自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+

程序设计与安全 @EVAN-CSS

一个信息安全行业摸爬滚打十好几年码农的随笔(本栏文章未经说明均为原创,如需转载请与作者联系)

  • 博客(33)
  • 资源 (4)
  • 收藏
  • 关注

原创 边做边学Python Flask Web开发(5)-- 使用Jinjia2模板(中)

上一篇介绍了Jinjia2模板系统的基本用法,本篇将深入对Jinjia2进行探讨,对网页设计中经常会用到的一些高级特性进行介绍。模板复用复用是网页设计非常常用的特性,比如我们的页面头部的网站名称和页尾的版权标识通常都是一样的,我们的菜单有时候在每个页面也都是一样的。作为一名程序员,重复做同样的事情是完全不可接受的。在Jinjia2中,通常可以使用继承、包含和宏三种特性来完成模板的利用。

2016-07-06 15:41:16 6475 4

原创 边做边学Python Flask Web开发(4)-- 使用Jinjia2模板(上)

概述Flask中我们通常使用Jinjia2模板语言来实现复杂的页面渲染,Jinja2 是一个现代的,设计者友好的,仿照 Django 模板的 Python 模板语言。 它速度快,被广泛使用,并且提供了可选的沙箱模板执行环境保证安全,它的特性有:沙箱中执行,强大的 HTML 自动转义系统保护系统免受 XSS,模板继承,及时编译最优的 python 代码,可选提前编译模板的时间,易于调试。

2016-06-22 15:07:07 7634 4

原创 边做边学Python Flask Web开发(3)-- Flask Hello World!

由于本系列教程叫做“边做边学”,因此我们在后续的讲解会以实践为主,穿插着介绍基本概念。请大家有条件的话跟着我们一起上机实践,而不要过于纠结深层次的原理,这些我们会在后续的教程中为大家慢慢解释。安装Flask启动VirtualEnv,输入pip install flask即可完成Flask框架的安装,由于Flask基础框架很小,整个过程会很快。

2016-06-06 13:35:36 12833 4

原创 边做边学Python Flask Web开发(2)-- 使用VirtualEnv虚拟环境

使用VirtualEnv虚拟环境概述说VirtualEnv是Python的一大神器不足为过,如果你在生活中也有那么一点点的“洁癖”,相信你会喜欢上这个东西。我们知道使用Python的过程中会安装各种库、包,甚至有时候还需要Python2和Python3两种环境混合使用,慢慢的你的Python运行环境会越来越臃肿,这倒还是其次,最可怕的是,有些应用会使用到某个Python包的特定版本...

2016-06-02 13:38:53 4287

原创 Python logging模块使用配置文件记录日志

良好的日志是应用程序调试、质量跟踪的重要线索,因此在应用开发过程中应当养成良好的日志记录习惯。在Python中内建了logging模块,可以使用该模块生成高质量的应用程序日志。基本用法默认情况下,logging将日志打印到屏幕,日志级别为WARNING;日志级别大小关系为:CRITICAL > ERROR > WARNING > INFO > DEBUG > NOTSET,当然也可以自己定义日志级别

2016-06-01 09:35:51 20253 4

原创 边做边学Python Flask Web开发(1)-- 安装Python

为了照顾从未接触过Python的小伙伴,先从怎样安装Python开发环境开始吧。Python官方网站提供了Windows的二进制安装包,因此在Windows平台安装Python开发环境非常简单。第一步当然去www.python.org下载你需要的安装程序。选择Python的版本非常重要,当前Python活跃的版本有两

2016-05-31 14:15:17 2248

原创 Apache Struts2任意代码执行漏洞(S2-032)检测程序

上个月写的一段代码,记录下来以供不时之需。漏洞概况2016年4月21日,Struts2官方发布两个安全公告(S2-031,S2-032),其中S2-032(CVE-2016-3081)官方评级为高。Apache Struts 2是世界上最流行的Java Web服务器框架之一。该漏洞的成因是用户开启动态方法调用(Dynamic Method Invocation)的情况下,攻击者能够使用method

2016-05-30 15:31:09 2307

原创 Python中的Berkeley DB(2):数据结构

Python中的Berkeley DB(2):数据结构Berkeley DB的数据存储结构BDB支持四种数据存储结构及相应算法,官方称为访问方法(Access Method),分别是哈希表(Hash Table)、B树(BTree)、队列(Queue)、记录号(Recno)。在创建数据库的时候,必须通过dbtype参数将存储结构指定为上述结构中的一种,一旦数据库文件已创建则不能再更改其结构。 结

