- 博客(73)
- 收藏
- 关注
RSS订阅转载 关于XSS(三)
http://tmxk.org/forum.php?mod=viewthread&tid=218这一次是持久性的xss。所谓持久性就是数据保存到服务端的数据库,这种危害更大。以特步分站为例http://2011spokesman.xtep.com/:一个投票网站,首先看结构.net 2.0.507版本的,报错严重,可以泄露网站敏感信息。如,http://2011spokesma
2013-10-29 16:42:08
1564
转载 关于XSS(二)
http://tmxk.org/thread-217-1-1.html前面是xss基础。现在看看xss实战:第一个:拿www.b2b.cn做测试。用标注字符测试,搜索"/即可,看网页里有无所搜索字的显示,即回显。有则再看网页源码,这些会显示以实体字符还是以原样存在的。实体字符就是&#十六进制形式的。如果不是实体就可以XSS了。搜“/http://search
2013-10-29 16:40:00
932
转载 关于XSS(一)
http://tmxk.org/forum.php?mod=viewthread&tid=216XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。使用过ASP的同学一定见过这样的代码:Hello,
2013-10-29 16:34:51
1057
转载 关于XSS的一点思考
http://tmxk.org/forum.php?mod=viewthread&tid=256最近总是无意中间发现一个XSS,而且都是比较大的。XSS的字面意思大家都知道,可是它到底是那种程度的漏洞,它的危害在哪儿。对一个网页来讲,XSS就是在未经授权的情况下,向里面插入内容,因为未经授权所以就是漏洞。但大家更多的关注的不是授权,而是插入内容,这个内容经常带有危害性。
2013-10-29 16:34:02
937
转载 浅析XSS(Cross Site Script)漏洞原理
http://publish.it168.com/2007/0704/20070704004201.shtml近一些人频频在博客里炫耀说黑了某某门户网站,发现了某某大站的漏洞,竟然还要收取发现漏洞的费用,仔细瞧了一瞧,全是一片噼里啪啦alert消息框的截图,只是简单的触发了XSS,心痒难耐,于是写了这篇拙文道出我对跨站脚本漏洞原理的一些理解。 如果你还不知道什么是XSS,
2013-10-29 16:32:02
1191
转载 浅析XSS跨站脚本攻击
本文固定链接: http://www.bravelee.net/?p=241 | Bravelee's Blog目 录第1章 XSS概述... 11.1 XSS定义... 11.2 XSS危害... 11.3 XSS攻击原理... 1第2章 XSS攻击类型... 22.1 反射型XSS. 2
2013-10-29 16:23:26
1792
转载 javascript注入
http://zxf-noimp.iteye.com/blog/11307711、JavaScript注入就是在浏览器地址栏中输入一段js代码,用来改变页面js变量、页面标签的内容。使用Javascript注入,用户不需要关闭或保存网页就可以改变其内容,这是在浏览器的地址栏上完成的。命令的语法如下:Js代码 javascript:alert(#co
2013-10-29 16:21:41
1103
转载 利用JavaScript绕过表单限制及验证
http://blog.csdn.net/huaerbubai7/article/details/8074429本教程主要介绍了如何利用javascript绕过一些简单的或者更高级一点的html表单限制及cookie/session验证.简单的表单限制1.绕过必填表项你会经常碰到一些页面需要你填满所有的表项才能提交,但是我们完全可能绕过这些限制.如果你仔细看一下页面
2013-10-29 16:19:15
6068
转载 一刻钟精通正则表达式
http://blog.renren.com/blog/234408130/483959247想必很多人都对正则表达式都头疼。今天,我以我的认识,加上网上一些文章,希望用常人都可以理解的表达方式来和大家分享学习经验。 开篇,还是得说说 ^ 和 $ 他们是分别用来匹配字符串的开始和结束,以下分别举例说明: "^The": 开头一定要有"The"字符串; "of d
2013-10-29 16:16:49
609
转载 Java正则表达式入门
http://blog.csdn.net/kdnuggets/article/details/2526588 众所周知,在程序开发中,难免会遇到需要匹配、查找、替换、判断字符串的情况发生,而这些情况有时又比较复杂,如果用纯编码方式解决,往往会浪费程序员的时间及精力。因此,学习及使用正则表达式,便成了解决这一矛盾的主要手段。 大 家都知道,正则表达式是一种可以用于模式匹配和替换的规范,一
2013-10-29 16:13:08
592
转载 设置Session失效的几种方法
http://www.e800.com.cn/articles/2011/0706/490105.shtmlSession对象是HttpSessionState的一个实例。该类为当前用户会话提供信息,还提供对可用于存储信息会话范围的缓存的访问,以及控制如何管理会话的方法。下面介绍设置session失效的几种方法。 在系统登录后,都会设置一个当前session失效的时间,以确保
2013-10-29 10:15:43
1227
原创 常用正则表达式
用来在后台验证输入是否符合格式,以防范Javascript Injection和XSS,在网上查了很久,然后自己按要求做了些修改,做过一些验证都可以通过,但是不能确保验证全面。import java.util.regex.Matcher;import java.util.regex.Pattern;public class RegExPattern { public static
2013-10-28 20:23:55
741
转载 Hibernate用法:查询,更新,删除!
