Stay Hungry,Stay Foolish!

2015年3月22日
格式化字符串攻击
摘要: 什么是格式化字符串攻击?format string attackhttps://www.owasp.org/index.php/Format_string_attack首先攻击发生在 格式化字符串所涉及的函数(例如 printf), 其次用户输入字符串提交后作为格式化字符串参数执行。攻击者可以执行代... 阅读全文
posted @ 2015-03-22 09:26 lightsong 阅读(5588) 评论(0) 推荐(0)
textarea与XSS攻击
摘要: textarea用法一般是用来接收用户输入,用于提交到服务器端,例如 网站的评论框。如果此框也用于显示服务器端回传的内容,则有如下两种用法法1 后台直接插入法2 使用JS DOM接口赋值textareaDom.value = ""textarea content特性即法1特性, 即使将html代码段... 阅读全文
posted @ 2015-03-22 08:45 lightsong 阅读(4806) 评论(0) 推荐(0)
2015年3月2日
DOM based XSS Prevention Cheat Sheet(DOM Based XSS防御检查单)
摘要: 本文为翻译版本,原文请查看 https://www.owasp.org/index.php/DOM_based_XSS_Prevention_Cheat_Sheet介绍谈到XSS攻击,有三种公认的形式,Stored、 Reflected 和 DOM Based XSS。 XSS Prevention... 阅读全文
posted @ 2015-03-02 01:42 lightsong 阅读(1420) 评论(0) 推荐(0)
2015年2月28日
XSS (Cross Site Scripting) Prevention Cheat Sheet(XSS防护检查单)
摘要: 本文是 XSS防御检查单的翻译版本 https://www.owasp.org/index.php/XSS_%28Cross_Site_Scripting%29_Prevention_Cheat_Sheet介绍本文描述了一种恰当地使用输出转码或者转义(encoding or escaping)防御X... 阅读全文
posted @ 2015-02-28 01:37 lightsong 阅读(2354) 评论(0) 推荐(0)
2015年2月26日
Cross-Site Scripting(XSS)的类型
摘要: 本文源自:https://www.owasp.org/index.php/Types_of_Cross-Site_Scripting在原文理解上翻译为中文。背景本文描述多种不同类型的XSS攻击,和它们之间的相互关系。最早,有两种类型的XSS攻击被定义,Stored 和 Reflected , 在二零... 阅读全文
posted @ 2015-02-26 00:49 lightsong 阅读(772) 评论(0) 推荐(0)
2015年2月25日
Cross-site Scripting (XSS) 阅读笔记
摘要: 本文源自 https://www.owasp.org/index.php/Cross-site_Scripting_%28XSS%29通过阅读和翻译,并按照自己的理解,整理成如下文档。概述XSS攻击是一种注入, 通过这种攻击,恶意脚本被注入到被信任的网站里。XSS攻击的表现是,攻击者使用web应用的... 阅读全文
posted @ 2015-02-25 00:58 lightsong 阅读(3221) 评论(0) 推荐(0)
2015年2月18日
XSS检测工具 X5S/fiddler
摘要: x5shttp://xss.codeplex.com/5s是fiddler的插件, 协助XSS脚本攻击的穿刺性测试。 需要手动驱动。 安全编码,unicode字符变形,ut-8编码。5s is a Fiddler addon which aims to assist penetration test... 阅读全文
posted @ 2015-02-18 01:31 lightsong 阅读(1424) 评论(0) 推荐(0)
2015年2月12日
lua对模块接口扩展的一种方法
摘要: modulelua中模块的实现,对于使用者来说就是一个库,引用此库后,可以调用库中实现的任意函数。使用库,可以将一类功能相关的接口做封装,并提供开放接口。参考:http://blog.codingnow.com/2006/02/lua_51_module.htmlmodule 重载需求我们实现引用程... 阅读全文
posted @ 2015-02-12 23:20 lightsong 阅读(2049) 评论(0) 推荐(0)
2015年1月31日
使用awk统计字段重复实践
摘要: awkawk是一种规格化文件的分析工具, 主要处理对象类似数据库导出的条目文本文件, 其中一行,就对应一个记录,每个记录包含若干个字段。类似这种文本:[root@www ~]# last -n 5 1 ) { printf("key(%s) duplicated... 阅读全文
posted @ 2015-01-31 22:31 lightsong 阅读(1543) 评论(0) 推荐(0)
2015年1月26日
python+selenium实现跨浏览器兼容性测试
摘要: pythonhttps://www.python.org/python是一种脚本语言, 易学易用,可以助你快速实现业务逻辑,高效集成系统。----- http://zh.wikipedia.org/zh-cn/Python:它的语法简单,与其它大多数程序设计语言使用大括号不一样,它使用缩进来定义语句... 阅读全文
