- 博客(56)
- 收藏
- 关注
RSS订阅原创 初识HttpClient
1、创建HttpClient对象HttpClient httpClient = new DefaultHttpClient();2、创建请求方法的实例,并指定请求URL。如果是GET请求,则创建HttpGet对象;如果是POST请求,则创建HttpPost对象。HttpPost httppost = new HttpPost(reqURL);//POST请求,reqURL为
2017-02-14 09:21:51
307
原创 XSS攻击脚本的构造
绕过XSS-Filter用户提交信息时,系统的XSS Filter会对所有的输入进行校验,如果检测到黑名单列表中的数据,便会进行拦截、编码和过滤等处理。利用HTML标签属性值来执行XSS空格、回车、Tab若XSS Filter仅把敏感的字符列入黑名单处理,则可以利用空格、回车和Tab键拆分输入的字符,来绕过限制。 原因:JavaScript语句通常以分号结尾,如果JavaScript引擎确定一个语
2017-02-04 10:20:19
1001
1
原创 XSS小技巧
1、在DOM Based XSS时,可以使用//来注释不需要的符号2、通过\转义双引号,当返回页面为GBK/GB2312时,“%cl\”两个字符组合在一起,会成为一个Unicode字符。可利用此编码规则进行XSS攻击3、有些产生XSS的地方有变量长度的限制,可以用以下方式绕过:利用事件把XSS Payload写到别处,再通过简短的代码加载这段payload(最常用的是将代码放在
2017-01-20 11:54:28
987
转载 XSS攻击平台
1、Attack API总结了很多能够直接使用的payload,归纳为API的方式。2、BeEF演示一个完整的XSS攻击过程,BeEF有一个控制台,攻击者可以在后台控制前端的一切。每一个被XSS攻击的用户都出现再后台,后台控制者可以控制这些浏览器的行为,并可以通过XSS向这些用户发送命令3、XSS-Proxy轻量级的XSS攻击平台,通过嵌套iframe的方式可以实时地远程控制被
2017-01-19 10:26:40
649
原创 XSS能做些什么
1、Cookie劫持利用浏览器插件,可以获取请求中的Cookie信息,从获取到的Cookie信息中,读取用户的私密信息。2、模拟GET、POST请求操作用户的浏览器。使用JavaScript模拟浏览器发包“Cookie劫持”失效时,或者目标用户的网络不能访问互联网等情况下,这种方式非常有用3、XSS钓鱼利用JavaScript在当前页面“画出”一
2017-01-19 10:09:55
5095
原创 XSS类型
几种类型1、反射型XSS只是简单的把用户输入的数据“反射”给浏览器,即用户输入的参数直接输出到页面上2、存储型XSS把用户输入的数据“存储”在服务器上,这类XSS具有很强的稳定性。因此,存储型XSS也可以称之为“持久型XSS”,因为从效果上来看它存在的时间比较长。3、DOM Based XSS通过修改页面的DOM节点形成的XSS。也是反射型XSS的一种,因为形成原因比较特别
2017-01-18 09:32:33
1002
转载 浏览器的同源策略
同源:协议相同域名相同端口相同本域脚本只能读写本域内的资源,无法访问其他域的资源。现代浏览器在安全性和可用性之间选择了一个平衡点,在遵循同源策略的基础上,选择性的未同源策略”开放了后门“。img、script、style等标签,都允许跨域引用资源,严格说这都是不符合同源要求的。然而,也只是引用而已,并不能读取这些资源的内容。这些带有“src”属性的标签每次加载的时候,实际上
2017-01-17 10:49:51
401
转载 Google的XSS游戏
Level 1: Hello, world of XSS好吧,这一关很简单,没什么可说的:alert(1);Level 2: Persistence is key这一关可以用以下这几种不同的方式: href="test" onclick="javascript:alert(1);">test创建一个链接(需要与用户交互) src="test.png" o
2017-01-09 09:58:15
577
原创 Linux下设置Apache支持Https服务
HTTPS的主要作用:1)建立一个信息安全通道,来保证数据传输的安全性2)确认网站的真实性HTTPS与HTTP的区别:1)HTTPS协议需要到ca申请证书,免费证书较少2)HTTP是超文本传输协议,信息是明文传输,HTTPS则是具有安全性的SSL加密传输协议3)HTTPS与HTTP使用的是完全不同的连接方式,用的端口也不一样,前者是443,后者是804)HTTP的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可 进行加密传输、身份认证的网络协议,比HTTP协议更安全
