- 博客(173)
- 资源 (1)
- 收藏
- 关注
RSS订阅转载 Web安全测试之跨站请求伪造(CSRF)
跨站请求伪造(即CSRF)被Web安全界称为诸多漏洞中“沉睡的巨人”,其威胁程度由此“美誉”便可见一斑。本文将简单介绍该漏洞,并详细说明造成这种漏洞的原因所在,以及针对该漏洞的黑盒测试与灰盒子测试具体方法和示例,最后提提了一些防范该攻击的建议,希望本文对读者的安全测试能够有所启发。一、CSRF概述我们首先来了解一下什么是跨站请求伪造(CSRF)?跨站请求伪造是一种挟制终端用户在当前
2015-08-12 18:32:31
4817
转载 session fixation攻击
什么是sessionfixation攻击Session fixation有人翻译成“Session完成攻击”,实际上fixation是确知和确定的意思,在此是指Web服务的会话ID是确知不变的,攻击者为受害着确定一个会话ID从而达到攻击的目的。在维基百科中专门有个词条http://en.wikipedia.org/wiki/Session_fixation,在此引述其攻击情景,
2015-08-10 17:54:44
3650
1
转载 关于JSP源码泄漏问题的总结分析
www.2cto.com:09年的一篇老文章了JSP编程语言自从推出之日起,由于它的快速、平台无关、可扩展、面向对象等特性得到了越来越广泛的应用,越来越多的厂家开发出了各种各样的支持平台如IBM 公司的WebSphere、BEA公司的WebLogic等等,也有越来越多的网站开始将自己的平台架构在JSP 环境中。但是随之而来的就是一系列的安全问题,如JSP源码泄露、远程任意命令执行漏
2015-08-10 13:13:42
5609
转载 国外最流行的几个外包接活平台简要介绍
国外主要外包接活站点: No.1 Freelancer.com (旧称GAF – GetAFreelancer): 国外访问人数最多,更新速度最快的外包平台。详细介绍No.2 Elance : 国外比较成熟的三大业务外包平台之一,外包项目类型以软件和网站为主。当年Digg 站点的创始人就是通过这个站点找到开发人员的。该站点上大的项目不少,因此也就吸引了很
2015-07-02 23:06:09
17811
1
转载 什么是敏捷软件测试
敏捷的理念已经深入人心,开发过程已经渐入佳境,测试的处境却稍显尴尬。测试从业者应该何去何从,怎样才能拥抱敏捷,体现出自己新的价值呢?InfoQ特地邀请了来自Google的敏捷测试专家段念,为读者答疑解惑,希望所有测试从业者可以从中得到自己的答案。更多关于敏捷测试的内容,请访问InfoQ中文站敏捷测试相关内容。在与不少测试从业人员讨论到敏捷的时候,被问得最多的大约是两个问题:“到底什么是
2015-06-26 11:50:28
1507
转载 如何打造139团队(不同层次人员的选择与培养,大型研发团队,大型敏捷开发团队)
2001年的时候,我们注意到程序员个体差异很大,尤其是质量差异很大,即使他们天天坐在一起。原因在与大家几乎各自分工干各自的活动,中间缺少交流(不是交流学习会那种,而是每时每刻发自内心的交流)。而对于一个软件而言,质量最好的部分并不能导致整个软件质量好,但质量差的部分却可以导致整个软件质量差(可以认为是一个串联系统),因此建立一个学习型团队成为当时的工作重点。 最初希望建立
2015-06-25 14:15:16
786
转载 为什么中国需要职业经理人?
