精华内容
下载资源
问答
  • 教你怎么一个网站是否存在漏洞!

    万次阅读 2014-08-20 11:48:42
    教你怎么一个网站是否存在漏洞! 该隐藏帖已经发布超过30天,因此无需回复即可浏览!  教你怎么一个网站是否存在漏洞!!!  漏洞  近来很多网站受到了各种各样形式的攻击,黑客攻击的动机各不一样,黑...

           教你怎么看一个网站是否存在漏洞!!! 
    漏洞 
    近来很多网站受到了各种各样形式的攻击,黑客攻击的动机各不一样,黑客人攻击的目标也有不确定性,作为一家企业的网管、或CEO您是否担心您的网站也遭受同样的命运呢?  
      
    什么样的站点容易被黑客入侵呢?  
      
    有人说,我做人低调点,不得罪人,自然没人黑我了。其实,就算你没有竞争对手雇佣人黑你,也会有好奇的或者练习技术的无聊黑客想入侵您的站一探究竟的。  
      
    所以,什么样的站容易被黑客入侵。不是坏人的站,而是有漏洞的网站。 
      
    不论您的站是动态的网站,比如asp、php、jsp 这种形式的站点,还是静态的站点,都存在被入侵的可能性。  
      
    您的网站有漏洞吗?如何知道您的网站有没有漏洞呢?  
      
    普通的黑客主要通过上传漏洞、暴库、注入、旁注等几种方式入侵近7成网站的。当然,还有更高级别的入侵行为,有些黑客为寻找一个入侵点而跟进一个网站好几个月的事儿都有。我们先重点看看这些容易被黑的网站。  
      
    1、上传漏洞  
      
    这个漏洞在DVBBS6.0时代被黑客们利用的最为猖獗,利用上传漏洞可以直接得到WEBSHELL,危害等级超级高,现在的入侵中上传漏洞也是常见的漏洞。  
      
    漏洞解释:  
      
    在网站的地址栏中网址后加上/upfile.asp如果显示 上传格式不正确[重新上传] 这样的字样8成就是有上传漏洞了找个可以上传的工具直接可以得到WEBSHELL。  
      
    工具介绍:  
      
    上传工具,老兵的上传工具、DOMAIN3.5,这两个软件都可以达到上传的目的,用NC也可以提交。  
      
    专家解疑:  
      
    WEBSHELL是什么?许多人都不理解,这里就简单讲下,其实WEBSHELL并不什么深奥的东西,是个WEB的权限,可以管理WEB,修改主页内容等权限,但是并没有什么特别高的权限,(这个看管理员的设置了)一般修改别人主页大多都需要这个权限,接触过WEB木马的朋友可能知道(比如老兵的站长助手就是WEB木马 海阳2006也是 WEB木马)我们上传漏洞最终传的就是这个东西,有时碰到权限设置不好的服务器可以通过WEBSHELL得到最高权限。  
      
    专家提醒:  
      
    大多网站的程序都是在公有的程序基础上修改的,程序总会存在漏洞。聪明的网站管理员应该学会熟练的掌握以上工具,时常关注自己web程序最新的漏洞。并使用上述工具进行自我检测,以确保网站安全。  
      
    2、暴库:  
      
    许多站点有这个漏洞可以利用。非常危险!  
      
    漏洞解释:  
      
    暴库就是提交字符得到数据库文件,得到了数据库文件黑客就直接有了站点的前台或者后台的权限了.比如一个站的地址为 http:    //www.XXX.com/dispbbs.asp?boardID=7&ID=161,黑客就可以把com/dispbbs中间的/换成%5c,如果有漏洞直接得到数据库的绝对路径,用迅雷什么的下载下来就可以了。还有种方法就是利用默认的数据库路径http:    //www.xxx.com/后面加上conn.asp。如果没有修改默认的数据库路径也可以得到数据库的路径(注意:这里的/也要换成%5c)。  
      
    专家解疑:  
      
    为什么换成%5c:因为在ASCII码里/等于%5c,有时碰到数据库名字为/#abc.mdb的为什么下不了? 这里需要把#号换成%23就可以下载了,为什么我暴出的数据库文件是以。ASP结尾的?我该怎么办?这里可以在下载时把.ASP换成.MDB 这样就可以下载了如果还下载不了可能作了防下载。  
      
