静态网页:不动的网页,无交互能力
动态网页:可交互,可实现更多功能,如注册。。。
网站都有IP地址,似身份证号;有域名,似姓名(此为备案,合法的都有域名);只有IP无域名的为暗网(不合法)。
协议:http等
web服务器www(world wide web)作用:整理储存各种www资源,响应客户端请求。
特点:
1、普通计算机成为web服务器需相应程序(IIS、Tomcat)
2、客户端请求文件时,服务器处理该请求并将文件发送到浏览器上;附带信息如何查看。
3、通过http访问(超文本协议)
端口:服务的编号(IP地址:端口号)。
网路数据库系统:指在计算机网络环境下运行的数据库系统,它的数据库分散配置在网络节点上,能够对用户提供远程数据访问服务,也称分布式数据库系统,分散在各个节点的数据库仍是集中式数据库。
特点:
1、可以按照客户机/服务器模式(c/s)或浏览器/服务器模式(b/s)建立驻留在后台服务器上
2、可以与web服务器同一台物理计算机,也可以分布在单独的物理计算机上
3、SQL server、My SQL
ASP(Active Server Page)动态服务器页面,代替CGI脚本程序的一种应用,可以与数据库和其他程序进行交互,一种简单、方便的编程工具。ASP的网页文件的格式为asp。
PHP独特的语法混合了C、Java、Perl以及PHP自创的语法。嵌入到html文档中去执行,可快速的执行动态网页,执行效率高加密和优化代码运行
ASP.NET可以创建动态web页面
(1)ASP.NET方便快捷的从数据源(ADO.NET)访问数据
(2)能用被称为模板的编程代码集合来创建html文档。
(3)能将html的设计和数据检索机制分离,改变html设计不会影响数据库应用程序
JSP网站开发语言,可以在Servlet和JavaBean的支持下,完成功能强大的动态网站程序开发
(1)将内容生成和显示进行分离
(2)强调可重用的组件
(3)采用标识简化页面开发
(4)脚本语言java是面向对象的、分布式的、解释的语言
(5)java去掉了指针,有类和对象
(6)JSP有全新技术(已经抛弃)——Servlet(服务器端程序)节约了服务器资源(low)
(7)JavaBeans作为在Java(包括JSP)中使用可重复使用的Java组件的技术规范
(8)JSP对XML有十分广泛的支持
C/S结构及Client/Server(客户机/服务器)结构,通过将任务合理分配到客户端和服务器端,最简单的C/S体系架构数据库应用有两部分组成,即客户应用程序和数据库服务器程序(前台和后台)。
(1)伸缩性差
(2)性能较差
(3)重用性差
(4)移植性差
B/S结构即Browser/Server
对比:硬件环境不同、安全要求不同、程序架构不同、软件重用不同
http://localhost:8080/JSPDemo2/booksave.jsp?txtId=2013
&txtName=JavaWeb
&txtAuthor=Zhang
&txtPublisher=%E5%8C%97%E5%A4%A7
&txtPageNumber=355
&txtPrice=89
&txtSaleNumber=1098
&btnSave=%E4%BF%9D%E5%AD%98
点赞 收藏 分享 文章举报 睡到自然醒sq 发布了2 篇原创文章 ·
获赞 0 ·
访问量 34 私信 关注
最近又重新用了把 shodan 这个神器,shodan 这个网站提供了全网所有设备开放端口的各种信息,这也就给我们的攻击带来了遍历。如果某个软件存在漏洞,而这个软件是类似于 web 服务那种会监听某个端口提供服务的,那么我们就可以利用 shodan 的搜索功能大批量的找到互联网上那些存在漏洞的服务。
就拿弱密码来说吧,我们知道有很多路由器的 web 管理界面的默认密码人们是不会修改的,而一些路由器的 web 页面甚至暴露在了公网上。更加搞笑的是,有些品牌的路由器甚至把自己的默认密码写在了 http 响应的 header 中。
HTTP/1.0 401 Unauthorized Date: Sat, 30 Dec 2017 03:44:21 GMT Server: Boa/0.94.14rc21 Accept-Ranges: bytes Connection: Keep-Alive Keep-Alive: timeout=10, max=1000 WWW-Authenticate: Basic realm=" Default Name:admin Password:1234 " Content-Type: text/html 就比如上面这个,直接告诉你我是 basic 认证,默认的用户名和密码是 admin 和1234。可能有的安全意识较强的用户会修改掉默认用户名和密码,但是仍然有很多人是不会去改的。