posted @ 2015-01-26 23:05 lightsong 阅读(2922) 评论(0) 推荐(0)
2015年1月12日
OWASP WEB会话管理备忘单 阅读笔记
摘要: https://www.owasp.org/index.php/Session_Management_Cheat_Sheet#Session_ID_Properties会话简介HTTP是一种无状态的协议,每一对请求和响应与其他的web交互是相互独立的,如果要跟踪用户的访问状态,就需要引入会话机制,对... 阅读全文
posted @ 2015-01-12 00:50 lightsong 阅读(610) 评论(0) 推荐(0)
2015年1月11日
一种构造WEB服务器端recv和send接口阻塞现象的方法
摘要: send阻塞socket recv send接口阻塞,会导致服务器端不在响应客户端任何请求,所以一般情况, 会将socket设置为非阻塞状态,但是有些场景,例如ssl_accept就需要使用阻塞的socket,否则握手极容易失败, 但是一直阻塞,容易导致服务器端DOS现象。下面是阻塞的解释 http... 阅读全文
posted @ 2015-01-11 00:51 lightsong 阅读(1414) 评论(0) 推荐(0)
2014年12月27日
HTML form enctype 属性试验
摘要: HTML form enctypehttp://www.w3.org/TR/html401/interact/forms.html#h-17.13.1%E2%80%8Denctype= content-type [CI]This attribute specifies the content typ... 阅读全文
posted @ 2014-12-27 14:28 lightsong 阅读(958) 评论(0) 推荐(0)
检测浏览器是否支持cookie方法
摘要: cookie摘自: http://www.cnblogs.com/fish-li/archive/2011/07/03/2096903.htmlCookie是什么? Cookie 是一小段文本信息,伴随着用户请求和页面在 Web 服务器和浏览器之间传递。Cookie 包含每次用户访问站点时 Web ... 阅读全文
posted @ 2014-12-27 11:21 lightsong 阅读(4800) 评论(0) 推荐(0)
2014年12月24日
javascript实现有向无环图中任意两点最短路径的dijistra算法
摘要: 有向无环图一个无环的有向图称做有向无环图(directed acycline praph)。简称DAG 图。DAG 图是一类较有向树更一般的特殊有向图,dijistra算法摘自 http://www.cnblogs.com/biyeymyhjob/archive/2012/07/31/2615833... 阅读全文
posted @ 2014-12-24 00:46 lightsong 阅读(2196) 评论(0) 推荐(0)
2014年12月19日
第三方cookie与搜索引擎+网站广告原理
摘要: cookie摘自 : http://www.williamlong.info/archives/3125.html关于cookie的安全知识 :http://shaoshuai.me/tech/2014/08/16/cookie-theft-and-session-hijacking.htmlCoo... 阅读全文
posted @ 2014-12-19 00:08 lightsong 阅读(3516) 评论(0) 推荐(0)
2014年12月2日
前端优化技术笔记
摘要: 设备优化1.在 Internet上域名与IP地址之间是一一对应的,域名很好记,但计算机不认识,计算机之间的“相认”还要转成ip地址。在网络上每台计算机都对应有一个独立的ip地址。在域名和ip地址之间的转换工作称为域名解析,也称DNS查询。一次DNS的解析过程会消耗20-120毫秒的时间,在dns查询... 阅读全文
posted @ 2014-12-02 23:33 lightsong 阅读(255) 评论(0) 推荐(0)
2014年11月30日
加密解密及其javascript实现
摘要: 前端提交数据到后台,如果不适用https协议,则提交的数据就有被第三者窃取的可能。前端使用js来编码数据主要分为以下三种:1、摘要算法2、对称加密3、非对称加密下面分别介绍三种算法中对应的一个实例,并给出js实现例子。MD5(摘要算法)百度百科MD5即Message-Digest Algorithm... 阅读全文
posted @ 2014-11-30 22:23 lightsong 阅读(11518) 评论(0) 推荐(0)
2014年11月8日
WEB压力测试工具Pylot试用
摘要: Pylot介绍转载自[http://www.freehao123.com/pylot-web/]为了能够准确地评估网站服务器对网络流量的承受能力,我们一般会采取模拟网站用户访问,通过不断地增加并发数,延长访问时长,从而最终得出网站Web服务器的性能和负载能力。当然也可以通过Web压力测试,来完善和改... 阅读全文
posted @ 2014-11-08 16:27 lightsong 阅读(780) 评论(0) 推荐(1)
2014年10月23日
JQuery实现click事件绑定与触发方法分析
摘要: 原生JS通过什么方法绑定click事件? 原生js有一下三种方法为DOM对象绑定click事件, 第一种,在html中添加 onclick属性,在此属性中添加要绑定的事件函数,如下, 这种方法为html处理事件的原始方法,使得html和js过分耦合, 即表现层代码 和 行为层代码耦合: ... 阅读全文
