东东东 陈煜东的博客

月份存档: 四月 2014

宜搜移动顶告的垃圾wap建站系统

有个好友让我打理一下宜搜的wap手机建站系统(居然还给它做了超链接,我这是万分的纠结要不要链接呢)。他说他买了个顶告(就是页面最上方的一个广告,不同于竞价排名)花了几万元买了几年的使用权。好像看上去也不贵,才几万元就买了个好的关键字,当然了,如果在百度上那是能产生巨大的流量的,但是在宜搜就不知道了。

惨不忍睹的登录页面

于是我就登录后台看了下,一个页面那么丑,就知道是很久之前开发的了(虽然版权时间写的是2014年,也不好说这个是不是程序自动生成的)。看了下登录页面,抓取了数据的流量包看了下。我会和你说他的验证码居然是用JS生成的,压根不涉及到后台的服务器的交互;而且密码居然是明文传输,这得是个多么老的系统啊。本来想搞搞SQL注入的,但是试了许久就是没有搞出来。让一个朋友找了下,马上就找出来了(我这技术还真是差的,想学习安全访问的知识还是得走很长的路啊)。

一般明文的密码,后台是SQL的where username=username and password=password条件判断是结果集是否大于0;如果是hash加密过的,那么后台一般是从数据库select password 字段,然后程序看两者是否相等。因此明文密码字段可以存在SQL注入,hash的密码字段就不方便了。

功能不全的管理后台

进入到后台,后台的丑就不多说了,那个学习安全的朋友说研究一下有没有上传漏洞,看看传个网马是否可以。后文就不了解了。

我尝试进行文章、栏目的管理。在发了几篇文章后,显示的文章列表居然不是按照文章时间排序的(最新的文章在最上面),而是越早发布的文章在最前面,这样就有个结果是用户看到的永远就是老的文章。这个对于一个信息管理系统来说,简直就是逆天了。也不知道是哪个产品想的,这么基本的需求就没有想到么,还是你们根本就没有什么产品经理。而且在发布文章的页面还有个发布时间的字段,这个又是要给谁看呢,这个只是那么一个小小的SQL的问题居然都没支持?

我问客服,那这样怎么办啊?他说这个功能没支持,但是会给你反馈到技术人员那里去。给我提到一个内嵌的搜索模块,提供一个关键字能自动更新里面的内容。这个功能对我来说并没有用,但是我尝试了使用下这个功能看看效果,结果大吃一惊。5条的结果,有两条完全与那个关键字无关。另外三条还和关键字勉强有关系。但是点击里面的链接一看,得,都是2013年的新闻呢。你这个新闻搜索的索引是多久没有更新过了?

忽悠骗人的移动顶告

宜搜的顶告在2012年底就说停止运行了,并且不会再卖顶告了。而手机wap建站系统是依附顶告出现的。用户在购买顶告的同时可以获得一个wap建站的账号,用户可以在里面发文章,建立自己的wap页面。从后台的管理页面下载的文档可以看到文档的最后修订时间是2011.11.21。在一年的时间里居然都没有再更新文档了,到现在也2年多了也没更新。我问客服,客服说一个月前还更新过呢,鬼知道呢。

听我那个朋友说,经常还有会人打电话给他说帮他装修wap页面、或者说想高价购买他的顶告关键字。装修页面就更忽悠了,因为装修页面其实很简单,但是却需要收很高的钱。想高价购买关键字这个很可能也是骗人的,因为他们为了唬住他的客户不起什么争端。因为用户在购买关键字的时候,宜搜的工作人员告诉他们顶告是一个很好的投资,将来会升值,为了给用户一个心理安慰或者说平静用户的心理,于是就不定期的想高价购买这些用户的关键字,其实最后什么都没有发生。

现在网络上还有很多说这个顶告是如何类似传销骗人的呢,本人不对真实性验证,请自觉判断。参见:

进入新的无线推广

上面的2012年底停止了移动顶告,早在2012年6月发布了宜点通系统,方便用户投放搜索广告,这个搜索广告就像百度的竞价排名类似,混在搜索的结果里面。

其实移动顶告确实很影响页面的体验结果,因为风格完全格格不入。

现在用户在购买宜点通的关键字的时候可以有触屏版的网站建站系统,不过这个我没有去看过里面是个怎么个情况。我问过客服,说wap要转成触屏的建站系统APP,需要开通宜点通的账户,开户费600,首次预存5000。