http://developer.51cto.com/art/200611/34123.htm一、基本数据查询使用Hibernate进行数据查询是一件简单的事,Java程序设计人员可以使用对象操作的方式来进行数据查询,查询时使用一种类似SQL的HQL(Hibernate Query Language)来设定查询的条件,与SQL不同的是,HQL是具备对象导向的继承、多型等特性
2013-10-26 14:32:10
669
转载 Spring MVC 的请求参数获取的几种方法
http://babyduncan.iteye.com/blog/1124453通过@PathVariabl注解获取路径中传递参数 JAVA 1 @RequestMapping(value = "/{id}/{str}") 2 public ModelAndView helloWorld(@PathVariable String id, 3
2013-10-26 14:20:44
859
转载 Spring MVC 学习笔记 by starscream
http://starscream.iteye.com/category/158441太多了,转不过来了。目录收录在此。Spring MVC 学习笔记 一 创建项目Spring MVC 学习笔记 二 spring mvc Schema-based configurationSpring MVC 学习笔记 三 handlerMapping和handlerAda
2013-10-26 14:19:31
895
转载 Spring mvc系列八之 页面静态化(一)
http://mylfd.iteye.com/blog/1894407提升网站性能的方式有很多,例如使用缓存技术,页面静态化等.对于一个网站来说,如果数据更新频率不高的话,那就没有必要没次都要从数据库取数据,一来调动数据库,响应速度慢,二来增加服务器对数据响应的负荷,三来不利于优化引擎.随着一个网站的访问量的加大,每次从数据库读取数据是以效率为代价的,特别是一些门户网站,网站访问慢对用
2013-10-26 14:17:14
1128
转载 Spring mvc系列七之 文件上传
http://mylfd.iteye.com/blog/1893648springMVC默认的解析器里面是没有加入对文件上传的解析的,使用springmvc对文件上传的解析器来处理文件上传的时需要用springmvc提供的MultipartResolver的申明,又因为CommonsMultipartResolver实现了MultipartResolver接口,所以我们可以在spr
2013-10-26 14:16:40
995
转载 Spring mvc系列六之 ajax运用(基于json格式)
http://mylfd.iteye.com/blog/1893173此篇文章的讲解是基于前几篇文章的内容,如果大家有看不懂的地方可以看前几篇的内容.spring mvc返回json数据可方法常用的有直接PrintWriter 输出使用Spring内置的支持下面我分别对上面的两种方法进行讲解:注意这篇文章的讲解使用的是spring3.2版本,此版本与spri
2013-10-26 14:16:06
1204
转载 Spring mvc系列五之 数据填充与返回
http://mylfd.iteye.com/blog/1889586这篇文章的讲解都是基于注解的方式,关于spring mvc注解的介绍可以看我的上一篇文章:Spring mvc系列四之 注解介绍以及spring mvc的其它运用可以看我spring mvc系列的文章.在讲spring mvc的时候讲解@RequestParam和@PathVariable用过spring
2013-10-26 14:14:13
885
转载 Spring mvc系列四之 注解介绍
http://mylfd.iteye.com/blog/1888505关于怎样在spring mvc中配置使用注解请看我上一篇文章:Spring mvc系列三之 开启注解,首先用@Controller("userController")标志一个类为控制器,@Controller负责一个bean注册到spring上下文中,bean的ID默认是类名首字母小写,也可以自己定义,下
2013-10-26 14:13:35
888
转载 Spring mvc系列三之 开启注解
http://mylfd.iteye.com/blog/1887319spring mvc 基于注解的使用,相当于配置文件的使用简单的多.下面讲一下spring mvc 注解的使用先首确保已经把spring mvc的环境搭配好.这里可以看我的前一篇文章Spring mvc系列一之 Spring mvc简单配置.先看一下再未使用注解前,spring mvc的配置文件
2013-10-26 14:13:02
1536
转载 Spring mvc系列二之 控制器多方法访问