    专家提醒:  
      
    数据库始终是黑客最感兴趣的东西。数据库安全性却不是每个程序员在编程的时候能全面考虑到的。应该在上线后,找专业的安全公司进行测试数据库渗透测试,以确保数据库安全。  
      
    3、注入漏洞:  
      
    这个漏洞是现在应用最广泛,杀伤力也很大的漏洞,可以说微软的官方网站也存在着注入漏洞。  
      
    漏洞解释:  
      
    注入漏洞是因为字符过滤不严禁所造成的,可以得到管理员的帐号密码等相关资料。  
      
    专家解疑:  
      
    我先介绍下怎样找漏洞比如这个网址http:    //www.xxx.com/dispbbs.asp?boardID=7&ID=161 后面是以ID=数字形式结尾的站我们可以手动在后面加上个 and 1=1 看看 如果显示正常页面 再加上个and 1=2 来看看 如果返回正常页面说明没有漏洞 如果返回错误页面说明存在注入漏洞。如果加and 1=1 返回错误页面说明也没有漏洞,知道了站点有没有漏洞我门就可以利用了  
      
    工具介绍:  
      
    可以手工来猜解也可以用工具现在工具比较多(NBSI NDSI 啊D DOMAIN等)都可以用来猜解帐号密码,建议大家用工具,手工比较烦琐。  
      
    专家提醒:  
      
    大型公司的网站应该找懂安全编程的高级程序员来进行,并且开发上线后,应该请专业公司进行安全性测试。以确保程序安全、可靠!  
      
    4、旁注:  
      
    我们入侵某站时可能这个站坚固的无懈可击,我们可以找下和这个站同一服务器的站点,然后在利用这个站点用提权,嗅探等方法来入侵我们要入侵的站点。打个形象的比喻,比如您和我是邻居,我家很安全,而您家呢,却很容易进去偷东西。现在有个贼想入侵我家,他对我家做了探察、踩点,发现很难进入我家,那么这个贼发现你家和我家是邻居,通过您家就可以很容易进如我家了。他可以先进入你家,然后通过你家阳台进入我家。  
      
    工具介绍:  
      
    还是名小子的DOMIAN3.5不错的东西,可以检测注入,可以旁注,还可以上传!
    展开全文
  • 手把手教你用Java设计并实现一个城市公交查询系统

    千次阅读 多人点赞 2020-12-19 10:11:33
    近年来,Internet推动了以互联网技术为核心的各项工作蓬勃展开,互联网的强大也大大的促进了社会的发展,整个社会信息化进程逐步...其次,乘客在网上就可以查询到公交公司发布的路况信息,以便提早做好换乘准备节约出..

    背景:近年来, Internet推动了以互联网技术为核心的各项工作蓬勃展开,互联网的强大也大大的促进了社会的发展,整个社会信息化进程逐步加快,网络也变成了我们日常活动中越来越重要的组成成分。为了使得我国公交乘客出行及查询有关信息更方便,本文运用JAVA语言技术,Jsp技术,Mysql数据库开发了B/S结构的城市公交查询系统。

    该系统顺应了时代发展且具有以下优点:首先,方便乘客的出行,乘客不用询问站牌工作人员如何倒车,便可到达目的地。其次,乘客在网上就可以查询到公交公司发布的路况信息,以便提早做好换乘准备节约出行时间。最后,本系统可以节约人力资源,以往的站牌附近要安排公交公司的工作人员来帮助不熟悉的乘客,有了公交查询系统提前上网查询便可知道。

    项目已经上传CODECHINA:https://codechina.csdn.net/weixin_41937552/bus

    目录

     

    1  绪论

    展开全文
  • 这两天老大让我再oracle中把要替换的表被其他对象引用之处找出来,整理份表,接到这任务,我是脸懵逼,怎么找?大海捞针么?问同事、查资料,自己研究,最后整理一下仅供大家参考,同时以备将来回顾。本篇只...