研究了一发 shodan 的搜索语法,只要在搜索框内输入default name:admin password, 就可以列出所有这种类型的路由器了,接着就可以一个个去尝试了,基本尝试四五个就能发现一个能登陆进去的。如果嫌一个个尝试太过麻烦,还可以写一个 python 脚本,调用 shodan 的 API 来自动化测试。
import shodan import requests SHODAN_API_KEY = "your api key"
原文地址点击此处
当前eclipse版本为 neon3 、jdk为1.8.25 、tomcat为8.5
需求表均同spring案例
此处只是使用maven
注意,以下所有需要建立在你的eclipse等已经集成配置好了maven了,说白了就是新建项目的时候已经可以找到maven了
没有的话需要安装maven
1.新建maven项目,由于当前版本的eclipse自带maven插件,如下图所示。如果没有请自行百度安装maven插件
2,进入maven项目之后,点击next
选择webapp之后 next
输入两个id package可以不写,是它默认帮你新建一个包,不写没关系
会生成一个这样目录的项目
2,配置maven
首先新建几个文件夹
2.1 添加Source文件夹
接下来需要添加
src/main/java
src/test/java src/test/resources三个文件夹
右键项目根目录点击New -> Source Folder,
建出这三个文件夹。注意不是建普通的Folder,而是Source Folder。
项目或者文件加上右键 new sourceFolder,正常情况下是没有问题的
如果出现了下面的这情况,其实是真的存在的只是我们看不到
项目右键属性
修改jdk为你使用的jdk,比如我自己的就是1.8.025
设置完毕之后自然会发现src/main/java这个source folder出现啦。
然后看一下,src/main/sources、src/test/java、src/test/resources这三个哪个没有就建哪个,效果如下
2.2 更改class路径
右键项目,Java Build Path -> Source
下面应该有4个文件夹。src/main/java,src/main/resources,src/test/java ,src/test/resources。
双击每个文件夹的Output folder,选择路径。
src/main/java,src/main/resources,选择target/classes;
src/test/java ,src/test/resources, 选择target/test-classes;
选上Allow output folders for source folders.(如果没有选上的话)
点击左侧属性 project Facets,想要切换成3.1发现报错
这是因为当前版本的eclipse在新建项目的时候,默认使用maven-artchetype-webapp
这个的catalog比较老,对应的servlet还是2.3的
Archetype Created Web Application 打开当前项目对应的workspace,找到当前工程文件夹下的.
WebStorm 自定义字体+颜色+语法高亮+导入导出用户设置 WebStorm是一个捷克公司开发的,功能虽然很强大,但UI貌似一直不是东欧人的强项。WebStorm默认的编辑器颜色搭配不算讲究,我看习惯了VS2012的Dark Theme,再看这个顿觉由奢入俭难,非得改改颜色才行。
新建Scheme + 修改字体 ctrl+alt+s打开Settings界面,Editor > Colors&Fonts > Font。
Default scheme是亮色调,但我想定制一套暗背景的环境,所以在右侧Scheme name下拉框中选择Monokai,以此作为修改的基础,然后点击Save as,给自己新建的Scheme起个名字吧,如下图:
这里面可以设置字体(我一般选择Consolas),字体大小,行间距。
自定义语法高亮 用ctrl+alt+s打开Settings界面,Editor > Colors&Fonts。
不同语言有各自的语法高亮规则,但有一部分是通用的(General),我们首先来设置General,然后再根据需要设置不同语言的语法高亮。
General的设置
普通文本:default text
折叠文本: Folded text
光标: Caret
光标所在行: Caret row
行号: Line number
TODO: TODO default
光标下变量高亮:Search result
搜索结果:Text search result
匹配的括号:Matched brace
不匹配的括号:Unmatched brace
未使用的符号:Unused symbol
