34c3 Web部分Writeup
34c3作为ctftime很少见的高权重比赛仍然没让人失望,提供了足够好的题目质量,其中有3题是和xss有关系的,很有趣这里整理了一下Writeup给大家urlstorage初做这题目的时候感觉又很多问题,本以为最后使用的方法是正解,没想到的是非预期做法,忽略了题目本身的思路,抛开非预期不管,题目本身是一道非常不错的题目,用了cssrpo来获取页面的敏感内容。CSSRPO首先我们需要先解释一下什么是CSSRPO,RPO全称RelativePathOverwrite,主要是利用浏览器的一些特性和部分服务端的配置差异导致的漏洞,通过一些技巧,我们可以通过相对路径来引入其他的资源文件,以至于达成我们想要的目的。先放几篇文章http://www.thespanner.co.uk/2014/03/21/rpo/http://www.zjicmisa.org/index.php/archives/127/这里就不专门讲述RPO的种种攻击方式,这里只讨论CSSRPO,让我们接着看看题目。Writeup回到题目。整个
HTML+CSS编写规范
打印print.css补丁mend.css在项目初期,会把不同类别的样式放于不同的CSS文件,是为了CSS编写和调试的方便,在项目后期会为了网站性能上的考虑会整合不同的CSS文件到一个CSS文件,必要时可压缩。第二节CSS选择符的命名所有选择符必须有小写英文字母或“_”下划线组成,样式名必须是表示该样式的大概含义(禁止出现如Div1、div2、Style1……),参考后面的“样式命名参考”。对CSS选择器的使用只允许派生选择器、类选择器和属性选择器,以及它们的组合使用,严禁使用ID选择器(ID是用于JavaScript的编写)。如:lispan{…}td.fancy{…}input[type="text"]{…}当定义的样式名比较复杂时用下划线把层次分开,比如:dcrm_logo{…}dcrm_logo_ico{…}*第三节图片的命名与书写图片的命名原则小写英文字母名称放在头尾两部分,用“_”下划线隔开,头部表示此图片的大类性质例如广告、标志、菜单、按钮等等;尾部表示图片的概念。设计人员在PS中保存
vue 实现 ios 原生picker 效果及vue使用腾讯地图获取当前位置
vue实现ios原生picker效果若是想看原理,可以看这篇文章https://www.oudahe.com/p/43627/若是想直接上手用,这里的组件可以直接拿来用https://github.com/k186/pd-se...picker效果组件的运用腾讯地图获取当前位置想要使用腾讯地图,首先当然得看腾讯地图的开发指南http://lbs.qq.com/tool/compon...我这边使用的是方法一(通过iframe内嵌调用):参照文档写的例子来用就行,关键是看你拿到数据怎么处理tengxunmap组件里面的内容验证之前验证之后组件js部分:
Web前端开发的四个阶段(小白必看)
第一阶段:HTML的学习超文本标记语言(HyperTextMark-upLanguage简称HTML)是一个网页的骨架,无论是静态网页还是动态网页,最终返回到浏览器端的都是HTML代码,浏览器将HTML代码解释渲染后呈现给用户。因此,我们必须掌握HTML的基本结构和常用标记及属性。HTML的学习是一个记忆和理解的过程,在学习过程中可以借助Dreamweaver的“拆分”视图辅助学习。在“设计”视图中看效果,在“代码”视图中学本质,将各种视图的优势发挥到极致,这种对照学习的方法弥补了单纯识记HTML标签和属性的枯燥乏味,想必对各位初学的小盆友们来说必定是极好的!在学习了HTML之后,我们只是掌握了各种“原材料”的制作方法,要想盖一幢楼房就还需要把这些“原材料”按照我们设计的方案组合布局在一起并进行一些样式的美化。第二个阶段:CSS的学习CSS是英文CascadingStyleSheets的缩写,叫做层叠样式表,是能够真正做到网页表现与内容分离的一种样式设计语言。相对于传统HTML的表现而言其样式是可以复用的,这样就极大地提
管理系统列表和详情配置
简介:通过配置json文件,直接生成列表和列表详情配置文件是json格式配置完成后可以生成预览需要后端支持按一定的格式返回数据config.json{"filterBar":{"isShow":true,"items":[{"type":1,"label":"","field":"farmerName","placeholder":"农户姓名","defaultValue":""},{"type":1,"label":"","field":"farmerPhone","placeholder":"农户手机号","defaultValue":""},{
Vue和vue-template-compiler版本之间的问题
