本文目录一览:
SolrCloud怎么模糊查询
从两个方面对ElasticSearch和Solr进行对比,从关系型数据库中的导入速度和模糊查询的速度。
单机对比
1. Solr 发布了4.0-alpha,试了一下,发现需要自己修改schema,好处是它自带一个data importer。在自己的计算机上测试了一下,导入的性能大概是:14分钟导入 3092730 条记录,约合 3682条/秒。
2. 3百万条记录的情况下,模糊查询和排序基本都在1秒内返回
3. 刚才的测试,是每个field单独存储,现在修改了一下配置文件,增加了一个copyField,所有的field都拷贝一份到text这个field里面去,导入的性能大概是:19分钟导入了3092730 条记录,约合 2713条/秒
4. 3百万条记录的情况下,针对text的模糊查询基本在1秒内返回,但是针对所有记录的排序,大概要2~3秒
5. 使用 elasticsearch 0.19.8,缺省配置,用单任务导入,导入性能是:20分钟导入了3092730 条记录,约合2577条/秒
6. 3百万条记录的情况下,查询基本上在1秒内返回,但是模糊查询比较慢,第一次要10秒,后来大概要1~3秒。加上排序大概需要5秒,整体排序基本100ms
查询及排序的指令:
{
"query": {
"query_string": {
"query": "*999*"
}
},
"sort": [
{
"TIME_UP": {
"order": "asc"
}
}
]
}
7. Es0.19.8,用两个任务导入,导入性能是:13分钟导入了3092730 条记录,约合3965条/秒
8. Solr全部建好索引后,占用磁盘空间是1.2G,es占用磁盘空间是4G
单机对比2
在一台Intel i7,32G内存的机器上,重新跑这两个的对比。不过有个重大的区别在于,Solr是在这台性能很好的机器上跑,而es的导入进程则是在一台Intel 四核 2.5G,4G内存的机器上跑的,也许会有性能的差异。ES版本0.19.8,Solr版本4.0-ALPHA。
1. Solr的导入性能:3400万条记录,用时62分钟,平均9140条/秒,占用空间12.75G
2. 使用 *999* 这样的模糊查询,3秒以内返回,稍长一点的查询条件 *00100014*,也是2~3秒返回
3. Es的导入性能(设置Xmx为10G):3400万条记录,用时40分钟,平均14167条/秒,占用空间33.26G,客户端采用4个并发。
4. 使用 *999* 这样的模糊查询,9秒返回,稍长一点的查询条件 *00100014*,11.8秒返回
5. 如果不是针对所有字段查询,而是针对某个特定字段,比如 SAM_CODE: *00100014*,那么也是1秒以内返回。
6. 结论:es的查询效率也可以很高,只是我们还不会用。
7. 结论2:es有个设置是把所有字段放一块的那个,缺省是放一起,但是不知道为什么没起到应有的作用。
备注:
1. Solr第一次的那个内存使用的是缺省设置,这次改为10G,结果导入性能反而变差了,400万条记录,用了8分钟,平均8333条/秒,不知道为什么。
2. 改回缺省的内存配置,导入速度仍然慢。
3. 重启Linux,用10G的内存配置,再导入,5030万条记录,用时92分,约9112条/秒,说明导入速度和内存配置没有大差别
4. 在10G配置的情况下,检索速度也差别不大。
5. 为了搞清楚lucene4.0和solr4.0的进步有多大,下载了solr3.6.1,所幸的是4.0的配置文件在3.6.1上也可以用,所以很快就搭起来进行测试,导入性能为:3400万条记录,用时55分钟,约10303条/秒,占用空间13.85G。查询性能:*999*第一次11.6s,*00100014* 27.3s,相比4.0ALPHA的结果(5000万结果当中,*999*第一次2.6s,*00100014*第一次2.5s)来说,慢了很多,与es的性能差不多,因此,也许lucene4.0真的对性能有大幅提升?
