详细介绍请查看：http://www.owasp.org.cn/OWASP_Conference/AppSec_2011/training

 1. 如何使用OWASP项目和工具提升企业安全（针对人群：CISO， 高级信息安全经理）语言：英文，视情况确定是否需要同传。

内容：

Setting up and improving your global security organisation using mature OWASP projects and tools. Achieving cost-effective application security and bringing it all together on the management level. How to use and leverage OWASP and other common best practices to improve your security programs and organization. The workshop will also discuss a number of quick wins and how to use OWASP tools inside your organisation. The author has extensive experience of managing his own secure development organization as well as advising to improve a number of global secure development organisations and processes.

Topics:

- OWASP Top-10 - how to use within your organisation
- Risk management and threat modeling methods (OWASP risk analysis, ISO-27005,...)
- OWASP Secure Coding Practices - Quick Reference Guide
- Development Guide
- Training for developers (e.g. Webgoat)
- Maturity Models (SAMM)
- common APIs: ESAPI (Enterprise Security API)
- Measuring: ASVS (Application Security Verification Standard) 

2.     网银系统安全框架设计

1. 培训内容简介
2. 银行业务系统的历史和发展
3. 银行业务系统安全的重要性
4. 网银应用系统的特殊性
5. 网银应用系统设计的特点
6. 银行网络应用的安全考虑 
7. 银行业务网络构架图及安全考虑
8. 银行业务数据流程图及安全考虑
9. 银行业务工序流程图及安全考虑
10. 业务系统安全设计文档的撰写
o 高层设计
o 底层设计
11. 收集学员反馈

3. OWASP Top 10 及其防治

通过本次培训，学员们可以获取以下技巧：

·   什么是OWASP Top 10
·   什么是OWASP ESAPI，它的设计原理以及用它防治Top 10，以及它的某些实现中的缺陷
·   如何使用静态分析工具去发现代码的安全漏洞
·   如何使用动态分析工具去发现系统的安全漏洞
·   作为一个QA，我该如何去做渗透测试 

4. 安全开发之道 - 从源头解决和预防安全漏洞

1） 安全开发的重要性

1.1）安全漏洞简介

1.2）安全问题的起因

1.3) 为什么要安全开发

2) 如何从流程上保证安全开发

2.0) 各个阶段问题的统计数据

2.1）任务启动之前的准备

2.2) 产品需求分析阶段

2.3) 设计

2.4）编程

2.5） 测试

2.6） 如何保证工作流程的措施得到实施

2.7) 配置管理的重要性

3） 总结 Summary

OWASP是一个开源的、非盈利的全球性安全组织，致力于应用软件的安全研究。近几年，OWASP峰会以及各国OWASP年会均取得了巨大的成功，推动了数以百万的IT从业人员对应用安全的关注以及理解，并为各类企业的应用安全提供了明确的指引。

 OWASP中国分会已经分别成功举办了OWASP 2009上海峰会、OWASP 2010中国峰会. 2011年OWASP中国峰会将升级为OWASP全球四大区域会议之一的OWASP 亚洲峰会。本次峰会期间，还会举办国内首个互联网安全产品展览，邀请国内外各安全厂商、个人软件开发者参与展示最新的技术；同时，也会邀请电信、金融、电力能源、政府等各领导莅临参观指导！

时  间：2011年11月8日-11月9日    OWASP亚洲峰会+安全产品展

         2011年11月10日-11月11日    安全培训

地 点：北京国际会议中心（北京市朝阳区北辰东路8号）

更多详细信息，请查看OWASP中国网站：http://www.owasp.org.cn

bug文件:/selfservice/toNewCreateBankCardInfo!photoView.jsp

bug说明:验证cookie,即可读取用户上传身份证,企业营业执照信息

方法:随便去注册个用户,直接打开http://www.yeepay.com/selfservice/toNewCreateBankCardInfo!photoView.action?pid=288 页面,pid参数值为1-999,再高的就没图了,应该是签约的商户不多吧.

转载请注明出处!

    这是宏大的史书所构成的一种印象，加之所谓必然性的因素，让我们对于历史产生了一种类似于恢宏壮丽的感觉。实际上，这种印象未必是对的，更多的是那种慢慢焚烧的野火与地火，只是在冲出地面之前，不论是在史书还是民间的传说里，那些都是不值一提的小事，很多人就此忽略了他们的存在。

    太平天国是非常典型的例子之一。在此之前，晚清已经只剩了一个空壳，即使这个空壳也被船坚炮利的洋人轰得千疮百孔。洪秀全不过是个不得志，而且读书也不好的人，即使借着我们这里的造反传统拉起一票人马，在没出广西的时候就已经开始显示出了颓势。不但大肆封王许愿，连后宫都置办整齐了。

    如果深入研究太平天国的话，就会知道其荒唐已经到了极点。所谓的“天朝田亩制度”从来就没有真正实现过，所到之处焚书坑儒不算，还把治下的人民分成男女两营，如果发现有苟合之事，立刻会招致灭顶之灾。与此同时，那些王爷之类的高官则纷纷大建王府，建设自己的小后宫。

    等级制度之森严也是他们的一大特点，甚至已经发挥到了骇人听闻的程度。古人虽然讲究官大一级压死人，但毕竟都是有头有脸的人物，在面子上总还是过得去。而只有那种完全不知道如何用文化维系关系的政权，才能把所有的等级差异如此明显地表现出来。某侯爷的家人触犯了某王爷的威仪，不但自身落得身首分离的下场，连那个侯爷也要负荆请罪，最终被羞辱一顿。