今天把远程仓库拉下项目,运行'npmrundev'时,报错Modulebuildfailed:Error:Cannotfindmodule'vue-template-compiler'报错原因:通常出现于一些依赖库的更新或者安装新的依赖库之后(可以认为npmupdate已经成为一种习惯),导致了vue和vue-template-compiler的版本不一致。解决方案:统一vue和vue-template-compiler的版本"vue":"2.3.3","vue-template-compiler":"2.4.4",查了并试了一下只要运行两个代码就行了npminstllnpmupdate先运行npminstall之后会换一种报错:Vuepackagesversionmismatch这种是重新安装了依赖,但是还没有更新在接着运行npmupdate就可以使用先运行npmupdate报错还是一样,我们只要重新在执行一下npminstall安装一下就可以成功运行
利用VSTS跟Kubernetes整合进行CI/CD
利用VSTS跟Kubernetes整合进行CI/CD为什么VSTS要搭配Kubernetes?通常我们在开发管理软件项目的时候都会碰到一个很头痛的问题,就是开发、测试、生产环境不一致,导致开发人员和测试人员甚至和运维吵架。因为常见的物理环境甚至云环境中,这些部署环境都是由运维人员提前准备好的。每次更新代码版本,都要很小心的在几个环境之前修改不同的参数配置,一不小心就将生产环境的数据库连接到了测试库,或者日志文件的地址写到了一个不存在的盘符里等等各种异常情况,有了Kubernetes这样微服务编排框架,我们可以通过代码的形式描述服务的架构,描述服务之间的依赖关系,做到了InfrastructureAsCode。这样可以大大减少了开发运维之间在做环境切换时带来的额外成本。将VSTS的持续集成能力和持续发布能力整合Kubernetes,可以让项目团队更容易发现和改进代码(这时候的Infrastructure也已经是代码了)的问题,真正将精力放在改进用户体验和改进产品品质上。准备VSTS管理环境首先我们需要到www.visu
vue、react等单页面项目应该这样子部署到服务器
最近好多伙伴说,我用vue做的项目本地是可以的,但部署到服务器遇到好多问题:资源找不到,直接访问index.html页面空白,刷新当前路由404。。。现在我们一起讨论下单页面如何部署到服务器?由于前端路由缘故,单页面应用应该放到nginx或者apache、tomcat等web代理服务器中,千万不要直接访问index.html,同时要根据自己服务器的项目路径更改react或vue的路由地址。如果说项目是直接跟在域名后面的,比如:http://www.sosout.com,根路由就是'/'。如果说项目是直接跟在域名后面的一个子目录中的,比如:http://www.sosout.com/children,根路由就是'/children',不能直接访问index.html。以配置Nginx为例,配置过程大致如下:(假设:1、项目文件目录:/mnt/html/spa(spa目录下的文件就是执行了npmrundist后生成的dist目录下的文件)2、访问域名:spa.sosout.com)进入nginx.conf新增如下配置:se
WPF项目示例1:入门
演示:入门WPF应用程序项目参考来源MicrosoftHelp查看器wpf入门内容下图显示应用了控件、布局、样式、数据绑定和数据模板的ExpenseIt应用程序的两个页。其中包括一个应用程序定义、两个页以及一个图像(未使用)1主窗口MainWindow.xaml<NavigationWindowx:Class="ExpenseIt.MainWindow"xmlns="http://schemas.microsoft.com/winfx/2006/xaml/presentation"xmlns:x="http://schemas.microsoft.com/winfx/2006/xaml"xmlns:d="http://schemas.microsoft.com/expression/blend/2008"xmlns:mc="http://schemas.openxmlformats.org/markup-compatibility/2006"
.NET使用DAO.NET实体类模型操作数据库
一、新建项目打开vs2017,新建一个项目,命名为orm1二、新建数据库打开SqlServer数据库,新建数据库orm1,并新建表student。三、新建ADO.NET实体数据模型这里点击新建连接,新建数据库连接。其实服务器名输入.代表本地服务器,身份验证选择默认的Windows身份认证。选择我们的创建好的数据库orm1。记住这里的连接名orm1Entities,后面写代码需要用到。这里记得勾选表点击完成就OK了,有可能会弹出下面的警告,点确定就好了。最后出现下面这个视图,至此,创建DAO.NET实体类型模型成功。现在点VS上面的生成,点重新生成项目。成功后控制台输入:四、新建aspx文件新建aspx文件webform1.aspx<%@PageLanguage="C#"AutoEventWireup="true"CodeBehind="WebFo
硅谷35岁以后的程序员都在做什么?