集群对比:
采用4台同样配置(Intel i7,32G内存)的Centos 6.3组成的集群,进行对比。
1. 首先是es,很方便的就组成了一个Cluster,等上一个3400万条的Index全部均衡负载之后进行测试,导入到另外一个Index当中。
2. 导入性能:8500万条记录,用时72分钟,约为19676条/秒。在前5千万条记录导入时的速度在2万/条以上,初始的速度在2.2万/条。占用空间78.6G(由于有冗余,实际占用空间为157.2G)
3. 查询性能:
*999*第一次13.5秒,第二次19.5秒,第三次7.4秒,第四次7.1秒,第五次7.1秒
*00100014*第一次17.2秒,第二次16.6秒,第三次17.9秒,第四次16.7秒,第五次17.1秒
SAM_CODE:*999*,0.8s,1.3s,0.02s,0.02s,0.02s
SAM_CODE: *00100014*,0.1s,0.1s,0.02s,0.03s,0.05s
4. Solr4.0-ALPHA,SolrCloud的配置还算简单,启动一个ZooKeeper,然后其他三台机器访问这个地址,就可以组成一个Cloud:
机器1: nohup java -Xms10G -Xmx10G -Xss256k -Djetty.port=8983 -Dsolr.solr.home="./example-DIH/solr/" -Dbootstrap_confdir=./example-DIH/solr/db/conf/ -Dcollection.configName=xabconf3 -DzkRun -DnumShards=4 -jar start.jar
其他机器:nohup java -Xms10G -Xmx10G -Dsolr.solr.home="./example-DIH/solr/" -DzkHost=192.168.2.11:9983 -jar start.jar
但是在执行 data import 的时候,频繁出现 OutOfMemoryError: unable to create new native thread。查了很多资料,把Linux的ulimit当中的nproc改成10240,把Xss改成256K,都解决不了问题。暂时没有办法进行。
结论
1. 导入性能,es更强
2. 查询性能,solr 4.0最好,es与solr 3.6持平,可以乐观的认为,等es采用了lucene4之后,性能会有质的提升
3. Es采用SAM_CODE这样的查询性能很好,但是用_all性能就很差,而且差别非常大,因此,个人认为在目前的es情况下,仍然有性能提升的空间,只是现在还没找到方法。
什么是XSS攻击
什么是XSS攻击XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常忽略其危害性。而本文主要讲的是利用XSS得到目标服务器的shell。技术虽然是老技术,但是其思路希望对大家有帮助。 [编辑本段]如何寻找XSS漏洞就个人而言,我把XSS攻击分成两类,一类是来自内部的攻击,主要指的是利用程序自身的漏洞,构造跨站语句,如:dvbbs的showerror.asp存在的跨站漏洞。另一类则是来来自外部的攻击,主要指的自己构造XSS跨站漏洞网页或者寻找非目标机以外的有跨站漏洞的网页。如当我们要渗透一个站点,我们自己构造一个有跨站漏洞的网页,然后构造跨站语句,通过结合其它技术,如社会工程学等,欺骗目标服务器的管理员打开。
然后利用下面的技术得到一个shell. [编辑本段]如何利用传统的跨站利用方式一般都是攻击者先构造一个跨站网页,然后在另一空间里放一个收集cookie的页面,接着结合其它技术让用户打开跨站页面以盗取用户的cookie,以便进一步的攻击。个人认为这种方式太过于落后,对于弊端大家可能都知道,因为即便你收集到了cookie你也未必能进一步渗透进去,多数的cookie里面的密码都是经过加密的,如果想要cookie欺骗的话,同样也要受到其它的条件的限约。而本文提出的另一种思路,则从一定程度上解决上述的问题。对于个人而言,比较成熟的方法是通过跨站构造一个表单,表单的内容则为利用程序的备份功能或者加管理员等功能得到一个高权限。下面我将详细的介绍这种技术。 [编辑本段]来自内部的跨站攻击寻找跨站漏洞
如果有代码的话比较好办,我们主要看代码里对用户输入的地方和变量有没有做长度和对”〈”,”〉”,”;”,”’”等字符是否做过滤。还有要注意的是对于标签的闭合,像测试QQ群跨站漏洞的时候,你在标题处输入〈script〉alert(‘test’)〈/script〉,代码是不会被执行的,因为在源代码里,有其它的标签未闭合,如少了一个〈/script〉,这个时候,你只要闭合一个〈/script〉,代码就会执行,如:你在标题处输入〈/script〉〈script〉alert(‘test’)〈/script〉,这样就可以弹出一个test的框。
如何利用
我先以BBSXP为例,过程已做成动画,详情可见光盘中的动画。我举BBSXP中其中两个比较好用的跨站漏洞点为例.
