tomatocc的博客

原创 【第一讲】注册相关第三方开发者账户信息

该小程序使用到了腾讯位置服务、高德地图、和风天气、一言。这四个第三方接口。因此在编码之前，我们先注册这些平台的账户，并且认证为开发者。API注册第一步：注册qqma开发者注册qqmap开发者点右上方的【控制台】按钮依次点击【key管理】——>【创建新密钥】依次填写【Key名称】——>【描述】——>【验证码】，点击提交即可。然后会提示key申请成功，接下来点击【进入key设置】即可。最后按照下图的内容，填写appid和勾选相关内容就好。.

原创 《Linux Sheel》技术学习

Linux Shell简介：为什么叫Shell?名词解释：shell = 外壳1.什么是Shell脚本（Shell Script）Shell脚本是一个写有一系列Shell命令的文本文件2.为什么要使用Shell脚本通过Shell脚本编写自定义的命令将手动操作程序化自动执行日常事务性操作日常系统的自动化管理3.为什么要学习Shell脚本编程Linux服务器的广泛使用最简单可靠高效的服务器管理工具自动化运维的基石系统管理员和运维开发人员的必备技能4.变量变量来源

原创 《压测软件学习》——Jmeter学习笔记

文章目录一、Jmeter基本介绍1.1 基本介绍1.2 使用场景及优点：1.3 安装地址二、安装Jmeter2.1 安装Jmeter2.1.1 目录介绍2.2 启动Jmeter三、使用Jmeter3.1 创建压测内容3.1.1 创建线程组3.1.2 创建HTTP请求3.1.2 创建察看结果树3.1.3 对上述接口进行压测四、组件和元件4.1 组件Jmeter分布式压测：一、Jmeter基本介绍1.1 基本介绍jmeter是一款优秀的开源性能测试工具。可以压测多种协议和应用1.2 使用场景及优点：

原创 《网络安全学习》第十二部分-----数据库提权技巧

文章目录一、SQL Server提权1.启用或关闭xp_cmdshell2.添加用户3.将用户添加到管理员组4.通过xp_cmdshell exec查看系统用户5.远程终端登录二：MySQL提权1.将udf.dll文件导出到默认的插件目录下2.UDF提权的常用命令3.VBS启动项三、Linux下的MySQL提权一、SQL Server提权1.启用或关闭xp_cmdshell--启用xp_cmdshellUSE master EXEC sp_configure 'show advanced opt

原创 JDK源码解析之【Float】类

前言今天来看看Float这个类的源码。Float相关概念Float是被final修饰的，因此该类不能被继承。另外它是float类的包装类。继承了抽象类Number，并且实现了Comparable接口，所以可以进行参数的比较。Float源码package java.lang;import jdk.internal.HotSpotIntrinsicCandidate;import jdk.internal.math.FloatingDecimal;// 重要说明：// 现代计算

原创 JDK源码解析之【Long】类

前言今天来看看Long这个类的源码。Long相关概念Long是被final修饰的，因此该类不能被继承。另外它是long类的包装类。继承了抽象类Number，并且实现了Comparable接口，所以可以进行参数的比较。Long 源码package java.lang;import jdk.internal.HotSpotIntrinsicCandidate;import java.lang.annotation.Native;import java.math.BigInteger

原创 JDK源码解析之【Short 】类

前言今天来看看Short这个类的源码。Short相关概念Short是被final修饰的，因此该类不能被继承。另外它是short类的包装类。继承了抽象类Number，并且实现了Comparable接口，所以可以进行参数的比较。Short源码package java.lang;import jdk.internal.HotSpotIntrinsicCandidate;// short的包装类public final class Short extends Number implem

