PS.之前一直想把零零碎碎的知识整理下来,作为知识沉淀下来,正好借着wooyun峰会的机会将之前的流程又梳理了一遍,于是就有了下文.也希望整理的内容能给甲方工作者或则白帽子带来一些收获. 0x00 概述 随着网络安全越来越受到重视,发展越来越快.随之也出现了越来越多的安全防护的软件.例如有: 1.云waf:[阿里云盾,百度云加速,360网站卫士,加速乐等] 2.传统安全厂商的硬件waf以及一直存在的ips,ids设备:[绿盟,启明,深信服,安恒等] 3.主机防护软件如安全狗,云锁: 4.软waf…

功能特性animation                    是否动画显示数据,默认为1(True)showNames                    是否显示横向坐标轴(x轴)标签名称rotateNames                是否旋转显示标签,默认为0(False):横向显示showValues                    是否在图表显示对应的数据值,默认为1(True)yAxisMinValue                指定纵轴(y轴)最小值,数字yAx…

@(编程) 1. 描述 Pandoc是一个用于从一种标记格式转换为另一种的Haskell库,还是一个使用该库的命令行工具.它可以读取markdown格式和Textile格式(的子集).reStructuredText格式.HTML格式.以及LaTeX格式:而且它可以写成纯文本.markdown格式.reStructuredText格式.HTML格式.LaTeX格式.ConTeXt格式.RTF格式.DocBook XML格式.OpenDocument XML格式.ODT格式.GNU Texinfo…

原文网址:http://blog.sina.com.cn/s/blog_5de73d0b0101chk1.html 一.对照表 Java类型    本地类型         描述boolean    jboolean       C/C++8位整型byte       jbyte          C/C++带符号的8位整型char       jchar          C/C++无符号的16位整型short      jshort         C/C++带符号的16位整型int    …

ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力.当用户试图用<xxxx>之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个HttpRequestValidationExceptioin.默认情况下会返回如下文字的页面: Server Error in '/YourApplicationPath' ApplicationA potentially dangerous Request.Form value was detected from th…

ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力.当用户试图用<xxxx>之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个 HttpRequestValidationExceptioin.默认情况下会返回如下文字的页面: Server Error in '/YourApplicationPath' ApplicationA potentially dangerous Request.Form value was detected from t…

MySQL零碎积累 ■ 在给MySQL添加新用户时可以这么操作: create user 'newUser' identified by 'password'; grant all privileges on *.* to 'newUser'@'%'; flush privileges; newUser是用户名,password是密码,grant all指把从select到drop,delete等等各种关键字的权限都赋给这个用户,而这个用户可以作用的库和表是*.*(所有库中的所有表),@'%'表…

首先,简单介绍一下原理.主要是在手机客户端 (Android)通过实现Camera.PreviewCallback接口,在其onPreviewFrame重载函数里面获取摄像头当前图像数据, 然后通过Socket将图像数据和相关的用户名.命令等数据传输到服务器程序中.服务器端(PC端)采用C#编写,通过监听相应的端口,在获取数据后进行 相应的命令解析和图像数据还原,然后将图像数据传递至PictureBox控件中用于显示,这样就实现了手机摄像头的视频数据实时传输到服务器上.如果需 要将这些视频进行转…

显示器- unicode -系统- utf8 -存储设备 Unicode是一套复杂的字符编码标准,简单来说就是将人类使用的每个所谓字符与一个非负整数对应,并且保证不同的字符对应的整数一定不同.UTF-8是这个整数的编码方式,用1到4字节来表达一个整数.(来源) unicode是unicode协会创建的多语言文字编码系统.这个系统有2的20次方个码位,允许有一百多万码点.unicode以2的16次方为单位分为多个平面.其中第一平面为基本位平面,包含了现在使用的大多数字符,其它为扩展位平面,包括历史…

Internet Engineering Task Force (IETF) D. Hardt, Ed.Request for Comments: 6749 MicrosoftObsoletes: 5849 October 2012Category: Standards TrackISSN: 2070-1721 OAuth 2.0授权框架 文摘 OAuth 2.0授权框架允许第三方 应用程序获得有限的访问HTTP服务,要么 代表一个资源所有者通过编排一个批准的交互 资源所有者之间的HTTP服务,…

--查看创建的索引的CARDINALITY比率 --通常cardinality达到表数据的10%左右建索引会有意义--如果是一个组合索引,索引第一位的cardinality表示第一个列的cardinality大小,第二列表示第一列和第二列共同的cardinality值SELECT T1.TABLE_SCHEMA, T1.TABLE_NAME, T2.INDEX_NAME, , ) AS RATE FROM INFORMATION_SCHEMA.TABLES T1, INFORMATION_SCH…

加入了博客园,这是第一篇博文,不多写了,从以前博客搬东西过来吧. 买来一个OpenWrt的路由器,今天刚到的货,赶快拆开看看是不是替我换了RAM和FLASH的.那么怎么查看它是不是真的有那么大呢? 在字符界面下,查看RAM的命令是这个: cat /proc/meminfo root@OpenWrt:~# cat /proc/meminfo MemTotal:          61984 kB 查看FLASH的命令是这个: dmesg | grep spi dmesg | grep spi [ …