左边空隙(行号,断点):Gutter background
选中的文本背景色:Selection background
选中的文本前景色:Selection foreground
区分语言的设置
举例来说,如果要更改Javascript的语法高亮,就在上图中选择Javascript,然后再进行详细设置。具体设置项就不赘述了。
显示行号 + 自动换行 如果用Vim编程,行号是非常必要的辅助。WebStorm默认是不显示行号的,没关系,显示行号非常的容易。
只要在代码左侧的gutter区域点右键,就会出现下图的菜单:勾选上Show Line Numbers即可。
另外,勾选上图中的Use Soft Wraps就启用了WebStorm的自动换行的功能,即过长的代码行不会超出屏幕,不会出现横向的滚动条。
值得一提的是,标准的Vim,jk是移到上一行下一行,如果代码自动换行了,被分割成的两行虽然看起来是两行,但其实是一个逻辑行,这时候用jk是上移下移一个逻辑行。这种情况下,如果要从同一逻辑行的“第一行”移动到“第二行”,需要按gj,即先按g再按方向。虽然Vim提供了这个方法,但还是经常按错。
www.completeplanet.com 隐匿查询
数据库里存储的大量的信息对标准的搜索引擎来说是不可见的,标准的搜索引擎只是索引网站上的内容,从一个链接到另一个链接。 隐匿搜索引擎专门用来搜索被称作Deep Web上的隐藏数据。
* 能查找动态数据库。 * 能在一定数据范围内查询。 * 有很好的帮助文档。
searching the Deep web
While the Semantic Web may be a long time coming,
Deep Web search strategies offer the promise of a semantic Web.
THE WEB IS bigger than it looks. Beyond the billions of pages that populate the major search engines lies an even vaster, hidden Web of data: classified ads, library catalogs, air-line reservation systems, phone books, scientific databases, and all kinds of other information that remains largely concealed from view behind a curtain of query forms.
[size=xx-large]Deep Web数据集成专刊前言[/size]
孟小峰1, 于 戈2
1(中国人民大学 信息学院,北京 100872)
2(东北大学 信息科学与工程学院,辽宁 沈阳 110004)
作者简介:
孟小峰(1964-),男,博士,中国人民大学信息学院教授,博士生导师.现为中国计算机学会理事,普及工委主任,中国计算机学会数据库专委会委员、秘书长,办公自动化专委会副主任委员,《计算机研究与发展》等期刊编委,MDM、WAIM等国际学术会议指导委员会委员,IEEE CS、ACM SIGMOD会员.曾先后在香港中文大学、香港城市大学、新加坡国立大学、法国Prism实验室访问研究.主持或参加过20多项国家科技攻关项目、国家自然科学基金、国家高技术研究发展计划(863)、信息产业部发展基金项目以及国际合作交流项目等.先后获得国家科技进步二等奖1项、电子部科技进步特等奖 1项、北京市科技进步二等奖2项,以及第7届”中创软件人才奖”、”新世纪优秀人才”、”第三届北京市高等学校名师奖”等奖项.研制开发的主要软件产品有国产数据库系统COBASE、嵌入式移动数据库系统”小金灵”、中文自然语言查询系统NChiql、并行数据库系统PBASE/1等.近5年先后在国内外学术期刊以及VLDB、SIGMOD、ICDE等重要国际会议发表论文100余篇.多次应邀担任国际会议程序主席或委员,如SIGMOD、ICDE、 ER、DASFAA、MDM等.近期主要研究领域为Web数据集成、XML数据库、移动数据管理.
于戈(1962-),男,博士,东北大学教授,博士生导师,中国计算机学会理事,数据库专业委员会副主任委员,电子政务与办公自动化专业委员会副主任委员,YOCSEF学术委员会荣誉委员,美国ACM学会和IEEE学会会员.1982年和1986年在东北大学分别获得计算机应用专业学士学位和硕士学位,1996年于日本九州大学获得计算机工学博士学位.1986年起在东北大学计算机科学与工程系任教.曾在日本九州大学、香港中文大学和香港科技大学做访问学者.研究方向涉及数据库系统、嵌入式软件、信息安全等相关领域.近年来,在国内外重要学术期刊和会议上发表论文100余篇,获得省部级自然科学奖3项、科技进步奖2项.