a.先注册一个普通用户,我这里注册的用户是linzi.然后我们在个人签名里写入:
c.然后发个贴子,可以结合其它技术欺骗管理员浏览发的贴子。
d.因为是测试,所以我们以管理员身份登陆,然后打开贴子,我们会发现,linzi已经变成了社区区长工,如图一所示
除此之外我们只要在个人签名里输入
同样发个贴子等,只要管理员打开了,就会加了一个扩展名为asp (有空格)的上传扩展,这个时候,你只要上传一个newmm.asp (有空格)就可以得到一个shell.
上面的攻击多多少少有点局限性,虽然可以得到shell,但是隐蔽性不太好,因为签名
处受到了长度的限制,不能超过255个字符。我们可以结合flash跨站实现更为隐蔽的
攻击,对于flash木马的制作,下面见哥们丰初的介绍。
再利用如下:
修改一下个人头像的url,输入代码如下:
再接着欺骗管理员打开你的资料或者浏览你的贴子,当管理员打开后,会在后台自动加个php扩展名的后辍,因为bbsxp在个人头像url里过滤了空格,%,所以我们只能加个不包括空格的其它扩展,当然你也可以加个shtml的扩展,有了它你就可以用来查看源代码,然后进一步攻击。 [编辑本段]来自外部的跨站攻击有的时候,当我们对于目标程序找不到可以利用的跨站点,这个时候我们可以利用可以从外部入手,利用我们要拿下的是它的论坛,论坛的安全性做的很好,但其留言板却存在跨站漏洞,这个时候我们可以在留言板里写入跨站语句,跨站语句为以表单的方式向论坛提交提升权限的语句,如上面的bbsxp加asp 扩展的语句。当然我们可利用后台的备份功能直接得到一个shell。
例:先上传一个文件linzi.txt,内容如下:
〈body onload="javascript:document.forms[0].submit()"〉〈form
action=" " method="post"〉〈input value="database/bbsxp.mdb" name="yl" 〉〈input value="database/shit.asp" name="bf" 〉〈/body〉〈/html〉
上面的代码是把论坛的数据库备份为shit.asp,留言板存在跨站点如下:
我们构造备份跨站语句如下:
或者构造跨站语句,利用iframe打开一个0大小的linzi.txt。
当管理员打开后,会自动备份得到一个shell. [编辑本段]XSS与其它技术的结合从上面的实例,我们可以知道,如何欺骗管理打开是一个很重要的步骤,对于欺骗打开,除了社会工程学外,我们可以结合其它的技术,如sql injection.当我们渗透一个网站之时,主站mssql注入漏洞,权限为public,这个时候我们利用update构造跨站语句,如用iframe打开一个上面的备份得到shell的跨站语句等,同样,我们可以在社会工程学时,利用QQ的其它跨站漏洞等等。
总是对于欺骗也是一门艺术,具体怎么利用,大家就发挥自己的想象力吧!