两年前,集结了我多年职场经验的小书《正能量:职业经理人的养成》付梓出版,旨在帮助中国越来越多的职业经理人快速成长。书出版两年多来,企业教练和培训工作一直在继续,这些经历让我不断对民企及职业经理人有更进一步的了解和认识,也促使我不断提炼过去的经验,调整我的课程和沟通方法,以便更有效帮助他们。这些新的“发现”和认识,让我不断系统梳理过去的经验,为将这些沉淀下来的经验分享给更多的职场人士,使我萌
2015-06-17 20:25:19
1993
原创 安全攻击:webgoat课程笔记
http拆分:需要有第二次请求,比如重定向302,第一次响应直接带了第二次响应的信息缓存污染:在http拆分的第二次请求中增加last-modified设定未来的日期,以骗取浏览器缓存一直使用第二次响应的内容访问控制漏洞:绕过路径访问控制:在能传递路径参数的页面,通过../等相对路径参数,得到原本没有权限访问的路径页面响应返回
2015-06-12 14:59:21
1076
转载 安全测试之一:HTTP响应头拆分/CRLF注入详解
一:前言“HTTP响应头拆分漏洞”是一种新型的web攻击方案,它重新产生了很多安全漏洞包括:web缓存感染、用户信息涂改、窃取敏感用户页面、跨站脚本漏洞。这项攻击方案,包括其衍生的一系列技术产生,是由于web应用程序没有对用户的提交进行严格过滤,导致非法用户可以提交一些恶意字符,更具体来说,是对用户输入的CR 和LF字符没有进行严格的过滤。“HTTP响应头拆分漏洞”及其相关的攻击手
2015-06-11 20:40:07
3659
转载 Linux 查找指定名称的进程并显示进程详细信息
实际应用中可能有这样的场景:给定一个进程名称特征串,查找所有匹配该进程名称的进程的详细信息。解决的办法是:(1) 先用pgrep [str] 命令进行模糊匹配,找到匹配该特征串的进程ID;(2) 其次根据进程ID显示指定的进程信息,ps --pid [pid];(3) 因为查找出来的进程ID需要被作为参数传递给ps命令,故使用xargs命令,通过管道符号连接;(4) 最
2015-06-03 19:07:23
3350
转载 linux_nmon监控方法
一、介绍Nmon 工具是 IBM 提供的免费的在AIX与各种Linux操作系统上广泛使用的监控与分析工具。该工具可将服务器的系统资源耗用情况收集起来并输出一个特定的文件,并可利用 excel 分析工具nmonanalyser进行数据的统计分析。并且,nmon运行不会占用过多的系统资源,通常情况下CPU利用率不会超过2%。针对不同的操作系统版本,nmon有相应版本的程序。以下
2015-06-03 18:59:26
599
转载 世界著名实验室简介
实验室是科学的摇篮,是科学研究的基地,对科技发展起着十分重要的作用。在国际上享有盛誉的著名实验室更被喻为科研领域的麦加,是科技工作者向往和追随的地方。这些实验室往往代表了世界前沿基础研究的最高水平,诞生了一大批诺贝尔奖获得者和具有划时代意义的科技创新成果,是开展高层次学术交流的重要场所。下面选取一些具有代表性的,分类加以介绍。 一、第一类是建立在大学里面,附属于大学或
2015-05-27 13:40:34
3779
转载 Flash Builder4.6 破解方法的实践
建议:作为草根一级,买不起正版,只能先拿破解版练练手了,如果商业的话,请用正版。【转】http://hi.baidu.com/cm186man/blog/item/148658ce557c0323b700c853.html具体步骤如下:1.到Adobe官网下载FlashBuilder 4.6,有简体中文版;语言:简体中文(Simplified)http://tria
2015-05-12 11:50:14
574
转载 android应用自启分析与S4启动列表
揭秘:手机软件自启原理大家都会想知道,这些软件不是我主动运行的,到底是如何自己运行起来的呢?接下来我们将简单讲讲软件自启的方式和原理。以下内容有些偏技术,读起来可能有些晦涩,还请耐心拜读。不过在介绍之前,先要铺垫一下:Android四大基本组件分别是Activity,Service服务,Content Provider内容提供者,BroadcastReceiver广播接
2015-05-05 10:46:09
2565
转载 thinkphp3.1.3多对多关联模型BUG修复
