arlenhou

摘要： 本文介绍Subversion服务器的搭建步骤。Subversion(SVN) 是一个开源的版本控制系統, 也就是说 Subversion 管理着随时间改变的数据。 这些数据放置在一个中央资料档案库 (repository) 中。 这个档案库很像一个普通的文件服务器, 不过它会记住每一次文件的变动。 这样你就可以把档案恢复到旧的版本, 或是浏览文件的变动历史。 阅读全文

摘要： Expect是Unix系统中用来进行自动化控制和测试的软件工具，由DonLibes制作，作为Tcl脚本语言的一个扩展，应用在交互式软件中如telnet，ftp，Passwd，fsck，rlogin，tip，ssh等等。该工具利用Unix伪终端包装其子进程，允许任意程序通过终端接入进行自动化控制；也可利用Tk工具，将交互程序包装在X11的图形用户界面中。简单地说，expect是一个工具，可以根据用户设定的规则和系统进程进行自动化交互，例如远程登陆的密码输入、自动化的执行远程命令。 阅读全文

摘要： PHP时间格式控制符对照表,方便平时查阅。 阅读全文

摘要： 所谓SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令。攻击者通过web请求提交带有影响正常SQL执行的参数（arlen’ OR ‘1’=’1），服务端在执行SQL时参数的特殊性影响了原本的意思（select * from table where user=’arlen\’ OR \’1\’=\’1’;），执行了非预期的操作(select * from table where user=’arlen’ OR ‘1’='1’)，从而是攻击者获取到了其他用户的信息或者对服务造成了攻击。 阅读全文

摘要： 作者发现博客园在首页显示摘要时未做html标签的过滤,致使摘要中的html代码可以被执行,从而可以注入任何想要被执行的js代码,作者利用这一缺陷在本文摘要中插入了一段js代码执行alert弹窗,同时增加另一片文章的访问数量,并无恶意代码,可以通过下面地址进行体验:请访问：http://www.cnblogs.com/arlenhou/ 阅读全文

摘要： 跨站请求伪造（Cross Site Request Forgery (CSRF)）也被称为：one click attack/session riding，缩写为：CSRF/XSRF，是一种挟制终端用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法。攻击人员通过一些手段让终端用户点击存在攻击的链接或者页面，例如攻击人员通过xss漏洞在终端用户的页面中执行，或者将这个代码放在一个具有诱惑性的页面中，亦或者将链接直接放在论坛帖子中。 阅读全文

摘要： XSS(Cross Site Script)跨站脚本攻击。是指攻击者向被攻击Web 页面里插入恶意html代码，当用户浏览该页之时，嵌入其中的HTML代码会被执行，从而达到攻击的特殊目的。XSS和CSRF(Cross site request forgery)合称Web 杀手组合。黑客洞穿页面逻辑，使输入的内容被按照期望内容展示出来，从而达到欺骗或攻击用户的效果。常见的xss攻击类型有存储xss攻击和反射型xss攻击。 阅读全文

摘要： linux crontab每月最后一天到次月4号执行写法 阅读全文

摘要： 在一个基于角色的访问控制方案中，角色代表了一组访问权限和特权。一个用户可以被分配一个或多个角色。一个基于角色的访问控制方案通常有两个部分组成：角色权限管理和角色分配。一个被破坏的基于角色的访问控制方案可能允许用户执行不允许他/她的被分配的角色，或以某种方式允许特权升级到未经授权的角色的访问。 阅读全文

摘要： 攻击者在向 Web 服务器正常输入的请求中加入恶意代码，受到攻击的应用不会检查CR（回车，也可表示为%0d或\r）和LF（换行，也可表示为%0a或\n）。这些字符不仅使攻击者控制应用程序打算发送的响应头和响应体，而且还使他们能够完全在其控制下创造更多的答复。HTTP拆分攻击配合缓存污染一起使用，能使效果达到最大化。缓存污染攻击的目标是使缓存污染，欺骗缓存，使其相信使用HTTP拆分劫持的页面是一个很正常的页面，是一个服务器的副本。攻击发生时，使用HTTP拆分攻击，加上最后修改添加的部分：请求头，并设置它为将来的日期。这将迫使浏览器发送If-Modified-Since请求头，这使攻击者有机会拦截服务器的答复，并代之以一个“304 不修改”答复。 阅读全文