为了安全请不要随意在页面中设置validateRequest="false" 分类: ASP.NET2009-04-12 17:24 531人阅读 评论(0) 收藏 举报 asp.netapplicationvalidationhtmlscriptingjavascript ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力.当用户试图用<xxxx>之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个 HttpRequestVa…

最早的计算机在设计时采用8个比特(bit)作为一个字节(byte),所以,一个字节能表示的最大的整数就是 255(二进制 11111111=十进制 255),如果要表示更大的整数,就必须用更多的字节.比如两个字节可以表示的最大整数是 65535,4个字节可以表示的最大整数是4294967295. 最早只有 127个字母被编码到计算机里,也就是大小写英文字母.数字和一些符号,这个编码表被称为 ASCII 编码,比如大写字母 A 的编码是65,小写字母 z 的编码是 122.没有其他的语言编码. U…

amazeui学习笔记--css(基本样式3)--文字排版Typography 一.总结 1.字体:amaze默认非 衬线字体(sans-serif) 2.引用块blockquote和定义列表:引用块blockquote和定义列表(dl dt)注意一下 3.样式不能正常显示:拷贝过来的很多样式在博客中都不能正常显示 二.文字排版Typography 目录 字体 字体定义 字体辅助 Class Webkit 反锯齿 字体相关链接 元素基本样式 标题 <h1> - <h6> 段落 &l…

看完复联四,我整理了这份 GraphQL 入门教程,哈哈真香... 欢迎关注我的 个人主页 && 个人博客 && 个人知识库 && 微信公众号"前端自习课" 首先有请阿爸镇贴!哈哈哈,需要高清原图的小伙伴可以 点我下载 阿爸无敌 . 下面开始本文内容: 一.GraphQL介绍 GraphQL 是 Facebook 开发的一种 API 的查询语言,与 2015 年公开发布,是 REST API 的替代品. GraphQL 既是一种用于 AP…

Web50 猜谜语类题目?FLAG在图片中有一些字符的 ASCii值,拼起来就是FLAG. Web100 隐写术.使用工具 StegSolve,把任一颜色的bit0拼起来图片的最开始部分即为  flag. Web150 题目给了一个使用不可见字符强力混淆过的一个   shell.php 文件,常见文本编辑器修改之后,原 代码就不能执行了. 因此使用 16 进制编辑器打开,在中间插入一个函数 er($s) { echo $s; return $s; } 然后后面需要打印变量的时候,就插入这个函数即…

StringTable String的基本特性 String:字符串,使用一对 "" 引起来表示 String s1 = "Nemo"; // 字面量的定义方式 String s2 = new String("Nemo"); String 声明为 final 的,不可被继承 String 实现了 Serializable 接口:表示字符串是支持序列化的. 实现了 Comparable 接口:表示 string 可以比较大小 String 在 jd…

不是程序员,代码也不能太丑!python官方书写规范:任何人都该了解的 pep8 简介:为什么要强调 书写规范 ?这其实并不关乎"美丑",而是为了 更高的效率(代码阅读.开发.维护)与更方便的合作(全球通用的标准) .如今,不管什么方向的同学都要进行"写代码"这项工作,可惜的是,很多朋友并没有意识到:花费1小时了解代码书写规范,可以为自己节省 100+ 小时的写代码的时间. 代码规范的魅力在于 实实在在地简化问题 ,并不需要我们奉为圭臬或引起争论.本文我们主要以 p…

String s = new String("abc")这段代码创建了几个对象呢?s=="abc"这个判断的结果是什么?s.substring(0,2).intern()=="ab"这个的结果是什么呢? s.charAt(index) 真的能表示出所有对应的字符吗? "abc"+"gbn"+s直接的字符串拼接是否真的比使用StringBuilder的性能低? 前言 很高兴遇见你~ Java中的String对…

hello,大叫好,我是小黑,又和大家见面啦~ 今天我们来继续学习 Spring Boot GraphQL 实战,我们使用的框架是 https://github.com/graphql-java-kickstart/graphql-spring-boot 项目 github 地址:https://github.com/shenjianeng/graphql-spring-boot-example Query(查询) 带参数的查询 首先,在 classpath 下创建 graphqls 文件: t…

主要思路: 根据WAF部署位置,针对WAF.WEB服务器.WEB应用对协议解析.字符解析.文件名解析.编码解析以及SQL语法解析的差异,绕过WAF,将payload送至服务器执行. 常用绕过方法: 1.转换特征字符大小写 2.利用注释绕过 3.编码特征字符绕过 4.分隔重写特征字符绕过 5.利用截断字符绕过 6.变换变量位置绕过 7.针对域名保护的绕过 8.超大数据包绕过 9.转换数据提交方式绕过 10.HPP(HTTP参数污染)绕过 1.利用性能因素绕过. WAF在设计的时候都会考虑到性能问题…