http://mylfd.iteye.com/blog/1887034Spring mvc默认配置文件放在/WEB-INF/目录下的,而且其名字的也是有约定的,讲一下修改Spring mvc的默认配置.修改web.xml配置文件即可.其配置如下:Xml代码 xml version="1.0" encoding="UTF-8"?> web-app
2013-10-26 14:12:03
968
转载 Spring mvc系列一之 Spring mvc简单配置
http://mylfd.iteye.com/blog/1886061Spring MVC做为SpringFrameWork的后续产品,Spring 框架提供了构建 Web 应用程序的全功能 MVC 模块。使用 Spring 可插入的 MVC 架构Spring 的 Web MVC 框架是围绕 DispatcherServlet 设计的,它把请求分派给处理程序,同时带有可配置
2013-10-26 14:11:14
619
转载 spring 3.0MVC 一个简单demo
http://longflang.iteye.com/blog/889146今天看到网上的文章,说如何在项目中选择MVC框架,看了一下Spring 3.0 MVC 的文档,感觉用注解的方式还是比较方便。跟Struts2比起来各有优点(注:以前用过struts1.x,现在用的是Strust2.x)。如果要选择的话看实际项目架构情况来选择。不说了,动手做一个spring 3.0MVC 的dem
2013-10-26 14:08:06
834
转载 XSS之xssprotect
http://liuzidong.iteye.com/blog/1744023参考资料 1 跨网站脚本 http://zh.wikipedia.org/wiki/XSS 2 http://code.google.com/p/xssprotect/ 一 跨网站脚本介绍 跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是
2013-10-26 14:03:42
2531
转载 JSP的错误页面设置和页面跳转等
http://blog.csdn.net/xuexijava/article/details/5456875http://www.360doc.com/content/11/0607/02/6924785_122135028.shtmlhttp://www.360doc.com/content/13/0727/09/13247663_302769794.shtmlerr
2013-10-26 04:51:52
1313
转载 JSP概念
http://my.oschina.net/abian/blog/163205一、jsp基础1.JSP概念 Servlet是j2ee提供的动态资源开发技术,是以java的程序的形式进行开发,在java中书写HTML标签是一件十分头疼的事情,所以人们开发出了JSP,看起来像是HTML一样,但是通过服务器的编译最终可以生成Servlet2.JSP的组成部分 2.1模版元素
2013-10-26 04:48:46
759
转载 web.xml配置详解
http://blog.csdn.net/buoll/article/details/1848824每一个站的WEB-INF下都有一个web.xml的设定文件,它提供了我们站台的配置设定.web.xml定义:.站台的名称和说明.针对环境参数(Context)做初始化工作.Servlet的名称和映射.Session的设定.Tag library的对映.JSP网
2013-10-25 04:31:39
612
转载 Hibernate一对一主键双向关联
http://dongruan00.iteye.com/blog/1835357Person.java类Java代码 package com.org.model; public class Person { private int id; private String name; private
2013-10-25 02:47:40
604
转载 HIbernate 关系映射配置
http://takeme.iteye.com/blog/17223891.主键关联one-to-one 释义:两个表使用相同的主键列值 例如: 身份证(IDCard):id , cardno 中国公民(Person):id , personname Person.hbm.xml Xml代码 xm
2013-10-25 02:46:31
686
转载 Revert to a previous branch
http://stackoverflow.com/questions/4114095/revert-to-previous-git-commitThis depends a lot on what you mean by "revert".If you want to temporarily go back to it, fool around, then come bac
2013-10-25 02:15:55