原创 JDK源码解析之【Byte】类

前言第一篇，先来看看Byte这个类的源码。Byte相关概念Byte是被final修饰的，因此该类不能被继承。另外它是byte类的包装类。继承了抽象类Number，并且实现了Comparable接口，所以可以进行参数的比较。使用final方法的原因有两个。第一个原因是把方法锁定，以防任何继承类修改它的含义；第二个原因是效率。在早期的Java实现版本中，会将final方法转为内嵌调用。但是如果方法过于庞大，可能看不到内嵌调用带来的任何性能提升（现在的Java版本已经不需要使用final方法进行这

原创 JDK源码学习目录

前言从今天开始，本专栏会进行关于JDK源码的系列学习内容，与君共勉

原创 JDK源码解析之【Number】类

写在前面的话该系列的参考资料来自开源项目：LearningJDK。感谢作者的贡献。项目地址：LearningJDKhttps://github.com/kangjianwei/LearningJDK前言第一篇，先来看看Number这个类的源码。Number 相关概念抽象类Number是数值类的父类，定义了让数值类的数值转换为基础类型（int，double等等）的方法。这边的数值类指的是：用来表示一个数值。表示的这个数值能够转换成基础类型byte, double, float, int,

原创 《网络安全学习》第十一部分-----Burp-Suit入门学习

Burp-suit工具下载地址： 点击下载文章目录一：认识Burp-Suit二：安装Burp-Suit2.1 安装Burp-Suit2.2 启动Burp-Suit2.3 配置抓包端口2.4 配置浏览器代理端口2.5 抓包成功一：认识Burp-SuitBurp-Suit是浏览器和相关应用程序的中间拦截、修改、重放数据包的代理工具二：安装Burp-Suit安装前提：确保已经安装了java环境。(文章开头提供的安装工具需要依赖1.7版本的java)2.1 安装Burp-Suit下载好压.

原创 【快点查查】微信小程序使用流程

API注册第一步：注册qqma开发者注册qqmap开发者点右上方的【控制台】按钮依次点击【key管理】——>【创建新密钥】依次填写【Key名称】——>【描述】——>【验证码】，点击提交即可。然后会提示key申请成功，接下来点击【进入key设置】即可。最后按照下图的内容，填写appid和勾选相关内容就好。第二步：注册高德地图开发者开发者注册高德地图开发者注册后，依次点击【控制台】——>【应用管理】——>【我的应用】点

原创 我的图片库

原创 【JAVA视频压缩】-------轻量级视频压缩组件JAVE

最近要用到视频压缩功能。通过搜索发现了ffmpeg，javacv，这两个是比较主流的流媒体组件，但是研究下来发现，如果仅仅是需要视频压缩的话，那么就有点大材小用了。FFmpeg是C语言开发的，对于我们java来说有点难了，而javacv是java语言写的，源码读起来还容易上手，但是由于这两个组件功能较多，就被作者放弃了，最后找到了另外一个小众的工具JAVE。JAVE简介简单的说，JAVE...

原创 《开发工具——IDEA》IDEA使用技巧大全

文章目录一、基础配置1. 通过鼠标滚轮，将当前页面大小进行缩放2. 设置鼠标悬浮提示3. 配置自动导包4. 配置取消单行显示tab的操作5. 修改代码中注释字体的颜色6. 设置超过指定import个数，改为*二、快捷键配置1. 在光标处下一行写代码：shift + 回车一...

原创 《eclipse技巧》eclipse中的web项目，文件夹和文件排列顺序错乱的解决办法

问题描述 上图为错乱的项目结构，可以很明显的看出，同一个目录下面的文件夹和jsp，html文件排列很错乱，没有按照文件夹，html类型去排列解决办法 window–>Open Perspective–>other–>选择Java点击，就排序正常了。

原创 《阿里云服务器搭建》------Docker容器学习和搭建项目环境

Docker是一个开源的引擎，于2013年开源。可以轻松的为任何应用创建一个轻量级的、可移植的、自给自足的容器。开发者在笔记本上编译测试通过的容器可以批量地再生产环境中部署，包括VMs（虚拟机）、bare metal、OpenStack集群和其他的基础应用平台。 跨平台，支持Windows，Macos、Linux官网：Docker官网0、Docker的应用场景如下：web应用的自动化打...

