转载自：http://blog.csdn.net/panyanhui/archive/2010/07/01/5706345.aspx

今天看到CSDN举办了一个论坛，研发人员的绩效管理，很遗憾没能早知道这个消息，没有参加学习。不过在我管理技术部门的时候，其实是把表格上的绩效管理取消的了，因为感觉除非超大型的公司，否则没必要给技术人员做绩效管理，只有主管有绩效就可以了。原因有几个：

1，在中国，知道怎么做绩效的人很多，知道怎么很好执行绩效的人很少。90%的公司有绩效无执行（此处指所有的公司，不仅仅是IT）

2，让技术人员写1000行代码容易，让他们填写绩效表格难，很容易引发负面情绪

3，技术是个良心

[阅读全文]

从昨天开始，访问博客时快时慢，今天直接出现打不开的情况，开始以为网络或者服务器的压力问题，也就没有过多注意，今天打不开的时候，无意中发现，实际打开的url后面增加了一个参数：?UpdatedPage=aGlqYWNr，奇怪了，网站的url访问是不带这个的。
于是上google一搜，分析为服务器端被ARP欺骗攻击了，没有办法，服务器不是自己控制，只好联系管理员处理了。

漏洞介绍：IIS是微软推出的一款webserver，使用较为广泛，在支持asp/asp.net的同时还可以较好的支持PHP等其他语言的运行。但是80sec发现在IIS的较高版本中存在一个比较严重的安全问题，在按照网络上提供的默认配置情况下可能导致服务器泄露服务器端脚本源码，也可能错误的将任何类型的文件以PHP的方式进行解析，使得恶意的攻击者可能攻陷支持PHP的IIS服务器，特别是虚拟主机用户可能受的影响较大。

漏洞分析：
IIS支持以CGI的方式运行PHP，但是此种模式下，IIS处理请求的时候可能导致一些同80sec提到的nginx安全漏洞一样的问题，任何用户可以远程将任何类型的文件以PHP的

[阅读全文]

漏洞介绍：nginx是一款高性能的web服务器，使用非常广泛，其不仅经常被用作反向代理，也可以非常好的支持PHP的运行。80sec发现其中存在一个较为严重的安全问题，默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析，这将导致严重的安全问题，使得恶意的攻击者可能攻陷支持php的nginx服务器。

漏洞分析：nginx默认以cgi的方式支持php的运行，譬如在配置文件当中可以以

location ~ .php$ {
root html;
fastcgi_pass 127.0.0.1:9000;
fastcgi_index index.php;
fastcgi_param SCR

[阅读全文]

国内顶级安全团队80sec于5.20日下午6点发布了一个关于nginx的漏洞通告，由于该漏洞的存在，使用nginx+php组建的网站只要允许上传图片就可能被黑客入侵，直到5.21日凌晨，nginx尚未发布修复该漏洞的补丁；已经有一些网站被黑了，管理员速修复！

根据Netcraft的统计，直到2010年4月，全球一共有1300万台服务器运行着nginx程序；非常保守的估计，其中至少有600万台服务器运行着nginx并启用了php支持；继续保守的估计，其中有1/6，也就是100万台服务器允许用户上传图片。
没错，重申一次，由于nginx有漏洞，这100万台服务器可能通过上传图片的方法被黑客轻易的植入

[阅读全文]