点击上方“CSDN”,选择“置顶公众号”关键时刻,第一时间送达!总说程序员是吃青春饭的,过了35岁编程生涯就终结了——是这样吗?在我们之前的《为什么总说程序员是吃青春饭的?真的是35岁混不到管理就等于失业?》一文中就曾探讨过,国内大龄程序员的焦虑和思考。在IT行业,技术日新月异,各种库、SDK、编程语言层出不穷,对于程序员的要求也越来越高。在脑力劳动和体力劳动的双压力之下,年龄大小的优劣无疑显现出来,那么优胜劣汰的自然法则之下,无法与时俱进的人最终只会被淘汰。诚然,程序员的焦虑是一个难解的话题,在《80后技术人的中年危机》一文中我们就分享了真实的4个技术人的技术事。国内尚且如此,那么国外呢?在Quora上,许多来自硅谷的程序员们围绕着这一主题,进行了深入探讨。本文就来看看在高科技公司云集的硅谷,35岁以后的程序员都在做什么。一、我今年37岁,曾经住在硅谷,并且我的整个职业生涯中一直从事技术工作。我从来没有在技术上“大获成功”,也从没有“走入管理层”。但是到目前为
随笔:展开讨论RPA项目的关键成功要素
运维技术笔者在前文提出“RPA的效能表现取决于养成师对机器人的训练、调校和管理,因此对于RPA而言成功的关键是养成师团队的构建。企业可以根据情况选择自建、外包、咨询,以及混成模式的养成师团队。养成师的团队需要业务专家和系统工程师共同组成,当然,一个高瞻远瞩的团队领袖是团队成功的保障。也就算是说,机器人的最终产出仍然取决于人。”在此,笔者将就RPA实施的成功因素进行展开讨论。所有结论基于笔者的工作经验和对RPA的实际测试。首先,我们需要注意到RPA中,P(rocess)是指业务流程,实施RPA的前提条件是必须深度解读业务流程并建模,而这一点对于很多企业都是有挑战的。这要求RPA团队中必须要有资深业务分析师,他能够将业务流程归纳为流程模型。虽然现在从业人员对于计算机应用都能熟练使用,但根据笔者的经验,我们多数情况下不能寄希望于让业务人员来实现RPA,RPA仍需专业系统人员来完成。例如:一个没有IT知识的财务人员是无法实现RPA的,同样如果让一个从无财务经验的程序员完成财务RPA,可以想想出这一定是个灾难。第二,RPA中的A(utoma
一个佛系程序员的年终总结
点击上方“CSDN”,选择“置顶公众号”关键时刻,第一时间送达!作者简介:工匠若水,CSDN知名博主,关注Android、Java、UnixC领域,有个公众号叫「码农每日一题」。背景我是一个佛系码农,今天是2017年的最后一个工作日,我已无心工作,满脑子只有元旦哪里嗨的骚操作。然而代码可以不写,自己的过去必须总结,作为一个佛系码农有必要正经的回顾总结一下自己的2017日常,以便在接下来的2018年能够完全放飞自我。这一年关于写过的代码总结改过很多Bug,写过很多功能,也重构过一些模块,然而这一年却多次因为我几行代码的修改导致整个模块接近崩溃。(图片来自网络)这一年关于需求评审的总结每次需求评审都像一场辩论会,每次需求评审都是自己在技术群开车的好时机,需求评审完只用来一句“哦,那就这样吧!”或者是“这个需求实现不了!”,回到座位又开始抱怨会真特么多,浪费我写Bug的时间。(图片来自网络)这一年关于需求变更的总结已经按照策划案实现差不多了,总是有人跑来说改点东西,额,这一
如何认真对待简书大V饱醉豚抹黑程序员事件
