范；
熟悉各种帐号保护机制，具有相关经验；
熟悉常见的应用程序漏洞、操作系统等漏洞；
跟踪和分析最新安全相关的技术；
具有较强的学习能力、良好的沟通能力、团队合作精神及高度的责任心

安全开发工程师：

职位描述：

负责公司内部安全支撑系统的开发和优化
负责公司网络安全相关的工具的设计与开发
把现有的安全类工作流程信息化，实现自动化操作
负责安全测试示例的编写

职位要求：

两年及以上开发或实习经验，能力突出者不受此限制
熟悉linux系统基本操作以及linux环境下的shell编写
熟悉PHP+MySQL开发，熟悉JavaScript、HTML、CSS，了解WEB基本原理
熟悉多种编程语言者优先，如C,C++,python,perl等
熟悉面向对象编程，具有优良的编程风格和习惯，并会编写各种开发文档
具有强烈的责任心，较强的学习能力
具有良好的合作沟通能力和团队合作精神
熟悉web安全，具有安全开发经验者优先

看看这些：

新浪微博批量取消关注

woyigui — Sat, 26 Feb 2011 16:01:06 +0800

上次写了一段代码：新浪微博批量关注,反弹follow（http://www.woyigui.cn/2010/09/28/sina-t-follow/）。最近发现好友太多，无法获取想要的信息，把代码稍微改了一下，进行取消的：

<script> 
var ig =document.createElement("script");
ig.src="http://tjs.sjs.sinajs.cn/t3/miniblog/js/user_search.js?version=20100927235001";
try {
  document.getElementsByTagName("body")[0].appendChild(ig);
} catch (e) {
  document.documentElement.appendChild(document.createElement("body"));
  document.getElementsByTagName("body")[0].appendChild(ig);
}
 
var xmlhttp;
//create XHR
function createXMLHttp(){  
  try {
    xmlhttp = new XMLHttpRequest();
  } catch (e) {
    var XMLHTTP_IDS = new Array('MSXML2.XMLHTTP.5.0',
           'MSXML2.XMLHTTP.4.0',
           'MSXML2.XMLHTTP.3.0',
           'MSXML2.XMLHTTP',
           'Microsoft.XMLHTTP' );
    var success = false;
    for (var i=0;i < XMLHTTP_IDS.length && !success; i++) {
      try {
       xmlhttp = new ActiveXObject(XMLHTTP_IDS[i]);
        success = true;
      } catch (e) {}
    }
    if (!success) {
      throw new Error('Unable to create XMLHttpRequest.');
    }
  }
}
 
function j_request (dourl) {
  createXMLHttp();  
  var tmp = "";
  xmlhttp.open("GET", dourl, false);  
  xmlhttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded;");
  xmlhttp.setRequestHeader("Connection", "close");
  xmlhttp.send(null);
  setTimeout( tmp = xmlhttp.responseText,100);
  return tmp;
}
 
 
function p_request (id) {
  createXMLHttp();  
  var tmp = "";
  xmlhttp.open("POST", "http://t.sina.com.cn/attention/aj_delfollow.php?rnd=0.5916840121431814", false);  
  xmlhttp.setRequestHeader("Content-Type","application/x-www-form-urlencoded;");
  xmlhttp.setRequestHeader("Connection", "close");
  xmlhttp.send("touid=" + id +"&fromuid=1633022551");
}
 
function evalid (content) {
  var text="";
  text = content.split("\n");
  for (var i=0;i < text.length; i++)
  {
    var regx = /App.followcancel\(\'/
    if ( regx.test(text[i]))
    {
      var patt=/[0-9]{10}/;
      var rs= patt.exec(text[i]);
	  alert( rs );
      p_request( rs );
    }
  }
}
 
function t_post() {
  for (var k=1;k<=3;k++) {
    evalid( j_request( "http://t.sina.com.cn/attention/att_list.php?action=0&page="+k ) );
  }
}
t_post(); 
</script>

看看这些：

【长期有效】淘宝招聘安全测试工程师

woyigui — Thu, 20 Jan 2011 23:45:32 +0800

此招聘信息长久有效，发邮件注明：应聘安全测试工程师
每一份简历都给电话面试机会：）

1、精通常见的WEB漏洞攻击方法：sql注入、xss、文件上传、文件包含、命令执行等漏洞。
2、精通常见的WEB漏洞防范方法与安全审计。
3、熟悉PHP、JAVA、javascript代码开发与安全审计；
4、熟悉linux、apache、mysql、php等安全配置与安全检查。
5、具有较强的沟通能力、团队合作能力、学习能力、文档撰写能力。
6、工作时间两年以上，应届毕业生不考虑。

工作地点：杭州

简历投递方式：
Email: wangting##taobao.com（##替换为@）
QQ:283088088