修复了在 MANY_TO_MANY下 会清空 中间表的BUG需要修改文件ThinPHP/Extend/Model下面的RelationModel.class.php,在192行把: $sql ="SELECT b.{$mappingFields} FROM {$mappingRelationTable} AS a,".$model->getTab
2015-04-23 21:18:55
1330
转载 sublime text 2 前端编码神器-快捷键与使用技巧介绍
前言代码编辑器或者文本编辑器,对于程序员来说,就像剑与战士一样,谁都想拥有一把可以随心驾驭且锋利无比的宝剑,而每一位程序员,同样会去追求最适合自己的强大、灵活的编辑器,相信你和我一样,都不会例外。如果说“神器”是我能给予一款软件最高的评价,那么我很乐意为它封上这么一个称号。sublime text 2(以下简称ST2)小巧绿色且速度非常快,跨平台支持Win/Mac/Linux,支持
2015-04-19 14:41:38
693
转载 社会生活十三大著名法则
马太效应编辑《新约马太福音》中有这样一个故事,一个国王远行前,交给三个仆人每人一锭银子,吩咐他们:"你们去做生意,等我回来时,再来见我。"国王回来时,第一个仆人说:"主人,你交给我们的一锭银子,我已赚了10锭。"于是国王奖励他10座城邑。第二个仆人报告说:"主人,你给我的一锭银子,我已赚了5锭。"于是国王例奖励了他5座城邑。第三个仆人报告说:"主人,你给我的一锭银子,我一直包在手巾里存
2015-03-31 14:41:02
1175
转载 未来有巨大潜力的四类垂直电商模式
过去几年,我认为是垂直电商的第一个发展阶段,这是一场百米冲刺,很多企业从一个细分的标准品类出发,终点只有一个:那就是成长为综合性的电商平台,原因就是我们上篇文章提到的标准品类垂直电商存在的无法克服的弱点。因此,对于很多企业来说一开始就注定了最后的结局,因为在奔向综合性电商平台的赛道上,最后有机会留存下来的只会是冠、亚、季军,而大多数企业入场的时候就已经晚了,时间窗口所剩无几。经过了
2015-03-31 14:18:55
1503
转载 网站缓存技术总结( ehcache memcache redis)
网站技术高速发展的今天,缓存技术已经成为大型网站的一个关键技术,缓存设计好坏直接关系的一个网站访问的速度,以及购置服务器的数量,甚至影响到用户的体验。网站缓存按照存放的地点不同,可以分为客户端缓存、服务端缓存。客户端缓存客户端缓存又可分为:浏览器缓存、网关或代理服务器缓存 网关或代理服务器缓存是将网页缓存中网关服务器上,多用户访问同一个页面时,将直接从网关服务器把页
2015-03-25 17:23:31
1207
转载 LAMP网站架构方案分析
LAMP(Linux-Apache-MySQL-PHP)网站架构是目前国际流行的Web框架,该框架包括:Linux操作系统,Apache网络服务器,MySQL数据库,Perl、PHP或者Python编程语言,所有组成产品均是开源软件,是国际上成熟的架构框架,很多流行的商业应用都是采取这个架构,和Java/J2EE架构相比,LAMP具有Web资源丰富、轻量、快速开发等特点,微软
2015-03-24 11:13:06
565
转载 网站性能优化的三重境界
这篇文章是关于网站性能优化体验的,性能优化是一个复杂的话题,牵涉的东西非常多,我只是按照我的理解列出了性能优化整个过程中需要考虑的种种因素。点到为止,包含的内容以浅显的介绍为主,如果你有见解能告知我那再好不过了。无论如何,希望阅读它的你有所收获。 我眼中的网站性能问题都反映了一个网站的“Availability”(中文叫做可用性,但是这个翻译也不足够达意),以往我的认识是,这个网站
2015-03-20 09:10:10
610
转载 创业想找技术合伙人,要做到这三点
周五下午,当我在必帮咖啡工作的时候,来了两位朋友,他们跑到其中的一个会议室热烈讨论着什么。在他们出来经过我们的时候,无意中看到了背后的缘创派的海报,于是很惊讶说:“我们就是在缘创派上认识的,现在准备合伙创业。” 能够遇到缘创派的用户,当然不容错过。于是请他们坐下聊,既然他们成功的找到了合伙人,肯定有很多经验可以分享。 这两位非常有代表性,一位从事技术十多年;一位不懂
2015-03-19 11:45:47
954
转载 手绘风 PPT:Google 是如何运作的?