好一个欺骗也是一门艺术,不管是在生活中还是在网络中。生活中难免有些事情不能讲真话,这时采用适当的方法使得我们的假话当作真话讲,这就靠欺骗的艺术了。
小沈阳的资料
[编辑本段]个人信息
艺名:小沈阳
原名:沈鹤
曾用名:沈阳
花名:阳仔
英文名:XIAO Shenyang(小sun样儿)
性别:男
出生年月:1981年5月7日(阴历四月初四)
星座:金牛座
年龄:28岁
生肖:鸡
籍贯:辽宁省 铁岭市 开原市
妻子和子女:沈春阳(即小沈阳的搭档,25岁)有一女儿(4岁)
身高:174cm左右
体重:约60公斤
职业:艺术家/演员
血型:AB型
毕业学校:辽宁省开原市上肥地乡代庄小学
人生格言:走别人的路,让别人无路可走
座右铭:
不要只想要,付出不能少。 不要急着要,一定要戒躁。
不要求回报,该到自然到。 不要急得到,心静便无恼。
说话要想好,办事要公道。 说到要做到,不要瞎编造。
做人要地道,才能步步高。 走就走正道,好人有好报。
体型:很好
星座:金牛座
性格:浪漫迷人、成熟稳重、风趣幽默、活泼可爱、开朗大方、感情专一、善解人意、诚实坦白
口头禅:为什么呢? 啪啪的!……hang~ 哎呀我的妈呀
偶像:成吉思汗
喜欢的活动:民间艺术、唱K、看电影、游戏对战
喜欢的食物:素食
喜欢的歌星:孙楠 刀郎 (赵本山说“屎壳郎”)许巍
喜欢的电影:冯小刚拍摄的电影
个人介绍:山不转水转,水不转人转,风风火火二人转,转不出的缘里缘外,转不完的缘系缘牵,我就是“为戏痴迷 为歌疯狂”小沈阳是也。
师父:赵本山
所从事的行业:影视/娱乐/体育
嗜好:吸烟、喝酒
[编辑本段]生平简介
小沈阳,深受广大二人转爱好者的欢迎。
他男扮女装的另类二人转表演在刘老根大舞台引起了不小的轰动。
沈鹤出生于开原市一个贫苦的农民家庭,艰苦的家庭条件并没有阻挡他对艺术的向往,反而成为了他受益终身的财富。上学期间他就积极参加学校、县里组织的各项文艺活动,老师常表扬有超众的艺术天分。
高中毕业以后,进入铁岭县艺术团学习二人转表演。老师系统的教导、良好的艺术天赋再加上自身的不断努力为他的演艺生涯打下了坚实的基础。在铁岭县艺术团期间,他积极地参加下乡演出,在田间地头与观众面对面的交流使他深刻地感受到老百姓对二人转的喜爱,也更加坚定了他将二人转艺术作为一生的追求。
2000年他进入吉林林越艺术团,扎实的基本功、诙谐的表演方式使其深受观众的欢迎和好评,观众的认可无疑是他最大的动力,促使他以更高的艺术标准来要求自己。2001年,参加第一届“本山杯”二人转大赛获得了铜奖,对于一个学习二人转只有4年的新人来说,这个奖项是对他多年来的付出的一个肯定。
19岁时和老婆沈春阳恋爱,当时把自己的经济交给夫人管理,虽然钱包里每次不超过100,一次演出的出场费也才40、50元。但是对于老婆的爱一尘不变。
2006年阴历八月十五,他正式成为赵本山的弟子,开始系统的学习二人转。通过老师的悉心指导工作和自身的刻苦努力,在艺术的道路上有了质的飞跃,辽宁民间艺术团的广阔平台也给了他充分展示自己的机会。
他在以“刘老根大舞台”为基地的舞台上辛勤耕耘,为弘扬绿色二人转贡献出了自己的力量。 在2008年春节晚会筹备期间,就有小沈阳登台演出的消息广泛传播。虽然当年没有登上08春晚舞台,但网络上小沈阳演出视频非常火爆。在《乡村爱情》1、2中也有角色扮演,深受大家喜欢。
随后在2009年中央电视台春节联欢晚会中与师傅赵本山搭档演出小品后,受到更多人的喜爱。
[编辑本段]拜师经历
小沈阳在哈尔滨唱二人转那会儿,就跟现在的师兄弟都认识了,他们经常跟赵本山提起小沈阳,说他唱得不错。2006年5月的一个夜里,小沈阳接到一个电话,那人一直不出声,就是呵呵地在电话里笑。小沈阳有点不敢相信,冒昧问“哎呀妈呀,难道是赵老师?”对方一句“怎么地?”小沈阳蒙了,激动得有些“麻爪”。当时赵老师说,“听说你唱得挺好,就来沈阳发展吧!”。