2016-05-30 09:56:14 1273

原创 Python中的Berkeley DB(1):Hello Berkeley DB

Python中的Berkeley DB – 第一篇:Hello Berkeley DB什么是Berkeley DB1Berkeley DB(后文简称BDB)是一个高性能的嵌入式数据库编程库(引擎),它可以用来保存任意类型的键/值对 (Key/Value Pair),而且可以为一个键保存多个数据。BDB可以支持数千的并发线程同时操作数据库,支持最大256TB的数据。 BDB提供诸如C语言,C++,J

2015-09-16 00:16:18 3242

原创 MySQL导入数据乱码、出错等问题的解决办法

大家在将mysqldump导出数据的SQL重新导入时候是不是经常会遇到各种奇怪的问题?比如SQL语句不正确、MySQL has gone… 这些问题基本上都是因为编码不一致造成的,使用下面的方法可以避免这些问题: 首先登录到mysql:mysql -uroot -pxxxx然后使用下面命令指定mysql客户端使用的字符编码:set names utf8;charset utf8;最后使用sou

2015-08-14 11:08:12 760

原创 什么是开放式漏洞与评估语言(OVAL)

OVAL全称是Open Vulnerability and Assessment Language(开放式漏洞与评估语言)。本文介绍了什么是OVAL语言、OVAL语言的结构、组成OVAL文档各个元素的技术细节等内容。本文为原创内容,如果需要转载请注明出处。本文原文链接地址为:http://oval.scap.org.cn/article_oval_about-oval.htmlSCAP

2013-05-13 12:44:47 3363

原创 NIST的安全内容自动化协议(SCAP)以及SCAP中文社区简介

注:本文为原创,作者为@evan-css 和@清华诸葛建伟,欢迎您转载但请保留作者信息。什么是安全内容自动化协议(SCAP)  SCAP(Security Content Automation Protocol:安全内容自动化协议)由NIST(National Institute of Standards and Technology:美国国家标准与技术研究院)提出,NIST期望利

2013-04-12 23:20:40 5493

翻译 开发Windows 8 Metro应用前你要知悉的5件事

作者:Lee Whitney    翻译:@evan-css原文链接:http://blog.slalom.com/2012/05/15/five-things-to-know-before-you-start-developing-windows-8-metro-apps/作者介绍:李.惠特尼是总部设在德克萨斯州达拉斯的Slalom Consulting公司的一名解决方案架构师。他总是喜

2012-10-29 17:17:29 1014

原创 Struts2远程代码执行漏洞检测的原理和代码级实现

想必最近很火的Struts2漏洞大家应该有所耳闻吧,如果你没听说也没关系,关于这个漏洞的描述可以用一句话总结:漏洞很普遍,后果很严重。由于JavaEE的应用普遍偏向于使用SSH框架(Spring+Struts+Hibernate)开发,而且存在漏洞的Struts 所有主流的Java中间件服务器都可能受到该漏洞的影响,特别是大家喜欢的Tomcat,问题尤为严重,倒不是因为Tomcat上Strut

2012-08-20 23:18:29 3930 2

原创 MSSQL注入时对中文字符的处理方法

在一次渗透测试过程中发现对方的网站根目录用的是中文,使用Pangolin测试时,发现类似“dir c:\中文路径”这种cmd命令执行总是出错,后来用BurpSuite对发送的数据包进行分析,发现Pangolin使用了一种类似URLEncode的编码方式对中文进行编码。如“中文路径”被其编码成为:0xd600d000ce00c400c200b700be00b600很明显,这里每个中文字符

2012-08-20 21:50:26 1840

原创 运行时生成其它EXE文件(VB6)

大家经常能看到一些程序,如木马程序能够生成一个完整的可执行程序出来,是不是觉得很有意思?其实VB也能做到这一点。首先我们需要把一个EXE文件转为容易在程序中保存的文本形式,这里我转成16进制表示,大家也可以转为Base64或其它兼容的格式。下面这个函数能将二进制文件转为VB可识别的语句。Function ConvBinToHex(byval strVarName as string,byv

2006-01-25 10:04:00 1772

原创 关于IIS安装后出现500错误的解决办法

这次安装系统使用的是集成了SP2的WindowsXP安装光盘,系统安装完毕后,却发现无法用旧的WindowsXP光盘添加IIS组件,总是提示说少文件,好不容易从网站上Down下了缺少的各个DLL文件,安装算勉强成功了。安装完毕后,在IE中敲入Http://localhost地址后,新的问题又出现了,出现了这样的错误:Server Application ErrorThe server has en