    如此荒唐的政权竟然也席卷了大半个中国，总是有道理在。这个道理不妨从晚清最后几年的一段轶事当中去寻找。

    野史有记，号称自己要“八表经营”的张之洞办了一生的事，虽然始终被李鸿章目为书生，但自然也算是有自己的局面。当临终的时候，末帝溥仪的生父、时任摄政王的载沣虽然与之政见不合，但也是亲临床榻看望之。张之洞毕竟是四朝老臣，临死之时还是念念不忘天下安危，提出要善抚民众。摄政王载沣扬扬得意道：“不怕，有兵在。”张之洞从此再无一语有关国计民生的大计献于摄政王大人之前。在他看来，清朝已经是完了。虽然张之洞没有所谓现代政治思维，但他知道，但凡是统治者勒兵观变的心态一出，这天下从此就算是无可收拾了。

    回到洪杨的太平天国，其实这就是所有给予旧王朝致命打击的关键所在。在尚未知道自己已经病入膏肓的时候，看上去所有正在风光的统治者都是异常强大的，在这之前，他们已经镇压过多少次反抗，并且都轻易得手了。“有兵在”这句话就是支撑所有统治者最厉害的春药，让他误以为自己的位子是很稳固的。

    一次又一次的成功，让他们认为这些东西根本没什么了不起，只要是采取强硬的措施，没有人能扛得住专业的大军。当初皇帝拨内帑200万两、赠“遏必隆”宝刀于赛尚阿之时，估计也是这么想的。

    这就是所有王朝崩溃时的特点，在那之前已经有过多少次不成功的事例，而种种东西都在老百姓的心里埋藏着。这次不能爆发、这里不能爆发，总有一个哪怕是荒唐的机会爆发出来。星火燎原，固然星火是原因，但离离原上草才是星火可以燎原的根本，受害者的范围越来越大、最终参与者越来越多。今天这个火星很容易就灭了，明天有阵微风又吹过来，烧起来的范围大了一些。谁也不知道哪颗火星最终会引燃那场焚天的烈火。

    陈胜吴广起义不过是因为戍边失期，而李自成是因为裁撤役卒而下岗。微风起于萍末之时，仿佛说着“有兵在、有兵在，那是谁的兵？”

一、孤立用户的问题 比如，以前的数据库的很多表是用户test建立的，但是当我们恢复数据库后，test用户此时就成了孤立用户，没有与之对应的登陆用户名，哪怕你建立了一个test登录用户名，而且是以前的用户密码，用该用户登录后同样没办法操作以前属于test的用户表。

           这个问题有两种办法解决。 先说解决的前提条件。 首先，要用备份文件还原数据库，我们这里的数据库名为testdb，里面有属于用户test的用户表。这个很容易了操作了，不多讲了，在企业管理器中很方便可以恢复。恢复后，就产生了孤立用户test。然后，用sa用户或者具有DBA权限的用户登录，创建一个test数据库登录用户，密码随便设置了，也可以和以前的保持一致。我们用它来对应孤立的test用户。

     使登录用户和数据库的孤立用户对应起来 其实我们建立了同样名称的数据库登录用户后，数据库中的表我们照样不能使用时因为sid的不同，就是系统登录表和数据库用户表中的用户名相同，单是sid字段，数据库中的还是以前旧系统的sid值，所以我们就要把它对应成我们新建的，数据库靠sid来识别用户。 这里可以使用存储过程sp_change_users_login。它有三种动作，分别是report，update_one和auto_fix。

 运行sp_change_users_login 'report'，系统会列出当前数据库的孤立用户数。

我们只需要选择当前数据库为testdb，然后运行 sp_change_users_login 'update_one','test','test' --系统就会提示修复了一个孤立用户。

如果没有建立test的登录用户，还可以用 sp_change_users_login 'Auto_Fix', 'test', NULL, 'testpassword' --来创建一个登录用户名为test，密码为testpassword的用户与之对应。 好了，到这里通常情况下，数据库对象得到访问问题已经解决了。如果有多个数据库中有同一个用户的数据表，只需要选择不同的数据库，执行update_one的那个就行了。

二、对象名 ‘tablename’ 无效的问题 这里可能会有人遇到对象名 ‘tablename’无效的问题。系统表却不会产生这个问题，而用户表还要加上用户名，然后是表明才能访问，比如select * from author,会说对象名 author 无效，而用select * from test.author就可以访问，这个是用户首选身份的问题。

方法一： 解决很简单，就是察看test登录用户是否具有dba的权限或者系统管理的权限，有的话去掉就行了。 因为如果用户有dba身份，那么它登陆后的默认表空间是dbo的系统表空间，所以去掉了之后，就会以正常的test表空间访问数据表了。

方法二： 将所有test所有表设置为dbo就OK了

执行语句：exec sp_msforeachtable "sp_changeobjectowner '?','dbo'"

在IE8下把anonymous换成onclick即可,但IE7对onclick事件也有问题,IE6还不知道,就加了个判断.

if (element.YUSERONCLICK) {
   eval(element.YUSERONCLICK + "anonymous()");
}

替换成：

if(navigator.appVersion.match(/8./i)=='8.')
    {
      if (element.YUSERONCLICK) eval(element.YUSERONCLICK + "onclick(event)");   
   }
else

   {
     if (element.YUSERONCLICK) eval(element.YUSERONCLICK + "anonymous()");
}

测试后基本可以,360，谷歌,都过.