联系人: 孟小峰 E-mail: [email protected]
Received 2007-12-28 随着World Wide Web的飞速发展,出现了越来越多的可以在线访问的数据库,我们把这些数据库称作Web数据库.据统计,目前Web数据库的数量已经超过了45万个,在此基础上构成了Deep Web.Deep Web蕴含了大量有用的信息,其价值远远超过了仅由网页构成的Surface Web.但由于对Web数据库的访问只能通过其提供的查询接口,因此很难被一般的搜索引擎获取到.由于Deep Web的大规模性、动态性以及异质性等特点,通过手工方式远远不能在效果和效率上满足用户对信息获取的需要.为了帮助人们快速、准确地利用Deep Web中的海量信息,研究者们已经在Deep Web数据集成方面展开了研究.这逐渐成为数据库领域的一个研究热点.研究者力图提出一种通用的集成方法,可以实现对现实世界各个领域的Deep Web数据的集成,并在查询接口集成和数据抽取等方面取得实质性的进展.近几年来,已有大量的研究成果在SIGMOD、VLDB等高级别的国际会议和期刊上发表.国内对Deep Web数据集成的研究也取得了一定的成果,但与国际水平相比还有一定的距离,主要表现在研究问题和解决方法上尚缺乏突破性的成果.
为了推动Deep Web数据集成在国内的进展,本专刊关注于当前国内在该研究领域最新的基础性、前瞻性、战略性的重大理论问题和关键技术的问题,目的在于为大家展示当前该领域的研究状况和最新的研究成果,为该领域的研究者们提供一个相互学习交流、借鉴指导的机会.
本专刊得到了国内同行的广泛响应与支持,收到稿件60余篇.本专刊严格按照《软件学报》审稿流程和评审要求对稿件进行了认真评审.审稿工作由本领域从事 Deep Web数据集成的海内外专家组成的评审委员会来组织,每篇稿件均经过两位以上评审委员的认真评审.最后,经过《软件学报》编委会终审,遴选出具有代表性的研究工作9篇.这些论文涉及了Deep Web数据集成的若干关键问题,研究的内容注重理论创新与实际应用相结合,立足于国际上最新的研究和应用状况,真实反映了当前我国的Deep Web数据集成技术在重要科学领域的应用研究状况.这里,我们要再次感谢大家的关注和向本专刊投稿的各位作者.
论文”一种基于图模型的Web数据库采样方法”把Web数据库模型化为一种图结构,在这个图结构上实现对Web数据库的采样,可以增量的方式获取近似随机的样本.该方法的一个重要特点是不受查询接口中属性表现形式的局限,因此是一种通用的Web数据库采样方法.
论文”一种基于语义及统计分析的Deep Web实体识别机制” 提出了一种基于语义及统计分析的实体识别机制(SS-EIM).SS-EIM主要由文本匹配模型、语义分析模型和分组统计模型组成,采用文本粗略匹配、表象关联关系获取以及分组统计分析的三段式逐步求精策略,基于文本特征、语义信息及约束规则来不断精化识别结果.该方法可有效解决Deep Web数据集成中数据纠错、消重及整合等问题.
论文”针对模板生成网页的一种数据自动抽取方法”提出了一种新颖的模板检测方法,并利用检测出的模板自动地从实例网页中抽取数据.与其他已有方法相比,该方法能够适用于”列表页面”和”详细页面”两种类型的网页.
论文”基于属性相关度的Web数据库大小估算方法”提出了一种基于词频统计的解决方法,通过分析Web数据库查询接口中属性间的相关度来获取某个属性上一组随机样本,并以对该属性分别提交由前k位高频词形成的试探查询的方式,估算出Web数据库中记录的总数.
论文”基于本体的Deep Web数据标注”借鉴语义Web领域中深度标注的思想,将领域本体作为Web数据库遵循的全局模式,引入到查询结果语义标注过程中,并将本体与接口模式、结果模式相结合,辅以查询条件重置的策略,对查询结果进行统计及结构特征分析,确定查询结果数据的语义标记.
论文”使用分类器自动发现特定领域的深度网入口”提出了一种三分类器的框架,用于自动识别特定领域的深度网入口.查询接口得到以后,可以将它们进行集成,然后将一个统一的接口提交给用户以便于查询信息.
