一.界面操作劫持 1)ClickJacking ClickJacking点击劫持,这是一种视觉上的欺骗. 攻击者使用一个透明的.不可见的iframe,覆盖在网页的某个位置上,诱使用户点击iframe. 2)TapJacking 现在移动设备的使用率越来越高,针对移动设备的特点,衍生出了TapJacking(触屏劫持). 手机上的屏幕范围有限,手机浏览器为了节约空间,可以隐藏地址栏,手机上的视觉欺骗会更加容易实施. 1. 第一张中最上方显示了浏览器地址栏,同时攻击者在页面中画出了一个假的地址栏:…

最近在研读<白帽子讲web安全>和<Web前端黑客技术揭秘>,为了加深印象,闲暇之时做了一些总结. 下面是书中出现的一些专有词汇: POC(Proof Of Concept):观点验证程序,运行这个程序就可以得出预期的结果,也就验证了观点. Payload:有效负载,在病毒代码中实现这个功能的部分. OWASP:开放式Web应用程序安全项目组织,协助个人.企业和机构来发现和使用可信赖软件. XSS(Cross Site Script):跨站脚本攻击,想尽一切办法将你的脚本内容在目标…

CSRF(Cross Site Request Forgery)跨站点请求伪造. CSRF的本质是当重要操作的参数都能被攻击者预测到,才能成功伪造请求. 一.场景演示 下图是一个伪造请求的场景,按顺序来看: 1.2是正常登陆并产生Cookie,3.4是在登陆后访问骇客的网站并发请求,5是服务器执行骇客发出的请求. 这个场景的关键就是带上Cookie伪造请求. 1)浏览器中的Cookie 浏览器有“Session Cookie”(临时Cookie)和“Third-party Cookie”(本地C…

Git是Linuxs之父Lunus用C语言写的一个非常好用的分布式版本控制系统. GitHub可以给我们提供免费的代码仓库,并用Git可以在上面提交代码并进行版本控制.使用Git一般要安装Git ,并用Git命令进行相关操作,每次修改都要add——commit——push.如果不想使用纯命令的操作可以下载GitHub DeskTop桌面软件,进行无命令的可视化界面操作.       这里介绍一下GitHub DeskTop的基本操作及需要注意的地方.   下载并安装GitHub DeskTop…

在上篇随笔<Entity Framework 实体框架的形成之旅--数据传输模型DTO和实体模型Entity的分离与联合>里面,介绍了在Entity Framework 实体框架里面引入了DTO的对象,通过数据传输模型DTO和实体模型Entity的分离与联合,很好的隔离了它们的关系,使得即使是复杂的实体模型Entity,也不会影响WCF接口数据的传输和处理.本文主要介绍在基于这个分离模型的基础上,如何在界面实现多种常规的处理操作. 1.常规业务的增加.更新操作 对于业务对象的增加,由于我们引入…

//处理不可逆的push界面操作 VerifyRealNameViewController *verifyRealNameCtrl = [VerifyRealNameViewController viewControllerWithStoryBoard:@"Registe" identify:@"VerifyRealNameViewController"]; UIViewController *topCtrl = [self.navigationController…

一.索引的图形界面操作 SQL Server非常强大的就是图形界面操作.关于索引方面也一样那么强大,很多操作比如说重建索引啊,查看各种统计信息啊,都能够通过图形界面快速查看和操作,下面来看看SQL Server索引方面的GUI操作. 二.索引统计信息的图形界面操作…

[eclipse] 三个操作技巧 1.快捷键Ctrl+Shift+i:Debug调试中直接获取方法的返回值 在下图代码中,想知道getHost(),则在调试时运行完该句代码后,选中"urlURL.getHost()",按快捷键"Ctrl + Shift + i",则可以看到该方法的返回值了. 2.查看类/方法/属性/变量都在哪些地方引用到 双击选中该类/方法/属性/变量,右击出现上下文菜单→References→Project,即出现了所有的调用方法. 3.查看某个…

selenium2支持无界面操作(HtmlUnit和PhantomJs) selenium2支持通过各种driver(FirfoxDriver,IternetExplorerDriver,OperaDriver,ChromeDriver)驱动真实浏览器完成测试的. 其实selenium也是支持无界面浏览器操作的.比如说HtmlUnit和PhantomJs.他们都不是真正的浏览器,运行时不会渲染页面显示内容,但是支持页面元素查找,js的执行等:由于不进行css和gui渲染,运行效率要比真实的浏览器…

Oracle知识梳理(三)操作篇:SQL基础操作汇总 一.表操作 1.表的创建(CREATE TABLE): 基本语句格式:       CREATE TABLE  table_name ( col_name    datatype, --); 解释: table_name 为要创建的表的名称(同一登录用户下表名必须唯一),col_name 为表中属性的名称,datatype 为属性的相应数据类型,同一表中会有许多字段,也可以在字段数据类型后追加各种约束条件(具体见约束). 例: 2.表的修改(…