前一段时间简书出现了一件简书大V饱醉豚抹黑程序员事件《为什么程序员是出轨率最高的群体》,其实当时我也偶尔看到了这偏文章,因为文章中插图了大量数据,看完后我都有点问心自问我们程序员真的是这样吗,其实不然,我为什么要写这篇文章呢,也是最近出现在我生活中的点点小事,所以才决定写这篇文章。这件事也就发生在几天前,因为我作为一个开发2~3年的的软件开发工程师(切莫带节奏,只是谈下自己的看法),所以也加了很多开发工程师的QQ交流群,当时自己刚写完一篇技术文章,算是有点自己的小心思吧所以就把文章链接发到了群里,请求关注下什么的,因为发了好几个QQ交流群,本来也算是愿打愿挨的事,没想到我一篇简书文章链接让原本不太活跃的气氛突然就热闹起来啦,争执的焦点就是简书黑程序员,大概意思就是说简书抹黑程序员啦,谁还去关注简书呢,其实当是说实话还是蛮气氛那些带节奏的人的,其实后来也想想,无非就是中国人那种凑热闹的情绪在作祟,难道你有问题了百度了,看大简书有人能解决你就不点击进去了吗,答案肯定是否定的,所以大概也就这么回事,但是这个文章其实
谷沉沉:专注视频技术十几年
和许多编解码器玩家一样,谷沉沉在视频领域深入探索了很多年。在腾讯十年从间,历经各个产品的,但都没有离开音视频领域。这是『下一代编解码器』系列采访的第7篇,LiveVideoStack采访了腾讯微信多媒体团队专家研究员谷沉沉,向我们讲述了自己的“音视频”十几年。策划/LiveVideoStack责编/包研LiveVideoStack:请简要介绍下自己,以及目前主要的工作方向,对哪些技术或领域感兴趣?谷沉沉:谢谢LiveVideoStack的采访。我目前在腾讯微信多媒体团队任专家研究员,负责微信视频通话、朋友圈视频/图片、微信视频图片消息等业务相关的视频图像技术研究和应用开发,涉及的技术包括视频编解码、图像处理、视频传输等方面。我做视频技术是从2004年在学校做课题研究开始的,当时在ViLab和JDL实验室主要做AVS,H264SVC等视频编码标准方面的学术研究,加入腾讯后的这十年时间里曾参与过PCQQ、QQGame视频斗地主、手机QQ,微信等产品的视频通话功能,以及腾讯视频播放器的技术研发工作。很荣幸这十几年来能一
程序员的自我救赎---7.1:权限系统讲解
《前言》(一)Winner2.0框架基础分析(二)PLSQL报表系统(三)SSO单点登录(四)短信中心与消息中心(五)钱包系统(六)GPU支付中心(七)权限系统(八)监控系统(九)会员中心(十)APP版本控制系统(十一)Winner前端框架与RPC接口规范讲解(十二)上层应用案例(十三)总结《权限系统讲解》在Winner2.0我们的权限系统是很老了,上次Jason看代码发现权限系统还是2006开发的。这也让我们萌生了对“权限系统”重构的念头。无奈呼工作一直很忙,没有时间去重构它。并且重构更多时候是在操作界面上的重构,以及使用MVC翻抄一遍,最重要的是现在的权限系统还比较坚挺,没出过什么问题。我们重点来说说权限系统的表设计,因为界面实在比较老,而且比较难看,如果我们重构之后我们再把他上到GitHub。权限系统的表结构是非常简单的,基本和所有市面上教科书的权限系统是一样的,主要有五张表组成:Trit_Role:角色表Trit_RoleMember
程序员,有什么资格去谈佛系?