850
转载 Eclipse 中因为 tomcat 没完全关闭引起的 server 无法启动
http://blog.csdn.net/xs3627575/article/details/10353301 最近在看服务器方面的东西,刚入职所以在看需求文档和搭建环境,因为工程很大,经常server启动不完全或启动不起来。 其中有一次是 localhost:8080 端口被占用。 解决方法: 环境是 win7,。
2013-10-23 16:11:07
1160
转载 Code to create Message Digest hashes
http://stackoverflow.com/questions/6120657/how-to-generate-a-unique-hash-code-for-string-input-in-androidimport java.security.MessageDigest;import java.security.NoSuchAlgorithmException;publi
2013-10-23 05:51:55
633
转载 jQuery解析Json字符串
http://www.lihuoqing.cn/code/861.htmlJSON(JavaScript Object Notation) 是一种轻量级的数据交换格式,易于人阅读和编写,同时也易于机器解析和生成,跟XML不相上下,在当今得到了广泛应用。有人说,当JS遇上Json,小JJ诞生啦;我说,当Json遇上xml,世界上又多了俩兄弟。近期看EasyUi视频里也全是Js
2013-10-21 13:24:18
1141
转载 Spring,Ajax and jQuery Tutorial Hello World Application
http://www.beingjavaguys.com/2013/07/sending-html-form-data-to-spring.htmlIn this particular blog we will discuss how to send html form data from Ajax to Spring Controller using jQuery. We will
2013-10-21 08:43:29
1308
转载 原生AJAX入门讲解(含实例)
http://mrthink.net/ajax-starter-xmlhttpreq/相对于jQuery、YUI以及其他一些类库的AJAX封装,原生JS的AJAX显得那么的尴尬,兼容性不好,要记很多的方法属性,调用不便捷,代码臃肿…但我还是想说,原生JS才是最根本最底层的知识(虽然实际项目中我也是以jQuery AJAX为主,为什么?高效!),求木之长者,必固其根本。什么是AJAX
2013-10-21 08:41:33
913
转载 input button 变手型
http://blog.csdn.net/java_lifei/article/details/8602613今天遇到个问题,就是测试说点击按钮的时候把鼠标的形状变为手型,我想了一会儿觉得不行,于是上网查了下资料,说 的用js,感觉也麻烦于是找啊找啊!终于找到了如下:手型 代码:手型 十字型 代码:十字型 文本型 代码:文本型 等待效果 代码
2013-10-21 07:20:03
1106
转载 Hibernate关联关系配置(一对多、一对一和多对多)
http://www.cnblogs.com/otomedaybreak/archive/2012/01/20/2327695.html第一种关联关系:一对多(多对一)"一对多"是最普遍的映射关系,简单来讲就如消费者与订单的关系。一对多:从消费者角的度来说一个消费者可以有多个订单,即为一对多。多对一:从订单的角度来说多个订单可以对应一个消费者,即为多对一。
2013-10-20 09:22:10
646
转载 Java删除文件夹和文件
http://kxjhlele.iteye.com/blog/3236571,验证传入路径是否为正确的路径名(Windows系统,其他系统未使用) Java代码 // 验证字符串是否为正确路径名的正则表达式 private static String matches = "[A-Za-z]:\\\\[^:?\">; // 通过
2013-10-20 08:40:14
628
转载 java Random用法
http://blog.sina.com.cn/s/blog_620ccfbf0100vbpe.htmlRandom类 (java.util) Random类中实现的随机算法是伪随机,也就是有规则的随机。在进行随机时,随机算法的起源数字称为种子数(seed),在种子数的基础上进行一定的变换,从而产生需要的随机数字。相同种子数的Random对象,相同次数生
2013-10-19 19:20:24
917
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人