2017-01-06 13:59:41
5672
原创 eclipse 中创建web project,Runtime Environment无法选择Tomcat
在Eclipse---Preferences---server---Runtime Environment中,点击“Add”按钮,里面看不到tomcat的,只有个“J2EE Runtime Library”。 解决办法:Help -> Install New SoftwareChoose "Luna - http://download.eclipse.org/relea
2016-12-19 14:50:39
4118
1
转载 JAVA可变参数
到JAVA 1.4为止,一直无法在Java程序里定义实参个数可变的方法——因为Java要求实参(Arguments)和形参(Parameters)的数量和类型都必须逐一匹配,而形参的数目是在定义方法时就已经固定下来了。尽管可以通过重载机制,为同一个方法提供带有不同数量的形参的版本,但是这仍然不能达到让实参数量任意变化的目的。Java1.5增加了新特性:可变参数:适用于参数个数不确定,类型确定的
2016-05-20 15:34:40
302
原创 break与continue
在循环语句中经常会遇到break与continue,那么两者的区别是什么呢?break:跳出整个循环体,不再执行该循环体内的语句continue:跳出当前循环,余下的循环语句继续执行在switch语句中,只能使用break,表示跳出switch语句
2016-05-16 10:44:28
237
转载 Loadrunner增加对于Linux服务器负载以及CPU使用情况的监控
在Linux服务器上开启rstatd服务,即可监控服务器CPU、IO以及内存等信息。在Loadrunner的Controller处添加UNIX Resources监控
2016-04-20 13:59:02
866
原创 根据用户提供的PV数,获取TPS与Vuser值
若页面日PV:4W【TPS计算】按照2:8原则,20%的时间处理80%的请求来进行计算假设有三台负载机,则TPS=40000*0.8/0.2/24/60/60/3并发用户数=TPS*响应时间,取整
2016-04-19 16:01:14
448
原创 Loadrunner参数化
改变参数化的取值方式,关键在于Select next row和Update value on这两个选项。【Select next row】包括以下选项:Sequential:顺序方式Random:随机方式Unique:唯一方式【Update value on】包括如下选项:Each iteration:每次迭代更新取值Each occurrence:每次取值更新On
2016-04-01 15:54:13
736
原创 Laodrunner 回放日志中输出参数化取值
脚本中设置了参数化,想要在回放日志中看到对应参数的取值,通过以下代码即可:lr_output_message("参数值为%s",lr_eval_string("{paramtemp}"));
2016-04-01 14:38:24
916
转载 一个网页通用的测试用例(转载他人)
具体需求: 有一个登陆页面, (假如上面有2个textbox, 一个提交按钮。 请针对这个页面设计30个以上的testcase.) 此题的考察目的:面试者是否熟悉各种测试方法,是否有丰富的Web测试经验, 是否了解Web开发,以及设计Test case的能力 这个题目还是相当有难度的, 一般的人很难把这个题目回答好。 首先,你要了解用户的需求,比如这个登录界面应该是弹出窗口式
2016-03-23 16:47:02
394
转载 系统监控-nmon使用
Nmon简介Nmon是由IBM提供的,免费监控AIX系统和linux系统资源的工具,使用比较广泛。相对于其他的监控工具来说,nmon所记录的信息比较全面,它能在系统运行中实时地捕捉系统资源的使用情况,并能输出结果到文件中,然后通过nmon_analyzer工具产生数据文件和图形化的结果。另外,它不会消耗大量的CPU周期,通常低于百分之一。nmon所记录的数据包含以下几个方面:●
2016-03-04 14:01:19
3922
转载 JVM:监控resin/tomcat
jvisualvm:监控内存泄露,跟踪垃圾回收,执行时内存、cpu分析,线程分析...jvisualvm已经被集成在jdk1.6以上的版本中(不是jre)。自身运行需要最低jdk1.6版本,但是可以监控运行在jdk1.4以上版本的java程序1、jstatd运行需要通过-J-Djava.security.policy=***指定安全策略,因此我们需要在服务器上建立一个指定安全策略的