    这两天老大让我再oracle中把要替换的表被其他对象引用之处找出来,整理一份表,接到这个任务,我是一脸懵逼,怎么找?大海捞针么?问同事、查资料,自己研究,最后整理一下仅供大家参考,同时以备将来回顾。本篇只涉及表被其他数据库对象引用,不涉及外键,想寻找外键的,自己查看下面附有的链接。

    首先有下列几种方式:

    1、plsql工具

    点击工具,找到 查找数据库对象

    最后进入到查找页面

    最后根据页面把要查找的 表对象或者关键词填入 文本查找   里,再在对象条件里 选择自己要筛选的条件即可筛选。但是此方法有个弊端,就是  所有者 中下拉条件太多,要筛选很多次。

    2.通过sql去查询。相关sql我是网上查阅资料,无意中看到有位大哥曾经在自己的博客回答过这个问题,先推荐给大家http://53873039oycg.iteye.com/blog/2030263/。这位大哥,小弟很不好意思在此引用一下您的内容,敬请见谅。

    a>正常情况(无动态SQL时)

         System/Sysdba用户,可以使用以下SQL查看:

    1. select * from dba_dependencies  where referenced_name =upper('对象名') and owner=upper('所有者')  

    普通用户可以使用以下SQL查看:

    1. select * from all_dependencies  where referenced_name =upper('对象名')   

    b>动态SQL情况

     System/Sysdba可以使用下面的SQL查询:

    1. select name,type,text from dba_source where upper(text) like '%对象名%'  and owner=upper('所有者')  

    普通用户可以使用下面的SQL查询:

    1. select name,type,text from user_source where upper(text) like '%对象名%'   

    查看所有引用表的动态sql:

       System/Sysdba用户:

    select name, type, text  

      from dba_source  

     where name in (select name  

                     from dba_source  

                  where upper(text) like '%对象名%'  

                     and owner = upper('所有者')  

              minus  

                select name  

                  from dba_dependencies           

    where referenced_name = upper('对象名')  

                and owner = upper('所有者'))  

       and owner = upper('所有者')  

     普通用户:

    select name, type, text    

    from user_source  

     where name in

     (select name  

            from user_source   

           where upper(text) like '%对象名%'             

         minus           

         select name   from all_dependencies                 where referenced_name = upper('对象名'))  

     

     

    好啦,以上就是借鉴那位大哥的,下面奉上小弟修改的

    查看所有引用表的动态sql(考虑到实际项目中有的公司可能存储过程或者函数、视图里有的使用对象名是大写有的是小写的参考):

    普通用户:

    select distinct name, type
      from user_source
     where name in (select a.name
                      from user_source a
                     where a.text like  '%对象名小写%' or a.TEXT like '%对象名大写%'
                     group by a.name
                    minus
                    select name
                      from all_dependencies
                     where referenced_name = '对象名小写' or referenced_name = '对象名大写' )
                    

     

    所以小编就对比动态和静态情况下sql,发现动态情况下sql中包含了静态情况下的sql,而且用了minus函数,

    minus函数是什么呢?有什么作用呢?

    给大家普及一下minus函数用法:

    racle Minus关键字
      SQL中有一个MINUS关键字,它运用在两个SQL语句上,它先找出第一条SQL语句所产生的结果,然后看这些结果有没有在第二个SQL语句的结果中。如果有的话,那这一笔记录就被去除,而不会在最后的结果中出现。如果第二个SQL语句所产生的结果并没有存在于第一个SQL语句所产生的结果内,那这笔资料就被抛弃。

    好了,既然知道了minus函数的作用,那我们何不自己写个查询所有的情况(既有静态又有动态的情况)的sql呢,福利来了,那么久整理出了下面的sql,查询的结果包含了对象本身哦。此处小编采用的  UNION ALL 取并集。然后把重复的过滤掉

    select distinct name,type
    from (select a.name,a.TYPE
                      from user_source a
                     where a.text like  '%表名小写%' or a.TEXT like '%表名大写%'
                     group by a.name,a.TYPE
                    UNION ALL 
                    select name,type
                      from all_dependencies
                     where referenced_name = '表名大写' or referenced_name = '表名小写') v

     

    展开全文
  • 测试Web应用程序是否存在跨站点脚本漏洞http://www.sina.com.cn 2008年05月21日 15:47 到目前为止,对于跨站点脚本攻击具有很大的威胁这一点大家并无异议。如果您很精通 XSS 并且只想看看有什么好的测试方法可供...