posted @ 2014-10-23 00:09 lightsong 阅读(8158) 评论(0) 推荐(0)
2014年10月12日
JQuery data API实现代码分析
摘要: JQuery data 接口是什么?.data()Store arbitrary data associated with the matched elements or return the value at the named data store for the first element i... 阅读全文
posted @ 2014-10-12 22:18 lightsong 阅读(1332) 评论(0) 推荐(0)
2014年10月10日
JQuery + XML作为前后台数据交换格式实践
摘要: JQuery + xml作为前后台数据交换 JQuery提供良好的异步加载接口AJAX,可以局部更新页面数据,http://api.jquery.com/category/ajax/ xml作为一种轻量数据格式,被浏览器js引擎普遍支持,同json格式,但是没有json那么精简。 使用AJAX... 阅读全文
posted @ 2014-10-10 22:12 lightsong 阅读(4106) 评论(0) 推荐(0)
2014年10月1日
JQuery对象操作支持链式法则源码分析
摘要: JQuery链式法则 何为链式法则?先给出非链式写法的例子 再给出链式写法的例子 JQuery实现元素的定位与操作,如果每一次操作,必须先获取一次对象,则会出现页面多次定位相同的DOM,页面脚本定位DOM可能会非常频繁,导致操作耗费时间,页面响应比较慢。 JQuery如何实现链式法则? 下面以css 阅读全文
posted @ 2014-10-01 23:32 lightsong 阅读(1458) 评论(0) 推荐(0)
2014年9月30日
JQuery + JSON作为前后台数据交换格式实践
摘要: JQuery + JSON作为前后台数据交换 JQuery提供良好的异步加载接口AJAX,可以局部更新页面数据,http://api.jquery.com/category/ajax/ JSON作为一种轻量数据格式,被浏览器js引擎普遍支持,同xml格式。 使用AJAX+JSON数据格式来实现... 阅读全文
posted @ 2014-09-30 22:52 lightsong 阅读(4120) 评论(0) 推荐(0)
2014年9月27日
JQuery html API支持解析执行Javascript脚本功能实现-代码分析
摘要: JQuery html用法(功能类似innerHTML) 开发中需要使用Ajax技术来更新页面局部区域, 使用的方法是ajax获取html代码段(字符串),然后将这个html代码段作为参数,传入目标DOM(JQuery对象)的JQuery html接口,此语句执行后, 会将html代码段解释执行... 阅读全文
posted @ 2014-09-27 23:52 lightsong 阅读(3101) 评论(2) 推荐(1)
2014年8月19日
跨域访问实践
摘要: 同源策略 An origin is defined by the scheme, host, and port of a URL. Generally speaking, documents retrieved from distinct origins are isolated from each 阅读全文
posted @ 2014-08-19 00:23 lightsong 阅读(29225) 评论(0) 推荐(1)
2014年8月4日
XP下安装MAC OS虚拟系统
摘要: 参考baidu经验:http://jingyan.baidu.com/article/e5c39bf5876c8b39d760331a.html工具:1、虚拟机软件:vmwareworkstation10。 从百度下载比较快:http://w.x.baidu.com/alading/anquan_... 阅读全文
posted @ 2014-08-04 19:21 lightsong 阅读(593) 评论(0) 推荐(0)
2014年7月27日
Android APP开发笔记
摘要: 环境搭建windows系统上需要以下软件:android SDK -- app开发工具包, 开发运行环境(包括SDK管理工具,和虚拟设备管理)。JDK -- java 开发工具包, 负责app代码编译运行。eclipse -- app开发集成环境, 开发app代码, 编译后在 android SDK... 阅读全文
posted @ 2014-07-27 23:18 lightsong 阅读(389) 评论(0) 推荐(0)
2014年7月25日
CSS浮动与清浮动
摘要: 浮动 ( float css属性) float : left rightElements are floated horizontally, this means that an element can only be floated left or right, not up or down.h... 阅读全文
posted @ 2014-07-25 01:47 lightsong 阅读(349) 评论(0) 推荐(0)
2014年7月18日
LUA 模块化编程例子
摘要: LUA module lua语言中module接口用于定义一个模块, 将模块的实现封装到一个文件中,开放的 函数 和 数据, 不以local标识,然后在其他文件中, 引用此模块, 使用模块名(一个命名空间)调用开放API。其模块化作用, 同 在一个文件中定义一个变量table, 然后给变量定义 开... 阅读全文