时间:2015-03-17 14:04 来源:网络作者:Pearl.Wu 《Google 是如何运作的》一书于今年 9 月出版,作者是如雷贯耳的 Google 前 CEO 埃里克·施密特和 Google 高级副总裁乔纳森·罗森伯格。本文中的 54 张插图则是施密特不久前刚在网上公开的 PPT 精简版,比枯燥的文字多了几分生趣,插图的创意和洞察也入木三分,无论你是企业家、普
2015-03-18 16:29:07
689
转载 ehcache memcache redis 三大缓存男高音
最近项目组有用到这三个缓存,去各自的官方看了下,觉得还真的各有千秋!今天特意归纳下各个缓存的优缺点,仅供参考! Ehcache在java项目广泛的使用。它是一个开源的、设计于提高在数据从RDBMS中取出来的高花费、高延迟采取的一种缓存方案。正因为Ehcache具有健壮性(基于java开发)、被认证(具有apache 2.0 license)、充满特色(稍后会详细介绍),所
2015-03-18 14:52:27
415
转载 自动化测试框架Cucumber和RobotFramework的实战对比
一、摘要自动化测试可以快速自动完成大量测试用例,节约巨大的人工测试成本;同时它需要拥有专业开发技能的人才能完成开发,且需要大量时间进行维护(在需求经常变化的情况下),所以大部分具有很好开发技能的人员不是很愿意编写自动化用例。但由于软件规模的高速增长,人力资源的逐步稀缺,自动化测试已是势在必行。对于自动化测试首先需要保证其功能是对客户有价值的和正确可用的。而这一切的基础就是用例要能测
2015-03-18 08:09:09
1531
转载 图解正向代理、反向代理、透明代理
套用古龙武侠小说套路来说,代理服务技术是一门很古老的技术,是在互联网早期出现就使用的技术。一般实现代理技术的方式就是在服务器上安装代理服务软件,让其成为一个代理服务器,从而实现代理技术。常用的代理技术分为正向代理、反向代理和透明代理。本文就是针对这三种代理来讲解一些基本原理和具体的适用范围,便于大家更深入理解代理服务技术。一、正向代理(Forward Proxy)
2015-03-16 18:16:12
641
转载 选择startup公司的一点经验
我从01年到现在已经在硅谷工作了七年,来的时候因为非常偶然的因素加入了一个 startup,回头看看真是改变了自己的人生轨迹。其间除了acquisition,全部是在 startup工作,有成功,当然也有失败。我想很多人来到湾区,并不甘心永远在一个几 千人的大公司做一块默默无闻的砖头,加入startup可以说是很多人的梦想。尤其从01 年到现在,经济从低谷走到高峰,眼前却又
2015-03-11 13:15:31
5205
转载 国外人气最旺的软件测试网站
http://bdonline.sqe.com/ 一个关于网站测试方面的网页,对这方面感兴趣的人可以参考http://citeseer.nj.nec.com/ 一个丰富的电子书库,内容很多,而且提供著作的相关文档参考和下载,是作者非常推荐的一个资料参考网站http://groups.yahoo.com/group/LoadRunner 性能测试工具LoadRun
2015-03-11 13:09:55
2715
转载 内连接、左外连接、右外连接、交叉连接区别
在之前,我对MSSQL中的内连接和外连接所得出的数据集不是很清楚。这几天重新温习了一下SQL的书本,现在的思路应该是很清楚了,现在把自己的理解发出来给大家温习下。希望和我一样对SQL的连接语句不太理解的朋友能够有所帮助。(发这么菜的教程,各位大大们别笑话偶了,呵:D ) 有两个表A和表B。表A结构如下: Aid:int;标识种子,主键,自增ID Aname:varchar 数据情况,即用s
2015-03-04 09:27:38
528
原创 dokuwiki addnewpage插件无法使用问题的解决
搭建了dokuwiki网站,修改了一些插件的文件,发现页面显示没有变化,顾考虑是否为缓存的原因。果然,删除cache文件夹下边的数字和字母索引文件夹即可清除缓存,cache目录下的文件不要动~~
2015-02-25 17:39:27
6090
转载 Dokuwiki 筆記
為什麼用 Dokuwiki?(2014 年 3 月重寫)雲端運算裡面, 一個最重要最簡單的應用就是 wiki。 邁入雲端第一步, 與其詢問 「該採購哪一種雲端產品呢?」 不如 改以 wiki 部份取代 word, 作為雲端版的文書工具。 要用哪一套 wiki 呢? 用 「wiki comparison」 可以搜尋到 WikiMatrix; 不過選擇多到爆... 例如 以
2015-02-13 08:47:30
2722
转载 Dokuwiki模版Vector使用总结