    测试Web应用程序是否存在跨站点脚本漏洞

    http://www.sina.com.cn 2008年05月21日 15:47 

     

        到目前为止,对于跨站点脚本攻击具有很大的威胁这一点大家并无异议。如果您很精通 XSS 并且只想看看有什么好的测试方法可供借鉴,那么请直接跳到本文的测试部分。如果您对此一无所知,请按顺序认真阅读!如果某个怀有恶意的人(攻击者)可以强迫某个不知情的用户(受害者)运行攻击者选择的客户端脚本,那么便会发生跨站点脚本攻击。“跨站点脚本”这个词应该属于用词不当的情况,因为它不仅与脚本有关,而且它甚至不一定是跨站点的。所以,它就是一个在发现这种攻击时起的一个名字,并且一直沿用至今。从现在开始,我们将使用它常见的缩写名称“XSS”。

        XSS 攻击的过程涉及以下三方:

        攻击者
        受害者
        存在漏洞的网站(攻击者可以使用它对受害者采取行动)

        在这三方之中,只有受害者会实际运行攻击者的代码。网站仅仅是发起攻击的一个载体,一般不会受到影响。可以用多种方式发起 XSS 攻击。例如,攻击者可通过电子邮件、IM 或其他途径向受害者发送一个经过经心构造的恶意 URL。当受害者在 Web 浏览器中打开该 URL 的时侯,网站会显示一个页面并在受害者的计算机上执行脚本。

        XSS 漏洞是什么样的呢? 

        作为一名 Web 开发人员或测试人员,您肯定知道 Web 应用程序的技术基础是由 HTTP 和 HTML 组成的。HTTP 协议是 HTML 的传输机制,可使用代码设计 Web 页面布局和生成页面。

        如果 Web 应用程序接受用户通过 HTTP 请求(如 GET 或 POST)提交的输入信息,然后使用输出 HTML 代码在某些地方显示这些信息,便可能存在 XSS 漏洞。下面是一个最简单的例子:

        1. Web 请求如下所示:
        GET http://www.somesite.com/page.asp?pageid=10&lang=en&title=Section%20Title

        2. 在发出请求后,服务器返回的 HTML 内容包括:
        <h1>Section Title</h1>

        可以看到,传递给“title”查询字符串参数的用户输入可能被保存在一个字符串变量中并且由 Web 应用程序插入到 <h1> 标记中。通过提供输入内容,攻击者可以控制 HTML。

        3. 现在,如果站点没有在服务器端对用户输入加以过滤(因为总是可以绕过客户端控件),那么恶意用户便可以使用许多手段对此漏洞加以滥用:

        攻击者可以通过摆脱 <h1> 标记来注入代码:
        http://www.somesite.com/page.asp?pageid=10&lang=en&title=Section%20Title</h1><script>alert(‘XSS%20attack’)</script>

        这个请求的 HTML 输出将为:
        <h1>Section Title</h1><script>alert(‘XSS attack’)</script>

        即便是这个最简单的例子,攻击者也可以利用此连接完成数不清的事情。让我们看看会有哪些潜在的威胁,然后讨论一些更高级的测试方法。

        XSS 攻击的威胁有多么严重?

        由于能够在生成的 Web 页面中注入代码,能想到的威胁有多么严重,就可以有多么严重的威胁。攻击者可以使用 XSS 漏洞窃取 Cookie,劫持帐户,执行 ActiveX,执行 Flash 内容,强迫您下载软件,或者是对硬盘和数据采取操作。

        只要您点击了某些 URL,这一切便有可能发生。每天之中,在阅读来自留言板或新闻组的受信任的电子邮件的时侯,您会多少次地单击其中的 URL?

        网络钓鱼攻击通常利用 XSS 漏洞来装扮成合法站点。可以看到很多这样的情况,比如您的银行给你发来了一封电子邮件,向您告知对您的帐户进行了一些修改并诱使您点击某些超链接。如果仔细观察这些 URL,它们实际上可能利用了银行网站中存在的漏洞,它们的形式类似于 http://mybank.com/somepage?redirect=<script>alert(‘XSS’)</script>,这里利用了“redirect”参数来执行攻击。

        如果您足够狡猾的话,可以将管理员定为攻击目标,您可以发送一封具有如下主题的邮件:“求救!这个网站地址总是出现错误!”在管理员打开该 URL 后,便可以执行许多恶意操作,例如窃取他(或她)的凭证。