随着智能手机.移动路联网的普及,APP火的一塌糊涂,APP应用可谓五花八门,街上经常看到各种推广:扫码安装送东西,送优惠券.仿佛一夜之间一个企业没有自己的APP就跟不上时代了. 有时我在想:APP,你真的需要么?租次房子你会装一个房屋中介的App么?请个钟点工你会装个家政公司的App么?买个笔记本你会装电脑公司的App么? 不管你会不会,反正我是不会. 我觉得如果是一个大公司,客户量很大,或者一个专业性很强.或者是社交娱乐方面的必须开发APP,如果你只是一个小公司还是算了吧.对于小企业,尤其传统…

你真的懂异常(Exception)吗? 目录 异常介绍 异常的特点 怎样使用异常 处理异常的 try-catch-finally 捕获异常的 Catch 块 释放资源的 Finally 块 一.异常介绍 我们平时在写程序时,无意中(或技术不够),而导致程序运行时出现意外(或异常),对于这个问题, C# 有专门的异常处理程序. 异常处理所涉及到的关键字有 try.catch 和 finally 等,用来处理失败的情况. CLR..NET 自身的类库.其它第三方库或者你写的程序代码都有可能会出现异常…

你真的会玩SQL吗?系列目录 你真的会玩SQL吗?之逻辑查询处理阶段 你真的会玩SQL吗?和平大使 内连接.外连接 你真的会玩SQL吗?三范式.数据完整性 你真的会玩SQL吗?查询指定节点及其所有父节点的方法 你真的会玩SQL吗?让人晕头转向的三值逻辑 你真的会玩SQL吗?EXISTS和IN之间的区别 你真的会玩SQL吗?无处不在的子查询 你真的会玩SQL吗?Case也疯狂 你真的会玩SQL吗?表表达式,排名函数 你真的会玩SQL吗?简单的 数据修改 你真的会玩SQL吗?你所不知道的 数据聚合…

在SQL Server中,我们知道一个SELECT语句执行过程中只会申请一些意向共享锁(IS) 与共享锁(S), 例如我使用SQL Profile跟踪会话86执行SELECT * FROM dbo.TEST WHERE OBJECT_ID =1 这个查询语句,其申请.释放的锁资源的过程如下所示: 而且从最常见的锁模式的兼容性表,我们可以看到IS锁与S锁都是兼容的,也就是说SELECT查询是不会阻塞SELECT查询的. 现有的授权模式 请求的模式 IS S U IX SIX X 意向共享 (IS)…

您真的理解了SQLSERVER的日志链了吗? 先感谢宋沄剑给本人指点迷津,还有郭忠辉童鞋今天在QQ群里抛出的问题 这个问题跟宋沄剑讨论了三天,再次感谢宋沄剑 一直以来,SQLSERVER提供了一个非常好的管理工具:SSMS 又因为这个管理工具太好了,所有操作的简单化,以至于使我们中毒太深, 对于SQLSERVER内部的一些概念搞得不清不楚 比如这些概念:日志备份链,备份日志链,日志链,备份链,备份集 大部分都是由于SSMS的界面所导致,有时候有些问题做一下实验就可以验证了,偏偏我们信赖了GUI…

你真的会玩SQL吗?系列目录 你真的会玩SQL吗?之逻辑查询处理阶段 你真的会玩SQL吗?和平大使 内连接.外连接 你真的会玩SQL吗?三范式.数据完整性 你真的会玩SQL吗?查询指定节点及其所有父节点的方法 你真的会玩SQL吗?让人晕头转向的三值逻辑 你真的会玩SQL吗?EXISTS和IN之间的区别 你真的会玩SQL吗?无处不在的子查询 你真的会玩SQL吗?Case也疯狂 你真的会玩SQL吗?表表达式,排名函数 你真的会玩SQL吗?简单的 数据修改 你真的会玩SQL吗?你所不知道的 数据聚合…

你真的会玩SQL吗?系列目录 你真的会玩SQL吗?之逻辑查询处理阶段 你真的会玩SQL吗?和平大使 内连接.外连接 你真的会玩SQL吗?三范式.数据完整性 你真的会玩SQL吗?查询指定节点及其所有父节点的方法 你真的会玩SQL吗?让人晕头转向的三值逻辑 你真的会玩SQL吗?EXISTS和IN之间的区别 你真的会玩SQL吗?无处不在的子查询 你真的会玩SQL吗?Case也疯狂 你真的会玩SQL吗?表表达式,排名函数 你真的会玩SQL吗?简单的 数据修改 你真的会玩SQL吗?你所不知道的 数据聚合…

你真的会玩SQL吗?系列目录 你真的会玩SQL吗?之逻辑查询处理阶段 你真的会玩SQL吗?和平大使 内连接.外连接 你真的会玩SQL吗?三范式.数据完整性 你真的会玩SQL吗?查询指定节点及其所有父节点的方法 你真的会玩SQL吗?让人晕头转向的三值逻辑 你真的会玩SQL吗?EXISTS和IN之间的区别 你真的会玩SQL吗?无处不在的子查询 你真的会玩SQL吗?Case也疯狂 你真的会玩SQL吗?表表达式,排名函数 你真的会玩SQL吗?简单的 数据修改 你真的会玩SQL吗?你所不知道的 数据聚合…