年终考核的小灰佛系程序员究竟存在吗?或许以前曾经存在,但是在快速迭代的互联网环境下,佛系程序员们已经被、开、了!就像网上有人说的,我们绝大多数人是没有资本去谈佛系的。有些越老越吃香的传统行业或许可以,但是对于我们程序员来说,我们需要的不是佛系,而是战士!有人说程序员这个行业是青春饭,说得对,也不对。在我们变老,变笨之前,我们还可以多吃一些苦,多学一项本领,通过自己的头脑和努力,为自己铺好未来的路。无论这条路是技术路线,还是管理路线,亦或是跨行业的路线,都可以通向一个还不算差的未来。相约到某一天,我们拥有了自己曾经想要的未来。在艰辛又而充实的回忆中,再慢慢一起谈佛系也不迟。
程序员C语言C++新手小白入门最容易犯的17种错误,你中了几个?
相信这么努力的你已经置顶了我C语言是面向过程的,而C++是面向对象的C和C++的区别:C是一个结构化语言,它的重点在于算法和数据结构。C程序的设计首要考虑的是如何通过一个过程,对输入(或环境条件)进行运算处理得到输出(或实现过程(事务)控制)。C++,首要考虑的是如何构造一个对象模型,让这个模型能够契合与之对应的问题域,这样就可以通过获取对象的状态信息得到输出或实现过程(事务)控制。所以C与C++的最大区别在于它们的用于解决问题的思想方法不一样。之所以说C++比C更先进,是因为“设计这个概念已经被融入到C++之中”。C与C++的最大区别:在于它们的用于解决问题的思想方法不一样。之所以说C++比C更先进,是因为“设计这个概念已经被融入到C++之中”,而就语言本身而言,在C中更多的是算法的概念。那么是不是C就不重要了,错!算法是程序设计的基础,好的设计如果没有好的算法,一样不行。而且,“C加上好的设计”也能写出非常好的东西。C编译的程序对语法检查并不像其它高级语言那么严格,这就给编程大佬们留下了“灵活的余地”,但还是
2018程序员必读书单
公众账号原文https://mp.weixin.qq.com/s?__biz=MzIyNjM3MzI4MQ==&mid=2247484285&idx=1&sn=788dd5d8b1264fb8cd6af6f21eb78a0e&chksm=e87038b3df07b1a5bf900257e63ed0f403f2cc1a5e776ccab55650820416d9577cde2424499e#rd
技术大咖云集 GIAC 2017全球互联网架构大会圆满落幕
2017年12月22日-23日,由高可用架构技术社区联合麦思博(msup)有限公司共同主办的GIAC全球互联网架构大会在上海光大会展中心成功举行。本届全球互联网架构大会以“改变未来的互联网构建方式”为主题,分为经典架构、DevOps、技术前沿、管理与效率、人工智能与机器学习5大技术专场。其中包含未来的编程语言、系统设计与架构、微服务架构及ServerLess、中间件平台、容器、AIDevOps、数据库、大前端、Fintech、机器学习、人工智能、智能硬件、效率管理等20个技术专题。史海峰、惠新宸、袁进辉、沈剑、陈皓等经验丰富的一线技术团队带头人现场分享了来自饿了么、摩拜、今日头条、蚂蚁金服、平安科技、百度、ORACLE、LinkedIn等公司的70个精品案例。当日吸引了1000+的IT技术从业者参会学习交流。5大主会场中场场爆满,参会者热情高涨,大呼干货十足听得十分过瘾。MegaEase创始人陈皓在微服务与Serverless技术专题中,同时担任大会联席主席和专场出品人的来自