        好了,现在我们已经理解了它的危害性 -- 危害用户,危害管理员,给公司带来坏的公共形象。现在,让我们看看本文的重点 -- 测试您的网站是否存在这些问题。

        测试 XSS 漏洞

        多年以来,我一直是一名全职的安全顾问,已经做过无数次的这种测试了。我将好的测试计划归结为两个字:彻底。对于你我来说,查找这些漏洞与能够有机会在 Bugtraq 或 Vulnwatch 上吹嘘一番没有任何关系;它只与如何出色完成负责的工作有关。如果这意味着对应用程序中所有的单个查询字符串参数、cookie 值 以及 POST 数据值进行检查,那么这只能表明我们的工作还不算太艰巨。

        显然,一次完整的安全性检查所涉及的内容通常远远超出寻找 XSS 漏洞那样简单;它需要建立整体的威胁模型,测试溢出漏洞、信息泄漏、错误处理、SQL 注入、身份验证和授权错误。好在执行这样彻底的工作时,各个领域之间都存在重叠。比如,在测试 XSS 漏洞时,经常会同时找出错误处理或信息泄漏问题。

        我假设您属于某个负责对 Web 应用程序进行开发和测试的小组。在这个幸运的位置上,您可以混合使用黑盒和白盒方法。每种方法都有它自己的优点,结合使用时甚至能相互提供支持。

        1. 按顺序准备您的工具包

        测试工作也可以是自动化的,但是我们在这里只讨论手动操作。手动测试的必备工具包括:

        Paros proxy (http://www.parosproxy.org),用于截获 HTTP 通信数据
        Fiddler (http://www.fiddlertool.com/fiddler),用于截获 HTTP 通信数据
        Burp proxy (http://www.portswigger.net/proxy/)
        TamperIE (http://www.bayden.com/dl/TamperIESetup.exe),用于修改 GET 和 POST

        我们以上至少列出了三种 Web 代理软件。也可以寻找其他不同的类似产品,因为每种产品都有它自己的独到之处。下面,您需要在 Web 浏览器发出 HTTP 请求之前截获这些请求,并修改它们以注入 XSS 测试代码。上面所有这些工具都可以完成这项任务,某些工具还会显示返回的 HTML 源代码(如果您选择了截获服务器响应)。

        截获客户端发出的 GET 和 POST 请求非常重要。这样可以绕过所有的客户端 javascript 输入验证代码。我在这里要提醒所有 Web 开发人员 -- 客户端安全控制是靠不住的。应该总是在服务器端执行有效性验证。

        2. 确定站点及其功能 -- 与开发人员和 PM 交流

        绘制一些简单的数据流图表,对站点上的页面及其功能进行描述。此时,可以安排一些与开发人员和项目经理的会议来建立威胁模型。在会议上尽可能对应用程序进行深入探讨。站点公开了 Web 服务吗?是否有身份验证表单?有留言板吗?有用户设置页面吗?确保列出了所有这些页面。

        3. 找出并列出所有由用户提供输入的点

        对站点地图进行进一步细化。我通常会为此创建一个电子表格。对于每个页面,列出所有查询字符串参数、cookie 值、自定义 HTTP 标头、POST 数据值和以其他形式传递的用户输入。不要忘记搜索 Web 服务和类似的 SOAP 请求,并找出所有允许用户输入的字段。

        分别列出每个输入参数,因为下面需要独立测试每个参数。这可能是最重要的一个步骤!如果阅读下面的电子表格,您会看到我已经在示例站点中找出了一大堆这样的东西。如 forwardURL 和 lang 这样的查询字符串。如 name、password、msgBody、msgTitle 和这样的 POST 数据,甚至某些 Cookie 值。所有这些都是我们感兴趣的重要测试内容。

        4. 认真思考并列出测试用例

        使用已经得到的电子表格并列出各种用来测试 XSS 漏洞的方法。我们稍候将讨论各种方法,但是现在先让我们看看我的电子表格的屏幕截图,请注意,我列出了页面上允许的每个值以及每个值的所有测试类型。这种记录测试的方法仅是我自己的习惯,您可以使用自己的方法。我喜欢记录所有东西,以便我能知道已经做了哪些工作和哪些工作没有做。

        5. 开始测试并注意输出结果

        在查找漏洞的过程中,最重要的部分并不是您是否找到了漏洞。而是您是否真正知道究竟发生了哪些事情。对于 XSS,只需检查 HTML 输出并看看您输入的内容在什么地方。它在一个 HREF 标记中吗?是否在 IFRAME 标记中?它在 CLSID 标记中吗?在 IMG SRC 中吗?某些 Flash 内容的 PARAM NAME 是怎样的?