原创 《WEB服务器——Tomcat》源码学习

点击下载源码然后在该项目中创建一个pom.xml文件，放置在根目录下接着修改启动配置-D:\Development\IdeaGitResponse\Source\apache-tomcat-8.5.51-src/catalina-home/conf/logging/properties -Dcatalina.home=D:\Development\IdeaGitResponse\Sourc...

原创 《阿里云服务器搭建》------ 安装nginx

本系列教程的搭建环境为阿里云服务器，其他服务器可作为参考。本文主要讲述在服务器中搭建nginx服务器1. 首先到nginx官网下载nginx-x.x.x.tar.gz的压缩包。1.下载完之后，将tar包通过sftp放到阿里云服务器上。2.然后通过tar -zxvf nginx-1.17.7.tar.gz 命令将tar包解压2.准备对ngnix进行编译安装编译依赖gcc环境......

原创 《Sharding-JDBC》——数据库分表+数据库脱敏实现方案

这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题，有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能，丰富你的文章UML 图表FLowchart流程图导出与导入导出导入欢迎使用Ma...

原创 《WEB服务器——Nginx》Nginx配置详解

nginx如何处理高并发？ nginx采用了异步非阻塞的方式来处理请求，也就是说，nginx是可以同时处理成千上万个请求的。ngin如何配置多个进程？nginx在启动的时候，会启动一个master进程和多个worker进程。master进程主要用来管理worker进程，包含：接收来自外界的信号，向各worker进程发送信号，监控worker进程的运行状态。一个请求，只可能...

原创 《网络安全学习》 第十部分----web安全加固

信息安全的基本概念1.信息安全：指保护信息和信息系统不被未经授权的访问、使用、泄露、中断、修改和破坏，为信息和信息系统提供保密性、完整性、可用性、可控性、和不可否认性。2.信息安全保障：是保证信息与信息系统的保密性、完整性、可用性、可控性和不可否认性的信息安全保护和防御 过程。它要求加强对信息和信息系统的保护，加强对信息安全事件和各种脆弱性的检测，提高应急反应能力和系统恢复能力。3.信息安...

原创 《网络安全学习》 第九部分----CSRF（跨站请求伪造）漏洞详解

跨站请求伪造（也称为XSRF，CSRF和跨站点参考伪造）通过利用站点对用户的信任来工作。站点任务通常链接到特定URL（例如：http：//site/stocks？buy = 100＆stock = ebay），允许在请求时执行特定操作。如果用户登录到站点并且攻击者欺骗他们的浏览器向这些任务URL之一发出请求，则执行任务并以登录用户身份登录。通常，攻击者会将恶意HTML或JavaScript代码嵌...

原创 《实战开发》一个基于时间戳的控制失效二维码的漏洞

项目需求：第三方生成一个带13位时间戳参数的二维码，扫码后进入我的网站，我根据二维码中时间戳（二维码生成时间），和当前时间戳进行比较，如果详相减后大于某个值（10分钟、1天这种变量），则系统会提示二维码失效，否则，将会正常访问。初步设计方案获取二维码中的13位时间戳，用当前时间戳减去二维码中生成的时间戳（单位是毫秒），如果大于失效时间，则认位二维码失效，那么会返回一个错误页面。代码如下：...

原创 【itext学习之路】-------（第七篇）将html转成pdf(解决中文不显示)

版权声明：如需转载使用，请注明原文地址在上一篇文章中，我们学习了使用对pdf进行盖章/签章/数字签名，到此为止，常用的pdf操作已经全部实现，但是实际开发中很多人比较喜欢将html转成pdf，本文介绍将html转pdf的方法首先，贴上代码import java.io.ByteArrayInputStream;import java.io.FileOutputStream;impo...