2016-03-01 15:55:50
945
原创 启动Linux系统时,提示An error occurred during the file system check
一般系统非正常情况退出时,下次启动的时候就会给出这个错误提示。原因是/usr/home/boot分区磁盘检测出了问题。解决方法:1、通过df命令查看自己的硬盘挂载名称(假设为/dev/sda1)2、fsck /dev/sda13、fsck -A -y4、reboot即可
2016-02-17 16:28:45
701
原创 C++ 参数按值传递以及按地址传递
1、按地址传递传递的是变量本身,在函数内针对变量做的任何操作,都会影响到函数外的变量int a=2,b=3;void funcion1(int& a,int&b){}指的是传入变量a和b本身,在函数内针对变量做的所有修改,都会影响到函数外的变量2、按值传递传递的是变量的值,而不是变量本身。在函数内针对变量做的任何操作,都不会影响到函数外的变量int a=2,b=3;
2015-10-10 14:40:10
349
原创 JDK的配置
在环境变量中,编辑以下三个变量:JAVA_HOME:值为JDK的安装路径(例如d:java\jdk)PATH:%JAVA_HOME%\bin;%JAVA_HOME%\jre\bin;CLASSPATH:.;%JAVA_HOME%\lib;%JAVA_HOME%\lib\tools.jar
2015-10-09 11:54:09
260
原创 C++中break与continue的区别
1、break:跳出最近一个循环(while、for、do while,不包括if语句)2、continue:跳过循环内部continue后面的语句,继续新一轮的循环。而不是跳出循环
2015-10-08 15:49:47
1030
原创 Loadrunner检查点设置
检查点分为文字和图片1、通过界面添加1)树形结构找到对应的步骤,添加2)找到对应的scripts位置,右键打开添加窗口2、脚本添加找到对应的scripts位置,输入检查点脚本【注意点】:1、使用web_find插入检查点,运行脚本时提示”Verificstion checks not enabled.web_find is skipped“解决方法:进入Vuser-
2015-05-14 15:11:48
320
原创 回放脚本时,提示资源链接找不到
在回放的时候,经常会遇到一些外部链接无法访问的情况处理方法:run_time_setting,Download Filters设置中,选中Exclude addresses in list,并将无法访问的链接添加到list中
2015-05-13 16:41:28
312
原创 Linux文件的复制
1、两个Linux主机间的文件复制scp [可选参数] file_source file_target1)从本地复制到远程scp local_file remote_username@remote_ip:remote_file若remote_file为目录,则将文件拷贝到目录中,保留原文件名;若remote_file为文件,则将文件拷贝到目录中,并指定文件名称当要复制文件夹时,
2015-04-29 09:11:22
392
原创 Linux帐号管理与ACL权限--帐号管理
一、帐号管理1、新增帐号(root)useradd usernamepasswd username1)修改密码a、passwd,后面没有帐号,则修改当前用户自己的密码b、passwd username,修改指定帐号的密码2)echo "newpasswd" | passwd --stdin username,更新用户的密码,通常用在shell script大量创建帐号时
2015-04-27 14:16:34
292
原创 Linux帐号管理与ACL权限---帐号与群组
1、帐号与群组1)/etc/passwda、记录UID、GID与帐号之间的对应关系b、UID为0,代表系统管理员;1~499,为系统帐号;500后,为自定义帐号2)/etc/groupa、记录GID与组名之间的对应关系3)/etc/shadowa、记录帐号和口令的对应关系b、帐号与passwd中相同/etc/gshadow
2015-04-15 17:24:17
270
原创 shell script 追踪与调试
sh [-nvx] scripts.sh-n:不需要运行脚本,检查语法-v:运行脚本前,先将脚本内容输出到屏幕显示-x:将命令执行过程显示出来,能够快读定位出错的语句
2015-04-14 11:37:55
336
原创 windows2008 添加服务