        我会检查所有这些情况,如果您对所输入内容的目的十分了解,可以调整您的测试来找出问题。这意味着您可能需要添加一个额外的封闭括号“>”来让某个标记变得完整,或者添加一个双引号来关闭标记内的一个元素。或者,您可能需要使用 URL 或 HTML 来编码您的字符,例如将双引号变为 %22 或 "。

        嗯,并不那么容易,这个站点看来防范比较严密。现在该怎么办呢?

        那么,也许您的简单测试用例 <script>alert(‘hi’)</script> 并不能产生期望中的警告对话框。仔细想想这个问题并在可能的情况下与开发人员进行交流。也许他们对输入中的尖括号、单引号或圆括号进行了过滤。也许他们会过滤“script”这个词。重新研究为何输入会产生这样的输出,并理解每个值(查询字符串、cookie、POST 数据)的作用。“pageId=10”这样的查询字符串值可能对输出没有影响,因此不值得花费时间测试它。有时,最好试着注入单个字符(例如尖括号、双引号标记或者圆括号),看看应用程序是否过滤这些字符。然后,便可以知道您面对的过滤级别究竟如何。接着,可以调整测试方法,对这些字符进行编码并重试,或者寻找其他注入办法。

        改变测试用例 

        我恐怕无法充分对此进行说明:研究输入的值会输出什么样的 HTML 页面非常重要。如果它们不能产生输出,那么不要在它们上面浪费时间。如果可以,请进行研究,因为您需要根据输出对测试进行相应的修改。我使用了各种变化形式来找出能接受和显示脚本代码的参数。因为这涉及太多内容,因此在这里无法一一进行讨论,但是请务必注意以下几种情况:

        1.>"'><script>alert(‘XSS')</script>
        2.>%22%27><img%20src%3d%22javascript:alert(%27XSS%27)%22>
        3.>"'><img%20src%3D%26%23x6a;%26%23x61;%26%23x76;%26%23x61;%26%23x73;
        %26%23x63;%26%23x72;%26%23x69;%26%23x70;%26%23x74;%26%23x3a;alert(%26quot;XSS%26quot;)>
        4.AK%22%20style%3D%22background:url(javascript:alert(%27XSS%27))%22%20OS%22
        5.%22%2Balert(%27XSS%27)%2B%22
        6.<table background="javascript:alert(([code])"></table>
        7.<object type=text/html data="javascript:alert(([code]);"></object>
        8.<body οnlοad="javascript:alert(([code])"></body>

        有许多变化形式可以尝试。关键在于了解程序究竟使用何种方式处理输入和显示输出页面。如同这些例子所展示的,常见的变化形式经常是在脚本代码前面加上 “>””,以尝试封闭网站可能在输出中生成的标记。还可以对代码进行 URL 编码,尝试绕过服务器端的输入过滤功能。此外,因为尖括号“<>”通常会在输入时被过滤和从输出中删除,所以还必须尝试不需要尖括号的 XSS,例如 ”&{alert('XSS')};”

        持久和动态

        找出一个成功的 XSS 颇费周折,因为在开始时 XSS 攻击可能并不是那么显而易见的。随便举一个例子,如果向网站添加一条新留言并在“msgTitle”值中注入代码,在提交数据后,您可能不会立即看到脚本代码被执行。但是,当您访问留言板的时侯,将会在 HTML 页面中使用“msgTitle”值并将其作为脚本代码执行。这种情况被称作持久性 XSS 攻击,如果包含脚本代码的值将被保存到客户端或者后端系统并在稍候的时间被执行,便会发生此种攻击。

        而与此相对的是动态 XSS 攻击,这种攻击会立即执行并只发生一次。比如,如果某个链接或 GET 请求在某个用来控制页面输出的查询字符串中包含了脚本代码,那么在点击链接后会立即显示输出。