我对这个不看好,懒的去看。

有待提升的安全隐私

我尝试打他们的客服电话问问情况,惊奇的发现还真的有客服,并且还有QQ客服。我问了一些使用上的问题,他问了我的顶告关键字,于是就直接进入我的后台帮我进行捣鼓了。我也知道是客服好意主动帮我进行设置,但是就这样进入我的后台也太随意了,也不经过我的允许。

什么明文保存的密码、验证码等等问题。不过令我惊讶的是在文章的查看页面居然还一直没有找到SQL注入的漏洞。

其实这些也都不算什么了,网上有帖子说用户购买宜搜的顶告关键字后,那些资料就被卖给我中搜,然后中搜的人就给你狂轰乱炸来电话让你也购买他们的东西。

关于宜搜的流量

宜搜这个搜索我是没有听过,在2G流行的时候,我在2007年上高中,那个时候主要是诺基亚的塞班手机为主。2010年后我上大学了,这个时候只能才流行起来智能机。网上说在2G时代,宜搜在那个时候占有一些的市场份额。那个时代还有百度、易查(这个我同桌用过)。

看了易观的2013年Q4移动搜索流量,宜搜居然占了17%的份额,百度72%,腾讯搜搜7%。我对这个还是很怀疑的。因为其他的网上报道说宜搜已经基本不见。见国外的comScore、StatCounter都没有指出宜搜的份额。很可能是宜搜的软文也说不定。

问问周围的人,都没有听说过这个搜索引擎,你也可以问问周围的朋友是否有听过这个。当然了我的周围都是程序员,一般用Google和百度,所以没听听过也还比较正常。

但是看到easou的alexa流量百度指数。我不的不说这个流量还是很大的,而且考虑到手机端的alexa取值不太方便,因此还会再更多很多。但是这个并不能说明市场份额。但是看出现在关注的人已经变的少了,从2013年就开始下降了。

我在WAP的管理后台查看点击的流量,看了下每天才不到10个人点击。看帖子说当时宣传可以有上万的点击量呢。因为我那个朋友购买的关键字是和地域有关的,所以要看也应该是本省的用户点击才是,但是看统计居然是全国各地的用户点击进入的。谁知道这个数据是不是假的,或者这些用户都不是目标客户。

PS:宜搜的搜索主页触屏版还挺好看的。

宜搜会不会存在不好说,但是搜索这块是不行的了。除非切入垂直领域,正在转行手游?

更多关于宜搜的帖子:

分类: 网站建设

[PHP]CodeIgniter自动检测https出现问题

先说下我的环境吧,我是nginx的服务器,并不是apache的。可能此文章导致的这个问题和nginx有关。

在用codeigniter编写项目的时候,使用redirect()函数发现出来的居然是https的URL。这个就令我纳闷了,为什么,我明明没有https连接,为什么老给我解析成https呢。

我看了下redirect()的代码,里面调用到了site_url()。发现这个是系统类库的一个文件,在构造器的地方初始化了这个https的问题。我们来看看这个相关的代码。

if (isset($_SERVER['HTTP_HOST']))
{
    $base_url = isset($_SERVER['HTTPS']) && strtolower($_SERVER['HTTPS']) !== 'off' ? 'https' : 'http';
    $base_url .= '://'. $_SERVER['HTTP_HOST'];
    $base_url .= str_replace(basename($_SERVER['SCRIPT_NAME']), '', $_SERVER['SCRIPT_NAME']);
}
else
{
    $base_url = 'http://localhost/';
}

我们看第三行,对$_SERVER['HTTPS']里面的相关值进行的。因此我们必须得打印出来看看系统的值是什么。

Array(
    [HTTPS] =>  string(0) ""
    [HTTP_HOST] => string(10)  "host.local"
)

可以看到我的Nginx在$_SERVER['HTTPS']居然为空字符串。因此codeigniter的这个判断是否是https是有问题的。应该修改修改。

应该修改成

isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] && strtolower($_SERVER['HTTPS']) !== 'off' ? 'https' : 'http';

关于$_SERVER['HTTPS']这个定义,我们是可以在Nginx的站点配置进行更改。因此我们也不好说会是个什么情况。

另外在/system/helpers/url_helper.php中的redirect()函数我觉得不是太合理。官方在拼接URL的时候使用了site_url('/news/local/123')这个函数拼接出来的结果是http://host.local/index.php/news/local/123。个人感觉不太合适,因为我们自己做了URL的重写,那么就不应该出现/index.php/的字眼。因此这里我改用了base_url()函数。