使用instsrv.exe和srvany.exe工具添加和删除服务1、将两个工具放在某一目录下,方便起见,我们放在C盘根目录下2、运行cmd,打开命令行窗口,输入c:\instsrv.ext servername c:\srvany.exe其中,servername为所要添加的服务名称3、进入注册表编辑器,HKEY_LOCAL_MACHINE\SYSTEM\CurrentCon
2015-04-10 10:38:23
871
原创 mysql 数据库迁移
cmd界面(将192.168.17.34上的ftm1数据库导入到192.168.50.88上的ftm2数据库,两个库的用户名为root,密码为123456)1、进入50.88服务器上mysql的bin目录2、mysqldump -h 192.168.17.34 [-P port] -uroot -p123456 ftm1> dump.sql==>将17.34上的ftm1数据库导出d
2015-04-10 08:32:08
278
原创 mysql 数据库迁移
cmd界面(将192.168.17.34上的ftm1数据库导入到192.168.50.88上的ftm2数据库,两个库的用户名为root,密码为123456)1、进入50.88服务器上mysql的bin目录2、mysqldump -h 192.168.17.34 [-P port] -uroot -p123456 ftm1> dump.sql==>将17.34上的ftm1数据库导出d
2015-04-10 08:30:36
266
原创 shell script--回圈
可以不断的运行某个程序段落,直到使用者设置的条件达成为止。类似于JAVA中的循环,语法稍有差异1、while..do...done1)格式while [ condition ]do程序段done2)当条件成立时,进行循环2、until...do...done1)格式until [ condition ]do程序段done2)当条件成立时,循环
2015-04-07 09:35:42
253
原创 shell script--判断式
1、test -e filename常用参数-e:filename是否存在-f:filename是否为文件-d:filename是否为目录-a:两种状态同时成立-o:两种状况成立任何一个2、判断符号[ ],使用同test1)中括号内的每个组件需要空格键来分割2)变量最好以双引号括起来3)常量最好以单或双引号括起来3、shell script默认变量f
2015-04-01 14:21:51
279
原创 shell script多种运行方式
1、source1)使用原bash环境运行script内的命令,各项动作都会在原本的bash内生效2)实例script内容如下:read -p "input your name:" nameecho $name在屏幕上输出name变量对应的值在屏幕上输入echo $name,显示name对应的值2、sh script1)调用新的bash环境运行script内的命
2015-03-31 15:21:30
594
原创 shell script简单范例
1、对谈试,变量的内容取自标准输入(read)read -p "Please input your first name:" firstname #屏幕输入,并将输入的值赋予firstname变量read -p "Please input your last name:" lastname #屏幕输入,并将输入的值赋予lastname变量echo -e "Your full name
2015-03-31 14:52:06
308
转载 删除Windowns断行符^M
Windows下的文本文件在Linux中打开,会在断行处显示^M,如何删除呢?通过cat -A filename会显示^M【方法一】cat filename |tr -d '\r' >newfilename 或者cat filename | tr -d 'M' >newfilenamtr命令的-d参数可以删除或替换对应的文字【方法二】dos2unix -n filename
2015-03-27 13:58:07
352
原创 Linux笔记(8)--管线命令
1、管线命令界定符号|1)仅能接受标准输出的信息2)必须能够接受来自前一个命令的数据成为标准输入继续处理 才行2、撷取命令,将一段数据经过分析,取出想要的。(一行一行分析)1)cuta、cut -d '分隔字符' -f fields,利用分隔字符对输入的内容进行分割,取fields代表的段数eg:echo $PATH | cut -d ':' -f 5,代表将输入的path
2015-03-26 14:36:27
204
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人