Jimmy.x.zhou

摘要： OWASP(Open Web Application Security Project)统计了当前最为严重的十种Web安全威胁。详见下表： 表一：OWASP TOP 10漏洞描述A1 - 跨站脚本 Cross Site Scripting (XSS) 当应用程序提取用户提供的数据并发送到Web浏览器，数据内容没有先经过验证或编码时，可能出现的XSS漏洞。XSS允许攻击者在受害者的浏览器上执行脚本，脚本可能会劫持用户会话、破坏Web站点或引入蠕虫等。A2 – 注入攻击Injection Flaws注入漏洞，特别是SQL注入，通过在Web应用程序内。当用户提供的数据作为命令或查询的一部分被发送到. 阅读全文

摘要： 一.CSRF是什么？ CSRF（Cross-site request forgery），中文名称：跨站请求伪造，也被称为：one click attack/session riding，缩写为：CSRF/XSRF。二.CSRF可以做什么？ 你这可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账......造成的问题包括：个人隐私泄露以及财产安全。三.CSRF漏洞现状 CSRF这种攻击方式在2000年已经被国外的安全人员提出，但在国内，直到06年才开始被关注，08年，国内外的... 阅读全文

摘要： 一、原理跨站脚本Cross-Site Scripting（XSS）是最为流行的Web安全漏洞之一。跨站脚本，就是攻击者可以将恶意的脚本代码注入到用户浏览的其它网页上。XSS攻击主要分类为两种：1、站内攻击，攻击者将攻击脚本提交到网站数据库内（如攻击者的个人信息内含攻击脚本），再欺骗其它人（系统管理员）浏览该页，触发该面的攻击脚本。2、站外攻击，攻击都自制Email或网页，再欺骗其它人浏览该页，触发该面的攻击脚本。二、跨站脚本介绍有如下代码：View Code 1 <asp:TextBox ID="txbUserName" runat="server" 阅读全文

摘要： 这是一篇转载文章，但我实际操作了里面的所有内容，并加入了一些个人的操作和见解。经过学习，发现自己以前做的一些web站点的确存在不少问题，所以将它写在了随笔里，方便以后随时查看。先说一个防守吧，个人经验如下：1.在程序和SP中不使用任何拼接SQL，即使动态语句非用不可，也要保证传入参数不是从页面输入进来的。2.web页面的错误信息严禁公开到客户端(统一转向指定错误页面)3.web.config中的数据库连接语句必须加密处理，连接用户名严禁使用sa。4.sql数据库尽可能多的限制非管理员用户的权限，特别是cmdshell之类。5.所有页面输入的值必须用参数(parameter)形式传值给SQL，严 阅读全文

摘要： 说明：这篇文章将记录我个人开发中所犯的过错，写出来让大家批评，也希望大家以后不要犯我犯过的错误。欢迎大家在评论里公开自己遇到的经典问题，我会将其更新在文章里并注明你的名字。一、字符串处理问题：在字符串截取时，稍不注意就有可能会出错。示例1我们要判定：如果category里含有mens的则给gender赋值为male，如果有womens的则gender赋值为female。错误代码如下：View Code 1 //这样永远也判定不到female上去，因为womens包含了mens ， 2 //当时是被测试MM批斗惨了的。正确代码就不说了，是程序员的都写得出来。细心啊！ 3 ... 阅读全文

摘要： 说明：这里面说的方法大多数是自己遇到过的，也有一部份是在网上看到个人觉得比较好的。处理方法一部份来自网上、一部份来自同事朋友和自己摸索；希望能帮助看到这篇文章的同行们少走弯路。另外，有比较经典的问题（已处理和未处理），欢迎大家在评论里共享出来，我会更新到这个文章里。程序互查帮助，争取早日升职加薪娶个漂亮老婆^~^一、Siverlight 断点无效方法：断点不执行的问题，工程名.Web项目-属性-Web-调试器：s选中Silverlight二、VS2003 调试提示找不到"Debug.sql”方法：重新获取项目，再打开项目，一切按默认试试（如果这都不行可以再按网上其它的说法试）经历：前 阅读全文

摘要： C#中的索引器是新增加的，和属性有些不同。在c#中，属性可以是这样的：class Person {private string firstname;public string FirstName{get {return firstname;}set {firstname = value;}}}属性声明可以如下编码： Person p = new Person();p.FirstName = "TOM";Console.WriteLine (p.FirstName);属性声明倒更像是域声明，只不过它还声明了两个特殊的成员，按照微软的说法就是所谓的访问函数（accessor）。 阅读全文

摘要： 使用QueryString 使用QuerySting在页面间传递值已经是一种很老的机制了，这种方法的主要优点是实现起来非常简单，然而它的缺点是传递的值是会显示在浏览器的地址栏上的（不安全），同时又不能传递对象，但是在传递的值少而安全性要求不高的情况下，这个方法还是一个不错的方案。使用这种方法的步骤如下: 1，使用控件创建web表单（form） 2，创建可以返回表单的按钮和链接按钮 3，在按钮或链接按钮的单击事件里创建一个保存URL的字符变量 4，在保存的URL里添加QueryString参数 5，使用Response.Redirect重定向到上面保存的URL 下面的代码片断演示了... 阅读全文

摘要： 女人都是很看重形式的，说白了，就是喜欢面子上的东西。为了面子，做出些不理智的事情，是女人常常犯的直观错误。女人都喜欢穿漂亮的衣服，女人看女人都是看她的外在着装的。若是别人比自己漂亮，心里就会暗暗下决心，比她们更漂亮。所以说，女人和女人常常在比赛，比衣服比身材比年轻比男人。女人都希望身边的男人给她买礼物，嘴上说坚决不要别人的东西，说不想欠别人的情，但是心底很想男人出其不意地买礼物送自己。女人把男人的重视看做自身价值大小的标志。男人越是想着自己，女人就越是觉得自己价值大。觉得自己在男人心中的位置很重要。女人其实都很不自信，总是想通过别人检验自身的价值。如从别人嘴里听到“你真有气质”就觉得自己确实很 阅读全文

摘要： 有美丽的谎言，自然也有残忍的真实。 面对你的弱点，若周围人来安慰，那便是美丽的谎言，同时，美丽之下，人心中都有不美丽的真相。 如果你是一个成年男人，身边正有一个女人，不管她是女朋友还是老婆，记住一句话：别跟女人说出自己真正的缺点，否则她会没完没了地盯着那里。 如果你是一个成年的人，身边有大群看上去像朋友的人，不管他们真心还是假意，再记住一句话：别跟别人说出自己真正的弱点，否则总有一天他会照着那里来上一拳。 不是爱情不可靠，不是朋友不可靠，而是，人对于丑恶的东西，总会有种不自觉的残忍，甚至带有一定的强迫心理。 缺点，弱点，是魔鬼的兄弟，它们寄生在你的身体里，会伸出无数双小手，向你对面的人招手甚. 阅读全文