        总结

        XSS 测试通常只是整个 Web 应用程序安全性审查工作的一小部分,但是在执行测试时必须细致和彻底。在多年的工作中,我一直强调使用电子表格或其他方式来记录站点的所有页面,以及每个页面接受的输入值(查询字符串、cookie、POST 数据、SOAP),这是在测试前必须进行的一个重要步骤。与此同等重要的是,理解输入以及它在输出的 HTML 页面上的呈现方式。如果您知道了应用程序处理输入的方式,就会非常迅速地完成许多工作。不要浪费时间测试那些不会作为输出显示的输入。与开发人员和 PM 进行交流,并在开始测试前建立完善的威胁模型。

     

    转自: IT168.com

    展开全文
  • 它的历史可以追溯到1979年,作者Monty用BASIC设计的一个报表工具。 1996年10月 3.11.1发布:MySQL没有2.x版本 2000 年 ISAM升级成MylSAM引擎。MySQL开源。 2003 年 MySQL 4.0发布,集成InnoDB存储引擎。 2005 ...
  • 常见Mysql的慢查询优化方式

    万次阅读 多人点赞 2018-09-21 16:37:02
     在公司实习的时候,导师分配了SQL慢查询优化的任务,任务是这样的:每周从平台中导出生产数据库的慢查询文件进行分析。进行SQL优化的手段也主要是修改SQL写法,或者新增索引。  现在从记录项目中的点点做起。 ...
  • 一、概述:最近在搞一个项目,需要给服务器开通IP地址白名单,想多开几个,于是乎就涉及到怎么查看没有占用的IP地址查询的问题。于是总结如下。 二、如何查看IP地址是否被占用,一共三种办法,我用的是批量查询...
  • mysql关联查询语句

    万次阅读 2019-01-04 10:36:55
    一个包含产品目录的数据库表,其中每一类物品占一行。对于每一种物品,要存储的信息包含产品描述,价格,以及生产该产品的供应商。 现在有同一供应商生产的多个产品,那么在何处存储供应商名称,地址,联系方法等...
  • 在TCP/IP协议的实现中,端口操作类似于一般的I/O操作,进程获取一个端口,相当于获取本地唯一的 I/O文件,可以用一般的读写方式访问类似于文件描述符,每个端口都拥有一个叫端口号的整数描述符,用来区别不同的端口...
  • MySQL 如何实现递归查询

    万次阅读 多人点赞 2020-09-09 11:38:00
    点击上方IT牧场,选择置顶或者星标技术干货每日送达!前言最近在做的业务场景涉及到了数据库的递归查询。我们公司用的 Oracle ,众所周知,Oracle 自带有递归查询的功能,所以...
  • 目录欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants...
  • 面试题 es 在数据量很大的情况下(数十亿级别)如何提高查询效率啊? 面试官心理分析 ...很多时候数据量大了,特别是有几亿条数据的时候,可能你会懵逼的发现,跑搜索怎么一下5~10s,坑爹了。第次搜索...
  • Spring data jpa 复杂动态查询方式总结

    万次阅读 多人点赞 2018-03-04 23:41:04
    但是如果公司用这就没办法了,可以学习一下,对于简单查询还是非常好用的.  首先JPA是Java持久层API,由Sun公司开发, 希望整合ORM技术,实现天下归一. 诞生的缘由是为了整合第三方ORM框架,建立种标准的...
  • 各种数据库查询前几条数据的方法

    万次阅读 2018-09-05 10:08:42
    sql在不同数据库查询前几条数据 关键字: sql 前几条结果  sql在不同数据库查询前几条数据  1. ORACLE   SELECT * FROM TABLE1 WHERE ROWNUM&lt;=N    select * from stu_info where rownum&lt;=10 ...
  • Hbase 行键设计(rowkey) 实现多条件查询

    万次阅读 热门讨论 2018-02-08 10:42:51
    2018最新编辑 本文写完的时间是2017年初写的,当时对HBASE的理解不深,随着一年多的学习...HBASE适合那种使用key-value模式的快速查询,多字段查询还是不适合它。 所以大家如果看本文的话,就全当是加深对hbase过...
  • SQL on Hadoop,hadoop查询性能优化

    千次阅读 2013-12-28 00:36:34
    对于一个工程师或者分析师来说,如何查询和分析TB/PB级别的数据是在大数据时代不 可回避的问题。SQL on Hadoop就成为了一个重要的工具。为什么非要把SQL放到Hadoop上? SQL易于使用;那为什么非得基于Hadoop呢?...
  • 搜索引擎的查询方法