2005-11-18 13:56:00 3635

原创 SQL Server中合并用户日志表的方法

在维护SQL Server数据库的过程中,大家是不是经常会遇到成千上万的类似log20050901 这种日志表,每一个表中数据都不是很多,一个一个打开看非常不方便,或者有时候我们需要把这些表中的资料汇总,一个一个打开操作也是很麻烦。下面就介绍了一种自动化的合并表的方法。我的思路是创建一个用户存储过程来完成一系列自动化的操作,以下是代码。 --存储过程我命名为BackupData,可以使用自己定义的

2005-09-12 10:50:00 1146

原创 VB实现AES(Rijndael)加密的方法

软件名称:AES简单加密模块版本:1.0.0文件名:AESCipher.dll授权:免费用户接口:Public Function EncryptAES(ByVal StrIN As String, ByVal sKEY As String) As StringPublic Function DecryptAES(ByVal StrIN As String, ByVal sKEY As String

2005-06-20 19:01:00 4142 4

原创 VB异步处理应用实例:磁盘文件全文搜索

文件搜索FileFind(V1.0.0)使用说明文件名:FileFind.exe版  本:1.0.0概述:    这是一个使用Visual Basic开发的文件全文搜索工具,可以为Visual Basic应用程序提供异步的文件全文检索功能。授权:    自由软件,欢迎复制传播。用户接口过程Public Sub FindStart(ByRef ReturnList As Collection, By

2005-06-20 17:27:00 1820 1

原创 使用Visual Basic 6实现真正实用的多线程处理

事实上使用Visual Basic的ActiveX exe技术可以轻松的实现多线程处理.原理先不说了,先举个示例,有兴趣的话大家可以一起讨论1.新建一个工程,类型选择ActiveX Exe,工程重命名为TestExe在工程中添加一个Form,放上一个Timer控件.将Class1改名为clsTest,注意其Instancing要设置为5-MultiUse, 以下是其代码:Option Explic

2005-05-27 14:57:00 4790 2

原创 [转] 通过ADO连接各种数据库的字符串翠集

提供人昵称:鹏程.Net 作者:温大文 -------------------------------------------------------------------------------- 在网络编程过程中,ADO(Activex Data Object)编程往往是不可少的工作,特别是开发电子商务网站。既然讲到ADO数据对象,那么就顺便简单地介绍一下ADO数据对象及其功能。ADO数

2004-12-27 16:42:00 2028

原创 [转] 连接数据库查询手册

 转自:动态网制作指南 www.knowsky.com下面将简单介绍一下几种ADO连接方式:ODBC DSN,ODBC DSN-Less, OLE DB Provider,和"MS Remote" Provider.1。ODBC DSN连接I.DSN    oConn.Open "DSN=AdvWorks;" & _         "UID=Admin;" & _         "

2004-12-27 16:30:00 1653

原创 使用VB实现OLE拖放功能

这里以我的软件“文章管理系统”为例解释一下OLE拖放在VB中的应用:在窗体中添加一个Image控件,在它的imgDrop_OLEDragDrop过程中添加如下代码:Private Sub imgDrop_OLEDragDrop(Data As DataObject, Effect As Long, Button As Integer, Shift As Integer, X As Single,

2004-11-19 17:26:00 2382

原创 文章管理系统 V1.0.35

好久没有发表文章了,最近一直很忙,只是近期做了一个软件,自已觉得还不错,推荐给大家作测试用,使用中的问题希望大家能反馈给我,谢谢!它可以很方便的帮助你收集网上的文章。特色:1.支持Access和SQL Server两种数据库,满足个人或工作组的需要。2.支持图文混排。3.支持文件附件,是收集源码的好工具。4.支持全文检索。5.支持网页上图像的直接拖放。6.使用非常方便,所有操作用拖放即可完成。7.

2004-11-15 23:22:00 1380 4

原创 用VB和SQL Server实现文件上传(方案例)

思路:1、连接到SQL Server2、向临时表中写入二进制数据3、导出表中数据并另存为文件第1,2步可以利用ADO来实现,用VB做是很方便的。第3步使用TextCopy命令,注意,此命令仅存在于SQL Server 2000,调用textcopy.exe需要用到xp_cmdshell或者我上文中所讲的无需xp_cmdshell的命令运行方法。开发注入时很难利用到这个特性,因为注入的环境下第2

2004-09-14 17:06:00 2096 19

原创 (转)使用一个下拉框或文本框+列表框的方式实现类似IE地址栏自动完成的功能

转自"问专家:QA003240"可以使用一个下拉框或文本框+列表框的方式实现。这样做的好处是下拉框的内容不一定是URL,可以是任意内容。下面是一个用下拉框实现的示例:      *************Declarations     Private Declare Function SendMessage Lib "user32" _      Alias "SendMessageA"

