关于JSONPJSONP全称是JSONwithPadding，是基于JSON格式的为解决跨域请求资源而产生的解决方案。他实现的基本原理是利用了HTML里<script></script>元素标签，远程调用JSON文件来实现数据传递。如要在a.com域下获取存在b.com的JSON数据(getUs...

最近帮一个朋友管理Window2008服务器，发现有个站点是用asp写的，更可怕的是还有传说中的“上传漏洞”，在上传文件夹中有好多的可执行的asp、php文件，算是shell后门脚本吧。怎么处理这个漏洞问题？？？最快捷的方法就是让这些文件“不可执行”！下面是百度出来的解决方案：  我们在建站的时候，...

PHP被广泛用于各种Web开发。而当服务器端脚本配置错误时会出现各种问题。现今，大部分Web服务器是基于Linux环境下运行（比如：Ubuntu，Debian等）。本文例举了十大PHP最佳安全实践方式，能够让您轻松、安全配置PHP。PHP安全性设置提示：DocumentRoot:/var/www/DefaultWebs...

Linux下的Apache和PHP安全设置PHP安全模式开启，PHP5.3将不再有安全模式。(1)safe_mode：以安全模式运行php;在php.ini文件中使用如下safe_mode=On(使用安全模式)safe_mode=Off(关闭安全模式)在apache的httpd.conf中VirtualHost的相应设...

Windows版的PHP从版本5.2.1开始有ThreadSafe。这两者不同在于何处？到底应该用哪种？这里做一个简单的介绍。从2000年10月20日发布的第一个Windows版的PHP3.0.17开始的都是线程安全的版本，这是由于与Linux/Unix系统是采用多进程的工作方式不同的是Windows系统是采用多线程的...

有一点我们必须承认，大多数web应用程序都离不开session的使用。这篇文章将会结合php以及http协议来分析如何建立一个安全的会话管理机制。我们先简单的了解一些http的知识，从而理解该协议的无状态特性。然后，学习一些关于cookie的基本操作。最后，我会一步步阐述如何使用一些简单，高效的方法来提高你的php应用...

一、Nmap1、对nmap-sPx.x.x.x结果处理，查找存活的主机catresult|grep"reportfor"|awk'{print$5}'2、对nmap-sV-p0-65535-iLiplist结果进行处理，筛选所有主机开放的端口catresult|grep-E'reportfor|open' ...

 本篇文章主要讲了lock的原理就是AQS算法，还有个姊妹篇讲解synchronized的实现原理也是阿里经常问的，参考：深入分析Synchronized原理(阿里面试题)一定要看后面的文章，先说结论： 非公平锁tryAcquire的流程是：检查state字段，若为0，表示锁未被占用，那么尝试占用，...

  参考：Spring学习7-事务  Spring使用ThreadLocal解决线程安全问题参考：ThreadLocal定义，以及是否可能引起的内存泄露(threadlocalMap的Key是弱引用，用线程池有可能泄露)参考：Threadlocal传递参数(百度二面)我们知道在一...

Java中的集合包括三大类，它们是Set、List和Map，它们都处于java.util包中，Set、List和Map都是接口，它们有各自的实现类。List、Set都继承自Collection接口，Collection（所有集合类的接口）Set（集）实现类主要有HashSet和TreeSetList（列表）实现类主要有...

前几天又看到这个面试题，再次看看publicclassJtest{publicstaticvoidmain(String[]args){StringBuffera=newStringBuffer("A");StringBufferb=newStringBuffer("B");oper(a,b);System.out.p...

1、（windows）无扫描器情况下内网存活主机探测：for/l%iin(1,1,255)do@ping192.168.1.%i-w1-n1|find/i"ttl" 2、（windows）查找域中计算机名对应ip:FOR/F"eol=-tokens=1delims="%aIN('netview')DO@(ec...

最近在做一个小项目时，需要把一个excel中的数据保存到sqlite3数据库中以备后用，表中有字符也有数字，要用到特定的数据类型方便后续使用，参照网上的方法，将excel文件转换为csv文件后，在导入数据时发现数据库提示无法转换为特定类型：创建表的语句为：createtableinformation(idinteger...

今天在《网络渗透测试--保护网络安全的技术、工具、过程》一书中看到了一个关于对恶意链接进行域名伪装的方法，以前从不知道的一个方法，特此记录下来：我们通常使用的都是以下这种格式的域名：www.example.com浏览器在将域名发往dns服务器之前，会先对域名进行第一步处理，这里就涉及到一个隐含的知识：“@”符号如果在浏...

1>检测到目标URL存在SQL注入漏洞1.1url参数必须编码,Server.UrlEncode("")1.2数据库操作的查询条件一定不要拼接，必须使用参数如@id,@name2>检测到目标URL存在宽字节跨站漏洞3>检测到目标URL存在跨站漏洞3.1url参数编码，Server.UrlEncode(...