    万次阅读 2010-11-18 22:03:00
    搜索引擎提供的信息查询功能非常丰富,甚至可以利用搜索引擎来实现... 1.1 基于关键词的基本查询方法 对于此类查询,一般用户通常只是使用一个到几个关键词来进行,实际效果往往也并不理想,究其原因,没有合理的掌握搜
  • 电商平台及ISV商家对物流api接口的需求有很多,今天我们主要分享的就是快递鸟快递单号查询接口的对接指南,快递单号查询接口对接的应用场景有很多,很多场景会遇到,最主要的就是电商网站用户打开“我的订单”时调用...
  • MongoDB与MySQL的插入、查询性能测试

    千次阅读 2017-06-20 17:43:40
    1.1 MongoDB的简单介绍 ...在当今的数据库市场上,...作为一个开源的关系型数据库,mysql被大量应用在各大网站后台中,承担着信息存储的重要作用。2009年,甲骨文公司(Oracle)收购Sun公司,MySQL成为oracle旗下
  • SQL数据库学习,常用语句查询大全

    万次阅读 多人点赞 2016-02-13 21:09:05
    SQL数据库的大全解析,包括简单查询和多表查询
  • SQL 查询集合

    千次阅读 2012-02-16 14:39:01
    SQL面试题 ... ()  1.写出条Sql语句:取出表A中第31到第40记录(SQLServer, 以自动增长的ID作为主键, 注意:ID可能不是连续的。) 解1:select top 10 * from A where id not in (select t
  • [转]MySQL查询优化技术讲座

    千次阅读 2006-08-01 16:11:00
    MySQL查询优化技术讲座 数据库管理系统实现了理论上的概念,但是这种在实际硬件设备上的实现受到了实际物理条件的约束。其结果是,查询需要花费一些时间--有时候需要很长的时间。本期专题的内容就是帮助你找到如何...
  • 测试管理中可能存在的问题及分析

    千次阅读 2019-01-02 12:30:00
    文中前两部分简要介绍了软件测试管理及测试的范围,方法及重要性,之后对当前国内中小型软件企业在测试及测试管理中可能存在的问题进 行了简单的介绍与分析,最后介绍了一些较好的解决方法。 1、软件测试及测试管理...
  • 干货:MySQL 索引原理及慢查询优化

    千次阅读 2016-07-03 15:32:05
    MySQL凭借着出色的性能、低廉的成本、丰富的资源,已经成为绝大多数互联网公司的首选关系型数据库。虽然性能出色,但所谓“好马配好鞍”,如何能够更好的使用它,已经成为开发工程师的必修课,我们经常会从职位描述...
  • 用Redis缓存来提升数据库查询性能

    千次阅读 2015-05-26 14:06:36
    一个关系型数据库进行调优以获得高查询性能可能会比较困难。如果对数据模型优化和对查询调优不起作用,DBA就可以使用缓存系统,比如Redis,它是一个可以提供内存和永久数据存储的键值数据存储系统。 由于Redis...
  • 、 现象:MAC地址飘移 关于mac地址飘移,在网上查找并总结后,归纳可能为以下七种情况: 1、可能存在环路; 2、可能VRRP、HSRP等协议不正常引起。比如设备主备频繁切换,导致交换机学习同一mac地址飘移; 3、...
  • 我们这次开发的软件系统一共包括了三部分:等级考试的报名系统、查询系统和管理系统。其中管理系统是另外两部分的总汇。我设计的这部分主要是查询系统,其中包含了超级管理员的查询、系管理员的查询和普通学生的...
  • neo4j - 查询效率的几种优化思路

    千次阅读 2019-07-18 09:38:57
    原 neo4j - 查询效率的几种优化思路 置顶 ...
  • MySQL索引原理及慢查询优化

    千次阅读 2015-06-06 20:51:35
    这是篇美团技术团队总结的关于MySQL索引原理及慢查询优化的文章,还是非常有参考价值的,文章虽长,请认真看。 MySQL凭借着出色的性能、低廉的成本、丰富的资源,已经成为绝大多数互联网公司的首选关系型数据库...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 53,184
精华内容 21,273
关键字:

怎样查询一个公司是否存在