Vector模版的介绍:仿维基百科主题,有侧边栏、用户页、讨论页、标签页功能,支持中文。可以自定义 LOGO、CSS 样式、侧栏、标签页等。所有修改都在 lib/tpl/vector/user 目录下。自定义 LOGO:将图片命名为 logo,扩展名可以是 png、gif、jpg。然后放入 user 目录下。自定义 Favicon:将图片命名为 favicon.ico,放入
2015-02-12 15:34:05
9974
1
转载 Windows主机:Apache启用rewrite和.htaccess
有时为了调试php的方便,flymorn需要在我的windows系统上安装Apache+MySQL+PHP环境,PHP环境安装完成后,调试程序时如WordPress、ShopEX经常需要用到URL重写rewrite规则和.htaccess配置,而默认windows下的apache是不支持的,其实启用重写规则也很简单。 flymorn的环境是 Apache/2.2.8 (Win32)
2015-02-12 14:44:59
3970
转载 百度Web App在线生成平台Site App体验
最近收到百度开发者中心邮件,告知之前的百度移动建站服务已经升级为Site App了,Site App顾名思义是可以创建APP的站点,之前想建立一个APP要么是自己制作,要么是选用国外的在线Web APP工具来实现,现在百度推出的Site App极大的解决了中小网站无法建立APP站点的事实。下图为电脑站、移动建站、Web APP的图示:通过图例我们可以看到,之前通过把电脑版通
2015-02-12 09:00:53
1017
转载 dokuwiki简介+windows安装+杂技
DokuWiki是一款简洁轻便,代码整洁,功能强大而灵活的开源Wiki程序。尤其适用于中小团队和个人网站知识库的管理。可以预见,在声名鹊起的web2.0风潮中,DokuWiki必将更会广泛应用。 主要内容:一、下载与简介二、实践与技巧三、杂乱的资料一、下载与简介==========是一个知识管理工具。wiki的。下载地址是:http://www.sp
2015-02-10 17:56:40
5605
转载 认识单元测试中的打桩
什么是桩 桩,或称桩代码,是指用来代替关联代码或者未实现代码的代码。如果函数B用B1来代替,那么,B称为原函数,B1称为桩函数。打桩就是编写或生成桩代码。 打桩的目的 打桩的目的主要有:隔离、补齐、控制。 隔离是指将测试任务从产品项目中分离出来,使之能够独立编译、链接,并独立运行。隔离的基本方法就是打桩,将测试任
2015-02-04 17:46:50
1482
转载 正向代理与反向代理的区别【Nginx读书笔记】
正向代理的概念正向代理,也就是传说中的代理,他的工作原理就像一个跳板,简单的说,我是一个用户,我访问不了某网站,但是我能访问一个代理服务器这个代理服务器呢,他能访问那个我不能访问的网站于是我先连上代理服务器,告诉他我需要那个无法访问网站的内容代理服务器去取回来,然后返回给我从网站的角度,只在代理服务器来取内容的时候有一次记录有时候并不知道是用户的请求,也隐藏
2015-02-02 11:48:40
465
转载 九张图看懂互联网金融模式
互联网金融,最近一两年最火爆的话题,作为一个新生的概念,目前还没有权威定义。谢平教授,这个概念最早的提出者,曾在《互联网金融模式研究》中提到:“在这种金融模式下,支付便捷,市场信息不对称程度非常低;资金供需双方直接交易,银行、券商和交易所等金融中介都不起作用;可以达到与现在直接和间接融资一样的资源配置效率,并在促进经济增长的同时,大幅减少交易成本。”而在实际见闻中,各大媒体只要逮着互联
2015-01-28 17:09:33
2234
1
转载 推荐几本软件测试方面的经典书籍
第1《软件测试》作者:(美)Ron Patton译者:周予滨 姚静出版社:机械工业出版社原出版社: SAMS我所见过的最好最经典的软件测试入门书,有一个别名叫“软件测试的本质”。书中没有讨论太多的软件测试理论,只包含了一部分常用的、基本的知识。从什么是软件测试、为什么要作软件测试开始,逐步引入基本的和高级的测试技术和方法,然后开始把读者引入实际工作中,讲述了一般
2015-01-27 13:46:41
5301
转载 产品经理3件事|搭架子、定流程、抠细节
从事产品设计行业有些年头了,发现还是会不断遇到新的问题,不断强迫自己去思考,去总结,这是这个行业最吸引我的地方。并且,我也时常翻看自己之前的总结,发现,总是能从过去的总结中重新寻找很多灵感。也许正是这样的感觉不断的推动着自己在往前走吧。 产品设计3件事,搭架子、定流程、抠细节。 搭架子 产品设计工作,首先是一个创造的过程。依据设计者对市场的理解,对用户的理解,对战略布
2015-01-16 13:02:40
887
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人