可拜师也不那么容易,赵本山亲自在当时的铁西和平影剧院给小沈阳考试。考试通过后,2006年的中秋节,小沈阳正式拜师,拜师时,师父跟小沈阳说的唯一的一句话就是,“好好干,犯错误收拾你”。
[编辑本段]电视剧作品
《乡村爱情Ⅱ》扮演齐三太镇长夫人的侄子王天来。
《关东大先生》中扮演“小奉天”。
[编辑本段]从艺经历
2009春晚小品《不差钱》小沈阳剧照1995年至1998年在铁岭学习二人转表演
1999年正式演出
2000年参加首届本山杯二人转大赛 获铜奖
2006年参加刘老根大舞台二人转大赛 获季冠军
2006年阴历八月十五被赵本山收为徒弟,他男扮女装的另类二人转表演在刘老根大舞台引起了不小的轰动。
2007年12月初次登陆央视舞台,在电视剧群英汇晚会中表演了《我要当明星》片段,获得满堂彩。
2008年1月有机会参加央视春晚的审查,送选节目《我要当明星》,惟妙惟肖地模仿了刀郎、刘德华、张雨生、阿杜、阿宝的演唱,震惊四座。最终被评价为与春晚主题不够相符未能与全国人民在大年夜开心笑一回。
2008年2月20日再次应央视春晚导演邀请参加元宵晚会的录制,表演《我要当明星》,再次震惊四座,但在2月21日正式播放时因节目时间过长未播出。
2009年1月24日终于参选春节联欢晚会,和老师赵本山同台表演小品《不差钱》,获得全国观众高声叫好,从而一炮走红,身价从2006年的500元瞬间飙升至30—50万元。
2009年1月25日参加北京电视台春节联欢晚会,表演小品《超级大明星》,表演的惟妙惟肖。小沈阳北京春晚
[编辑本段]小沈阳作品集合
搞笑类:
“烤肉串”+早期作品大全:
北票演出:
中国足球:
东方斯卡拉:
大话西游:
公安部慰问演出:
刘老根大舞台:
刘老根大舞台冠军:
天津电视台:
元宵未播出:
笑动2008 :
参加春晚审查:
辽宁台小品求婚:
与赵本山合演小品《不差钱》
搞笑秀:
笑话上坟:
和四舅妈:
笑在新春:
不差钱:;ct=301989888rn=20pn=0db=0s=0ty=10
唱歌类:
把泪擦干
回家真好:
囚歌 :
小沈阳练习:
模仿刀郎:
模仿张宇:
模仿冰雨:
后台排练:
春晚彩排:
搞笑唱歌:
千里之外:
访谈类:
小沈阳给天健网友拜年 :
元宵被毙:
辽宁晚报采访:
唱二人转被哄下场:
春晚“被毙”感受:
谈赵本山收徒标准:
赞东北:
星播客拜年:
正戏类:
闪闪的红星:
正戏:
小帽《双回门》:
江南寡妇:
刘三姐上寿:
包公铡侄:
汉琦杀庙:
包公断太公:
电视剧类:
乡村爱情2小沈阳演出片段集锦:
乡村爱情2(完整版41集全):
乡村爱情2首映演唱:
其他类:
电子相册: 1、分解板:地址:
2、完整版+动画版:
3、至尊玉动画版:
4、小沈阳写真 (完整版+漫画版).mp4
小沈阳“五一乐翻天”电子相册:
[编辑本段]个人博客
小沈阳官方网站 沈采飞阳(歌迷网)
[编辑本段]经典台词
1 这是为什么呢
2 走别人的路,让别人无路可走
3 我太有才了,上辈子我是裁缝
4 都说我长得寒碜,不过我妈挺稀罕我,我妈说小时候带我去公园,老多人围着问 我妈, “大姐,你家这猴搁哪买的?” 现在我都长开了。
5 出名了仍要慢慢发展看看我穿的这身衣服,啥,你说我这大红配大绿不好看,别瞧不起人,我的衣服都是从专卖店买的。
6 我在商场逛,随便问一个服务员,你卖这衣服多少钱?她说,180元。我说,30元卖不?她说卖,然后就让我交钱,我说,我不买,就是随便溜达。
7 太阳出来东方亮 山炮啥样我啥样
8 多喜庆啊
9 ——我看你长得好年轻哦 这化妆品好厉害哦 眼瞅着都六十的人了 谁能看出来了
——谁六十啊 人家一朵花没开呢
——是啊 仙人掌嘛 六十年一开花
10 pia pia 我就溜达,我可顽皮了呢!!