2004-09-13 09:41:00 1985

原创 不需xp_cmdshell支持在有注入漏洞的SQL服务器上运行CMD命令

我的BLOG里有一篇文章介绍了关于SQL注入的基本原理和一些方法。最让人感兴趣的也许就是前面介绍的利用扩展存储过程xp_cmdshell来运行操作系统的控制台命令。这种方法也非常的简单,只需使用下面的SQL语句:EXEC master.dbo.xp_cmdshell dir c:/但是越来越多的数据库管理员已经意识到这个扩展存储过程的潜在危险,他们可能会将该存储过程的动态链接库xplo

2004-09-01 22:03:00 4245 6

原创 用VB编写一个可以在ASP环境下调用的运行CMD命令的组件

有时我们在管理服务器时为了安全起见会禁用Windows Scripting Host,这样能防止某些不法用户利用WSH生成一个WebShell,对服务器造成很大的安全隐患。但如果我们又想禁用WSH,又想使用自己的WebShell用于服务器的管理怎么办呢?这里介绍了一种实现ASP中运行CMD并显示结果的组件编程。希望对大家能有所帮助。首先我们新建一个ActiveDLL工程,命名为ASPCMD,新

2004-08-30 11:39:00 1808 2

原创 使用Windows API函数显示打开文件对话框

平时使用VB编程时需要用到"打开文件"类似的对话框时我们一般需要添加一个commondialogue的控件。使用这个控件能完成如“打开”,“另存”,“颜色”,“打印”等众多的功能,但是如果一个功能很简单的程序,使用这个控件却也造成了一些不必要的麻烦。一个是需要安装,再个增加了发布文件包的体积。下面介绍如何使用Window API显示一个“打开”的对话框:General.bas:Decl

2004-08-30 11:14:00 4343

原创 利用Helix Server的SMIL支持在ASP中生成媒体流的播放列表

        开发视频点播网站时或许会需要连续播放一系列流媒体文件,我的经验是可以使用SMIL语言动态生成需要的播放列表文件。以下将对这种方法作出说明。我感觉这并不是一个很好的方法,但可作为一种思路供大家参考。        首先我们应该了解一下SMIL语言的结构。SMIL是专用于流媒体服务器的一种语言,它是符合XML语言规范的。以下是一个典型的用于Helix Server的SMIL文件:

2004-08-26 15:22:00 1841 1

原创 如何制作Real支持的媒体文件

如果想添加可以在线点播的视频节目,可以把现有的格式转成Real媒体服务器支持的格式。Real媒体服务器支持的媒体格式有:1.RealVideo 9它可以提供给宽带用户VHS质量的视频效果, 可以用1Mbps的码流来提供DVD质量的电视节目 2.Flash 43.RealPix, RealText 和 SMIL4.MPEG-1扩展名可以是"mpa", "mpg", "mpeg", "mpv", "m

2004-08-26 14:49:00 1649 1

原创 基于SQL Server的WEB应用程序注入攻击详细介绍

随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL注入(SQL Injection)。SQL 注入攻击是一个常规性的攻击

2004-08-26 14:33:00 4821

等级保护技术方案(三级).doc

“等级化”设计方法,是根据需要保护的信息系统确定不同的安全等级,根据安全等级确定不同等级的安全目标,形成不同等级的安全措施进行保护。等级保护的精髓思想就是“等级化”。等级保护可以把业务系统、信息资产、安全边界等进行“等级化”,分而治之,从而实现信息安全等级保护的“等级保护、适度安全”思想。 整体的安全保障体系包括技术和管理两大部分,其中技术部分根据《信息系统安全等级保护基本要求》分为物理安全、网络安全、主机安全、应用安全、数据安全五个方面进行建设;而管理部分根据《信息系统安全等级保护基本要求》则分为安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理五个方面。 整个安全保障体系各部分既有机结合,又相互支撑。之间的关系可以理解为“构建安全管理机构,制定完善的安全管理制度及安全策略,由相关人员,利用技术工手段及相关工具,进行系统建设和运行维护。” 根据等级化安全保障体系的设计思路,等级保护的设计与实施通过以下步骤进行: ……

2019-10-14

一套非常好用的Auxure库,满足各种设计需求

一套非常好用的Auxure库,满足各种设计需求。包括bootstrap4风格的WebUI元素、Fontawsome图标库、laxure等等数百个设计元素

2018-07-31

Enhanced SCAP Editor (eSCAPe)

用来编辑SCAP内容文件 支持XCCDF和OVAL两种标准

2012-08-17

OVALDi5.9(OVAL Interpreter)

OVALDi可以利用OVAL定义文件扫描系统漏洞、配置缺陷、补丁等 使用方法: ovaldi -m -o definintion.xml

2012-08-17

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除