2006年5月29日 星期一

好物介紹: VideoDownloader

這是一個 Firefox 的擴充套件。可以讓你下載 Youtube, Google, Metacafe, iFilm, Dailymotion... 以及其他 60 個以上的影片網站 ! 除了影片之外,也可以讓你輕易、直覺下載各種內嵌在網頁中的物件 (movies, mp3s, flash, quicktime, etc) !

這個擴充套件的網址在 VideoDownloader 1.0 (大小僅 20KB)

此擴充套件的原理是去呼叫 VideoDownload.net 這個網站,由這個網站去分析你當前正開啟的 URL,並擷取、判斷網頁內容,找出各種內嵌式物件的真實位址 (URL),然後丟出來一個(或數個)可供下載的連結。

Google Vedio 可以直接下載 AVI 檔,我想比較沒有問題,不過 Youtobe 的影片格式只能存成 flv 檔案格式(Flash檔),這時候可以另外下載 FLV Player 來播放。FLV Player 是用 flash 設計,且是 open source 的。

2006年5月26日 星期五

Wordpress

blogger 注意了,Wordpress 2.0.2 及之前的版本有 remote shell exploit。

exploit 成功執行的條件是

  1. 可讓外部使用者註冊(也就是需有合法帳號)

  2. 需開啟 cache 功能。


幸好 WP 預設應該是沒有 cache (文章快取)功能的。這個漏洞主要是因為 WP 把文章快取存成 PHP 檔(位於 wp-content/cache)。而合法註冊帳號只要去修改自己的資料欄位(比如說文章顯示的作者名稱),就可以跟著快取資料一起被寫入那個 PHP 檔。

詳情: Wordpress < =2.0.2 'cache' shell injection

2006年5月23日 星期二

MS zero-day Word exploit

最近資安界很熱鬧的新聞,Word 出了一個 0 day (尚無方法可以修補)的 exploit。

當你打開一個來路不明的 word doc 檔時,可能就會執行駭客預先安排好的後門程式。

所以最近有人寄 Word 來請不要亂開。(如果有需要我可能會透過 gmail 的 html 預覽格式來看內文)

MS Word Zero-Day Exploit Found

2006年5月5日 星期五

PHPNuke to Drupal

PHPNukeDrupal 都是很有名的 CMS。不過 PHPNuke 對中文不友善,而且內建使用 Big5,可能不符未來的使用需求。
(也有人做了 utf-8 的版本,但畢竟不是官方支援。)。更重要的是,PHPNuke 漏洞實在太多,維護的作者只有一個人,而且寫作習慣不太好。

感謝 alan 建議了 Drupal 這套 CMS。小弟試用了一下發現挺不錯。不過 4.6 的預設安裝畫面怪怪的,讓人覺得什麼都沒有。但 4.7 就好很多。對於模組的寫法也相當有組織,相信將來寫自己的模組應該會比較愉快。

要從 PHPNuke 轉換至 Drupal 有工具可以用:

[[MORE]] PHPNuke To Drupal Migration (phpnuke 7.1 轉至 drupal 4.6)

請注意不適用於 drupal 4.7。

但 phpnuke 使用 big5,drupal 改用 utf-8,這個部分也要花點功夫

2006年5月3日 星期三

ajax 入門

對於 web 2.0 的世界,最重要的 ajax 就是由 javascript 構成的。如果會一點 cgi 或 php 或 asp 任一種 server side 語言,再搭配 javascript 就可以達到想要的效果。

但不會 javascript 是不是就沒辦法用 ajax 了?倒也不盡然,您可以花十分鐘學會它的基本語法:

Javascript in Ten Minutes

然後再花十分鐘看一下這個例子,用 GET 方法呼叫 php (或替換成asp,cgi...) 程式:

Data Retrieve from Mysql using AJAX with PHP

然後舉一反三、依此類推、依樣畫葫蘆,也就可以弄一個自己的 ajax 程式了。