posted @ 2014-07-18 23:58 lightsong 阅读(1210) 评论(0) 推荐(0)
JavaScript解决命名冲突的一种方法
摘要: 过程化编码 过程化编码, 表现为 定义若干函数,然后调用定义函数,随着页面交互逻辑变化, 从简单到复杂, 定义的所有函数、和变量 都挂在 window对象上,window对象 编程者子自定义变量名称 规模会愈来愈额庞大,在后面开发和维护的过程中,很容易导致函数名称冲突,引起意想不到问题。 例如,... 阅读全文
posted @ 2014-07-18 23:42 lightsong 阅读(1187) 评论(0) 推荐(0)
XML中文本节点存储任意字符的方法
摘要: XML xml是一种可扩展标签语言, 为众多浏览器支持解析, ajax更是利用xml来完成服务器和客户端之前的通信。 xml基本元素为 xxx, 并支持嵌套, 即标签的内容, 既可以是文本, 又可以是另外一个基本元素。 语法介绍 :http://www.w3school.com.cn/xml/... 阅读全文
posted @ 2014-07-18 22:44 lightsong 阅读(1054) 评论(0) 推荐(0)
2014年7月12日
Lua JSONRPC学习笔记
摘要: JSON RPC JSON RPC 为利用json数据格式来执行远程调用方式,作用同xmlrpc,不过与xmlrpc相比, jsonrpc更加轻量,json更加节省数据量,更加可读性高。官网网站:http://www.json-rpc.org/JSONRPC协议规范:http://www.json... 阅读全文
posted @ 2014-07-12 13:48 lightsong 阅读(3485) 评论(0) 推荐(1)
2014年6月28日
C语言中静态库和动态库笔记
摘要: 库 库,故名思议,是存放东西的地方,其中存放的东西可以被多个人公用。程序中借用库的概念,描述将代码进行抽取,这种代码被大多数程序使用,其过程具有一定的模块化、封装、抽象的特征。 按照库的使用方式, 静态库 和 动态库。不管怎样方式使用, 首先库的概念体现出代码逻辑上公共抽象。 有篇博文,做了介... 阅读全文
posted @ 2014-06-28 15:56 lightsong 阅读(685) 评论(0) 推荐(0)
2014年6月20日
JSONP使用笔记
摘要: JSONP JSONP是实现跨域GET请求的一种方法, 原理上利用script标签可以动态加载JS文件,将不同源站点的JSON数据加载到本网站来,如果给定回调函数,将回调函数名传递到服务器端,在服务器端生成 此函数以JSON数据为入参的调用语句,就为一般AJAX实现的getJSON接口。getJS... 阅读全文
posted @ 2014-06-20 00:24 lightsong 阅读(347) 评论(0) 推荐(0)
2014年6月17日
http cache 原理实战演习
摘要: 有篇博文介绍的原理已经比较清楚了,见下面链接, 本文给出实验结果。http://www.cnblogs.com/cocowool/archive/2011/08/22/2149929.htmlLast-modified第一次请求,请求头中没有 IF_Modify_Since, 因为第一次还没有获得 ... 阅读全文
posted @ 2014-06-17 23:11 lightsong 阅读(434) 评论(0) 推荐(0)
2014年6月15日
Lua xavante WEB server实现xmlrpc服务器端
摘要: xavantexavante是一个使用lua实现的遵守http1.1的web server,支持wsapi。依赖库:xavante核心 -- lua, copas(纯lua编写,网络连接coroutine处理), luasocket处理网络连接。xavante file handler -- lua... 阅读全文
posted @ 2014-06-15 23:42 lightsong 阅读(1374) 评论(0) 推荐(0)
2014年6月8日
LuaXMLRPC笔记
摘要: XMLRPC XMLRPC 为以http为传输协议,使用xml格式化数据来执行远程过程调用, 区别于本地过程调用, 即发生在不同主机之间。 属于分布式计算的一种简单实现,比web service简单易用。xml语言被多种语言广泛支持,是一种可扩展的标记语言,xmlrpc被多种平台实现,以此提供的... 阅读全文
posted @ 2014-06-08 17:25 lightsong 阅读(1182) 评论(0) 推荐(0)
2014年6月7日
LuaExpat笔记
摘要: xml xml是一种格式化数据交换语言, 适用于在网络上不同应用会话。http://www.xml.com/pub/a/98/10/guide0.htmlexPat 一种C语言实现的 xml 文档 解析库, 面向流文件的解析工具, 适合网络接收端使用, 边接受边解析。http://www.lib... 阅读全文
posted @ 2014-06-07 23:08 lightsong 阅读(1166) 评论(0) 推荐(0)
LuaSocket http笔记
摘要: LuaSocket 基于Lua平台开发的一套socket的lua接口库程序, 为lua程序的扩展 ,http://w3.impa.br/~diego/software/luasocket/home.html包括两部分: c核心库(支持windows 和 unix系统),和 Lua脚本实现的Lua脚... 阅读全文
posted @ 2014-06-07 14:42 lightsong 阅读(5229) 评论(1) 推荐(0)
千山鸟飞绝,万径人踪灭