分类: PHP

Windows7修复引导程序 引导项

因为之前的系统格式化了,重新安装了一个系统。现在新系统里面出现了一个叫”Windows 启动管理器“有两个启动项。一个是现在的新系统的名称,还有一个是以前老系统的名称,但是老系统已经被我格式化了,所以我需要将它从这里删除,以免影响我的视觉。

存在问题的引导选项

存在问题的引导选项

以前在Windows XP时代,在C:\boot.ini里面有启动项的配置的,但是到了Windows 7这个文件就不在了。因此在删除这个引导项的时候要通过其他的方法来进行。

修复

按win+r键打开运行窗口。输入msconfig打开系统配置。点击引导选项卡,找到需要删除的项,点击删除后确定就完成了。

删除无用的引导选项

分类: 软件

Linux ntpdate同步网络时间

自己的Linux服务器的时间和PC机上的时间不太对,打log的时间对不上,不太方便调式信息的判断,因此需要同步一下Linux服务器的时间和自己Windows的时间,两者一致,才方便调式的查看呢。

同步网络时间

在Linux下,我们可以使用ntpdate进行网络时间的同步,而不是我们自己去设置时间。这个命令的使用很简单,

ntpdate  0.cn.pool.ntp.org

另外网络时间同步和时区是不一样的。你可以选择任何一台网络时间同步服务器来同步你的时间,只要你的时区设置是对的,那么你的Linux上的时间就是对的。因为全球都是基于一个标准时间来约定的,美国人民与我们不同的是时区不同,经过换算,我们和他们的标准时间是一样的。

定时的同步时间

我们可以使用crontab来定时的同步时间

vim /etc/crontab
10 5 * * * root (/usr/sbin/ntpdate 0.cn.pool.ntp.org && /sbin/hwclock -w) &> /var/log/ntpdate.log 

每天的5点10分crontab运行一次命令,自动同步时间。

如果你具有多台的服务器,不要使用这个方法来定时的同步的你服务器,请使用ntpd来进行,这个还可以校准始终的问题。详情查看鸟哥

使用ntpdata造成的时间的越变还可能引发因某些依赖连续时间的程序的问题。一般第一次使用ntpdate,接下来使用ntpd服务来不断的调整时间。参见http://blog.sina.com.cn/s/blog_3f3422fd0100f06c.html

如何设置时区

将时区设置为东8区的时间,虽然服务器在全球的不同地方,但是我们人在中国,看着中国的时间比较有感觉。

cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
date
# Mon Mar 31 11:02:55 CST 2014

另外如果使用date命令查看时间,发现刚刚好相差8个小时或者其他的小时,那么应该就是你的时区设置不对,快快修改一下吧。

网络时间同步服务器列表

全球那么多的网络时间同步器,那么使用哪个好呢。我们知道数据在网络上流动是由延迟的,因此我们选择离我们服务器越近的服务器进行同步,时间越准。

时间服务器分为两种,一种是一级时间服务器,另外一种是二级时间服务器。我们如果是同步自己的服务器的时间,那么选择二级时间服务器,因为一级时间服务器是为二级时间服务器提供时间校对服务器,我们尽量不要增加一级服务器的压力。这种层级的概念和DNS的层级概念是一致的。

一级时间服务器列表:http://support.ntp.org/bin/view/Servers/StratumOneTimeServers

二级时间服务器列表:http://support.ntp.org/bin/view/Servers/StratumTwoTimeServers

附二级服务器列表:

  • 0.pool.ntp.org  有域名负载均衡
  • 0.cn.pool.ntp.org  有域名负载均衡
  • ntp.tuna.tsinghua.edu.cn 清华大学
  • time.windows.com    微软

分类: Linux

将sublime text添加到右键菜单中

使用的是免安装便携版的Sublime Text,所以右键加入菜单这样的事情也就是能自己手动来设置了。

将下面的代码保存为*.reg的文件,然后导入到注册表中,这样就可以在右键的菜单中打开文件或者文件夹了。

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\*\shell\SubLime]
@="edit with Sublime Text"

[HKEY_CLASSES_ROOT\*\shell\SubLime\Command]
@="E:\\Program Files\\Sublime Text 2\\sublime_text.exe \"%1\""

[HKEY_CLASSES_ROOT\Directory\shell\SubLime]
@="edit with Sublime Text"

[HKEY_CLASSES_ROOT\Directory\shell\SubLime\Command]
@="E:\\Program Files\\Sublime Text 2\\sublime_text.exe -a \"%1\""

分类: Programming

Copyright © 2017 东东东 陈煜东的博客 粤ICP备13059639号-1

SITEMAP回到顶部 ↑