论文”基于知识的Deep Web集成环境变化处理的研究” 研究了Deep Web集成环境中构件的依赖关系(执行偏序依赖和知识依赖),并在此基础上提出了一种基于知识的环境变化的处理方法,包括Deep Web集成环境变化处理模型、适应Deep Web环境变化的动态体系结构和处理算法,可以对大规模Deep Web集成的进一步探索和走向应用提供参考.
论文”基于网页上下文的Deep Web数据库分类” 给出了采用分层模糊集合对给定学习实例所发现的领域和语言知识进行表示和基于这些知识对标记词归一化的算法.基于上述预处理,给出了计算Deep Web数据库的K-NN分类算法,其中对数据库之间的语义距离计算综合了数据库表之间和含有数据库表的网页的内容文本之间的语义距离.
论文”基于页面Block的Web档案采集和存储”提出了基于页面Block的采集和存储方式,并详细表述了该方法如何完成基于布局页面分区、Block主题的抽取、版本和差异的比较以及增量存储的方式.本文还实现了一个Web归档原型系统,并对所提出的算法进行了详细的测试.
这些论文集中反映了国内研究者在Deep Web数据的分析、集成和检索等方面的最新研究成果,对于促进针对下一代信息系统的创新性研究,以及鼓励数据库技术与其他相关领域的交叉研究具有重要的意义.
process:
一:sys boot
1:Bundle-Activator: org.hippoproject.framework.web.osgi.WebPresentationPlugModule
2:WebPresentationPlugModule extends BasePlugModule
3:preStarted(BundleContext context
二:servlet ready
1:new Servlet(new HippoWebFrameworkServlet(this,presentationManager);)
2:org.osgi.service.http.HttpService.registerServlet
httpService.registerServlet(this.getConfiguration().getPlugModuleProperties().get(“serviceRoot”), this.frameworkServlet, null, null);
3:when a http request come,the osgi httpService implementer send the request(or invoke registed servlet method) and then our Servlet instance will work
三:inner logic process(isolation http)
writer: demonalex
email: demonalex_at_dark2s.org 前言:看完了SQL的《用WEB压力测试工具模拟请求服务的DOS攻击》,尤觉得意尤未尽,为摸清此软件的
部分功能,特为此做了一段时间的实验(途中感谢很多网友为此‘捐’出自己的服务器),写了以
下一篇烂文,希望能补充SQL大哥在该文中没有点明的知识点。
参考资料:《用WEB压力测试工具模拟请求服务的DOS攻击》、《WEB压力测试指南》
WEB压力测试(WebStress)一直以来都是很多IDC评测人员、网络管理员以及网络安全专家针对服务器
性能的重点考察和评价的对象。今天小神有幸为某位网友的虚拟主机做个WEB压力测试(建议:压力测试通
常安排在渗透测试之后)。
实验环境:
被测试(服务端):WIN2000 ADVANCE SERVER + IIS + 光纤带宽
测试者(客户端):WIN2000 PROFESSIONAL + MS WEB APPLICATION STRESS + 中国电信ADSL
实验目的:
测试与分析WEB服务器所提供的HTTP服务的综合稳定性。
测试计划:
测试类型基准(baseline):静态测试案例(HTM、JPG)[因为朋友只使用了简单的HTML]
测试工具:单客户端、测试案例库,客户端程序
分析手段:采用对比分析
测试对象:企业级全能虚拟主机
对比对象:“中资源”虚拟主机(dark2s.net)
测试方案条件数值指标:
*************************************************************************************
Url 线程 持续时间 是否使用随机延迟 虚拟扼杀带宽 其他数值
————————————————————————————
随机遍历地址 20 5分钟 200-400(毫秒) 56K MODEM(44k) default
*************************************************************************************
实验步骤:
使用Web Application Stress(下称WAS)生成两个新的压力测试脚本->使用RECORD方式记录其URL->配置
条件测试指标->测试->生成REPORT->以报表方式对比分析其结果
具体操作:
在客户端(localhost)打开MS WEB APPLICATION STRESS主程序的菜单栏选择:”Scripts”->”Create”->”
Record”,选”Record Delay between request”,按”next”。
“finish”。
接下来在弹出的浏览器的地址栏中填入你所要测试的WEB服务器地址,随机浏览几个页面,模拟正常浏
测试防火墙系统 创建时间:2004-05-18
文章属性:转载
文章提交:
sFqRy (mqphk163_at_163.com)
原著:CERT(R)
翻译人: demonalex
email: demonalex_at_dark2s.org
homepage:
http://demonalex.cn.st
A practice from the CERT(R) Security Improvement Modules(
http://www.cert.org/security-improvement/)
这次测试的目的是为了知道防火墙是否想我们想象中的意图来工作的。在此之前你必须:
·制定一个完整的测试计划,测试的意图主要集中在路由、包过滤、日志记录与警报的性能上
·测试当防火墙系统处于非正常工作状态时的恢复防御方案
·设计你的初步测试组件
其中比较重要的的测试包括:
·硬件测试(处理器、内外储存器、网络接口等等)
·操作系统软件(引导部分、控制台访问等等)
·防火墙软件
·网络互联设备(CABLES、交换机、集线器等等)
·防火墙配置软件
-路由型规则
-包过滤规则与关联日志、警报选项
*****为什么说这些是比较重要的呢?*****
测试与效验你的防火墙系统有利于提高防火墙的工作效率,使其发挥令你满意的效果。你必须了解每个系统组件有可
能出现的错误与各种错误的恢复处理技术。一旦在你的规划下有防火墙系统出现非工作状态,这就需要你及时去进行
恢复处理了。
造成防火墙系统出现突破口的最常见原因就是你的防火墙配置问题。要知道,你需要在所有的测试项目之前做一个全
面的针对配置的测试(例如路由功能、包过滤、日志处理能力等)。
*****应该怎么去做?*****
“建立一个测试计划”
你需要在做一个计划,让系统本身去测试防火墙系统与策略的执行情况,然后测试系统的执行情况。
1建立一个所有可替代的系统组件的列表,用来记录一些会导致防火墙系统出错的敏感故障。
2为每一个组件建立一个简短的特征说明列表列表,用语阐述其对防火墙系统运作的影响。不必理会这些影
响对防火墙系统的损害类型与程度和其可能发生的系数高低。
3为每一个关联的故障类型
-设计一个特定的情况或某个指标去模拟它
-设计一个缓冲方案去削弱它对系统的冲击性破坏
打比方一个测试的特定情况是运行防火墙软件的主机系统出现不可替换的硬件问题时,且这个硬件将会影响到
信息通信的枢纽问题,例如网络适配器损坏,模仿这类型的故障可以简单地拔出该网络接口。
至于防御/恢复策略的例子可以是做好一整套的后备防火墙系统。当信息包出现延误等问题时在最短的时间内
将机器替换。
测试一个策略在系统中的运作情况是很困难的。用尽方法去测试IP包过滤设置是不可行的;这样可能出现很多
种情况。我们推崇你使用分界测试(分部测试)来取代总体测试。在这些测试上,你必须确定你实施的包过滤规
则与每个分块之间的分界线。这样你需要做到:
·为每个规则定义一个边界规则。通常,每个规则的必要参数都会有一个或两个边界点的。在这个区域里
将会被划分为一个多面型的包特征区。通常划分的特征包括:通信协议、源地址、目标地址、源端口、
目标端口等。基本上,每种包特征都可以独立地去配对包过滤规则在区域里所定义的数值尺度。例如,
其中一个规则允许TCP包从任何主机发送到你的WEB服务器的80端口,这个例子使用了三个配对特征(协议
、目标地址、目标端口),在这个实例中也将一个特征区划分成三个区域:TCP包到WEB服务器低于80端口、
等于80端口、大于80端口。
·你必须为每一个已经设置好的区域做一些信息交换的测试。确认一下这些特定的区域能否正常地通过与
拒绝所有的信息交换。做一个单独的区域,在区域中拒绝或者通过所有的信息交换;这样做的目的是为
了划分包特征通信的区域问题。
作为一个综合性的规则群,它可以是一种比较单一的处理机制,并且有可能是没有被应用过的。若是没有被应
用过的规则群,这要求一群人去反复审核它们的存在性并要求有人能够说出每一个规则所需要实施的意义。
整个测试计划包括案例测试、配置测试、与期待目标:
·测试路由配置、包过滤规则(包括特殊服务的测试)、日志功能与警报