原创 《阿里云服务器搭建》------文档管理系统--MinDoc

本系列教程的搭建环境为阿里云服务器，其他服务器可作为参考。本文主要讲述搭建一款文档管理系统——MinDocMinDoc是一款不错的文档管理工具，是通过数据库来管理文档的工具，详细内容可参考：《MinDoc简介》，当然，该文档内有详细的搭建步骤，本文只是用于记录作者自己搭建的步骤。1.在github上下载最新的资源包下载链接： minDoc – github 地址，这里，我下载的...

原创 《网络安全学习》 第八部分-----越权漏洞详解

越权漏洞是Web应用程序中一种常见的安全漏洞。它的威胁在于一个账户即可空指全站用户数据。当然这些数据仅限于存在漏洞功能对应的数据。越权漏洞的成因主要是因为开发人员在对数据进行增、删、改、查的时候对客户端请求的数据过分相信而遗漏了权限的判断。所以测试越权就是和开发人员拼细心的过程。...

原创 《网络安全学习》 第七部分-----跨域资源共享（CORS）漏洞

本博客内容部分来自于漏洞银行公开的学习视频之中，感谢漏洞银行的无偿技术分享。第一部分：浏览器同源策略学习跨域资源共享之前，首先要了解到的是浏览器同源策略这个概念。这样便于后续的跨域资源共享漏洞的理解和运用。同源策略（Same origin policy）是一种约定，它是浏览器最核心也最基本的安全功能，如果缺少了同源策略，则浏览器的正常功能可能都会受到影响。可以说Web是构建在同源策略基...

原创 《ELK日志架构》——第二部分：ELK架构环境搭建

上篇文章中 《开发技术学习》——第一部分：ELK日志架构学习，学习了ELK的基本理念。本篇开始讲述ELK实战搭建。搭建环境：阿里云的ECS（为了重新演示，被我初始化掉了）。操作系统：CentOS Linux release 7.4.1708 (Core)搭建前提1.干净的操作系统2.创建两个目录java和elk3.将jdl安装到java目录中，安装JDK1.8，安装教程：《阿里...

原创 《ELK日志架构》——第一部分：ELK日志架构学习

ELK是目前微服务技术下，专门为日志收集、分析的一套架构。进入官网，我们可以看到比较详细的介绍。ELK是三个开源软件的缩写，分别表示：Elasticsearch，Logstash和Kibana。目前又新增了一个FileBeat，它是一个轻量级的日志收集处理工具（Agent），Filebeat占用资源少，适合于各个服务器上搜集日志后传输给Logstash。整个架构图如下（图片源自官网）。官网提供的...

原创 《数据库学习》orace数据库实现自增主键和重置初始值

Oracle数据库没有像Mysql那样可以直接设置主键自增，如果要实现自增的话，可以通过序列+触发器来实现。创建自动增长序列*tb_seq为序列名create sequence tb_seq minvalue 1 maxvalue 99999999 -设置最大值和最小值increment by 1 --设置步长为1start with 1; --设置初始值为1创建触...

原创 《网络安全学习》 第六部分-----文件上传漏洞

由于服务器端未对文件类型、文件扩展名进行验证，造成攻击者上传恶意脚本到服务器端，从而执行攻击者的代码，这个过程就是文件上传漏洞。文件上传原理常见的验证文件的方式客户端javascript校验（一般只校验后缀名）服务端校验验证文件类型（文件头content-type字段校验（image/gif））验证文件扩展名验证文件内容服务器防御应该限制目录脚本的执行权限，其次验...

原创 《网络安全学习》 第五部分-----远程代码执行漏洞

远程命令执行漏洞，用户通过浏览器提交执行命令，由于服务器端没有针对执行函数坐果率，导致在没有执行绝对路径的情况下就执行命令，可能会允许攻击者通过改变$PATH（变量）或程序执行环境的其他方面来执行一个而已构造的代码。远程代码执行原理：客户端向服务器发送恶意请求，该请求内容中有服务器端可执行的代码，服务器端接收请求后未对来源数据做出过滤/拦截操作，从而造车给代码执行漏洞。...

原创 《网络安全学习》 第四部分-----SSRF服务器端请求伪造

SSRF(Server-side Request Forgery)，由于某些应用需要调用其他服务器上的资源，需要传入一个目的地址供服务器去请求，假设这个目标地址被攻击者攻击空指，就可以访问促使服务器访问内网的其他服务SSRF漏洞的危害可以对外网、服务器所在内网、本地进行端口扫描，获取一些服务的banner信息;攻击运行在内网或本地的应用程序（比如溢出）；对内网web应用进行指纹识别，...

原创 《玩转GitHub》你所不知道的GitHub

GitHub在开发界的地位不必多说，但是当我们在GitHub上面想要找一个心仪项目Demo的时候，那么要怎么做？除了直接搜索之外，那些隐藏的检索功能又了解多少？当我们登陆GitHub之后，一般会在这里输入自己想要找的项目名，比如redis然后就会出现这么多包含redis的搜索结果如果你是java程序员的话，你可能会先选择Language为Java，然后可能会在做一个排序筛选的排列。...

原创 《网络安全学习》 第三部分-----XSS攻击系列学习

XSS的常见攻击方式：反射型存储型第一种：反射型XSS攻击发出请求时，XSS代码出现在URL中，作为输入提交到服务器端，服务器端解析后响应，XSS代码随响应内容一起传回给浏览器，最后浏览器解析执行XSS代码。这个过程像一次反射，故叫反射型XSS。模拟反射型XSS攻击：通过构建Node应用，演示反射型XSS攻击。后台框架位jfinal，页面渲染也是jfinal，其他框架的话只...

原创 《网络安全学习》第一部分-----初识OWASP

要学习网络安全，或者说渗透测试，就必须要先知道一个组织——OWASP。OWASP是一个开源的、非盈利的全球性安全组织，致力于应用软件的安全研究。我们的使命是使应用软件更加安全，使企业和组织能够对应用安全风险作出更清晰的决策。目前OWASP全球拥有220个分部近六万名会员，共同推动了安全标准、安全测试工具、安全指导手册等应用安全技术的发展。总而言之，OWASP是一个致力于安全性研究的组织，并...

原创 《实战开发》javaweb目录结构的maven项目，无法使用tomcat

项目开发中，拉别人的项目到本地后，发现项目的目录是一个标准的javaweb项目，但是当我想把这个项目add到tomcat的时候，就然没有这个项目。解决步骤：1、找到项目目录下的.project文件2、编辑.project文件，找到…3、2中找到的结点中加下面的的代码(如果没有)org.eclipse.wst.common.project.facet.core.natureorg.e...

原创 《Postman学习》强大的接口开发必备工具

接口开发式开发中不可缺少的一部分，作为后台开发人员，如果每侧测试接口都需要打开项目页面，点击接口触发请求，是相当的麻烦和低效。况且很多时候前端页面并不在我们这里。因此一个模拟接口触发的软件就迫在眉睫-------【Postman】Postman介绍Postman是google开发的一款功能强大的网页调试与发送网页HTTP请求，并能运行测试用例的的Chrome插件。其主要功能包括:模拟各种...

原创 【java8】新特性学习笔记

Java 8 (又称为 jdk 1.8) 是 Java 语言开发的一个主要版本。 Oracle 公司于 2014 年 3 月 18 日发布 Java 8 ，它支持函数式编程，新的 JavaScript 引擎，新的日期 API，新的Stream API 等。新特性Java8 新增了非常多的特性，我们主要讨论以下几个：Lambda 表达式 − Lambda允许把函数作为一个方法的参数（函数...