11 眼睛一闭一睁一天儿过去了hou~,眼睛一闭不睁,一辈子过去了hou!
12 我到家了,你们还追啊!!
13 不用拍,到我的班就是休息!
14 我看谁没鼓掌,半夜趴你家窗户~~
15 我的中文名叫小沈阳,我的英文名叫xiao shen yang ~~~~~!
16 老妹儿,你能抓着我啊~~
17 咿~~穿跑偏了,哎呀妈呀,我说走道咋没有裆nia。
18 我是有身份的人,什么是有身份的人呢?就是有身份证的人就是有身份的人!
19 太阳出来照大地!欢迎大伙来看戏
20 诶呀妈呀,我可稀罕我这个小包了。320……打完折15
21 我自己能做到的事,从来不麻烦别人
22 我走死你~~~~
23 观众朋友们吖~~他们都说我长地像变态~!告诉你们,其实我可正常咧~!!!!
24 放你个五彩玲珑月光电缆屁!
25 趴趴地就溜达,谁叫我也不回头。
26 到我班儿了嚎,大伙儿不用老鼓掌.你们的手腕子一疼.我的心都疼.
27 你瞎啊!!!我这是棉花套只!!!!
28 哎呀我说别人跑你不跑是吧...你藐视我是吧! 我说你咋不蹽呐~~我来啦....
29 来哥啊?我小唐,恩那~到女儿国了~老狠了~扇嘴巴子~
想开心看二人转,想闹心就看一下足球,想往死了闹心就看一下中国足球
30 人不可貌相`海水不可瓢崴
31 给朋友们来个另类点的 台湾著名歌星陈水扁的歌送给大家
美国著名摇滚电视剧连续剧水浒传的主题歌护花使者的片头曲刀郎的情人献给大家
32 朋友们呐.他们都说柞瞅我长的磕碜.其实我一点也不磕碜.不信你细瞅.......还赶不上柞瞅呢哈
33 我不是名人 就是一人名
34 这跟头 我练七八年~
35 -玉帝哥哥
-爱 八戒
-玉帝哥哥你是从哪里来啊!
-伊拉克!
-太他妈远了吧~
-远了,那平房!
-没打着 没打着 你妈屁股长白毛!
-我要的是真经
-你妈的我这也不是水货啊!
36 就那伊拉克 你说国家都快黄了
37 -你瞅你长这么难看还出来溜达,在家呆着呗
-就光看你 都撞树上了
38 感谢你们鸦雀无声~
39 我虽然不是名人朋友们,但是像我们周边这些国家,像马来西亚、泰国、越南、新加坡,还有俄罗斯哈----------------我都没去过~
40 别看我长得变态 其实我老有才了
41 这种感觉就是上气不接下气 ...啊吗...上就要短气
42 阿姨阿姨夫你们好~
43(模仿阿杜)你听见了么? 呃~我还没唱呢~
44 老妹你别害怕 我是人 不是鬼阿~
45 呸 臭不要脸的~
46 我给你讲我就穿我这身休闲~
47 你说我是男是女袄 这个问题给我也整矛盾了~
48 奶奶 你真不去袄 那太好了 ~
49 奶奶 我不是玩意
50 哥,你回来了?sit down please!
51太阳出来照大地!欢迎大伙来看戏!要问我是哪一个,人送外号小巩俐!
52 矿泉水喽~茶蛋香肠烤鱼片儿喽~
53 小沈阳说他做飞机空姐就这么喊
54 就是,有一种大海地感觉呢。。。
55 亩嘛呀(这个读法读起来真像,感谢发明者),吃饭还能伤银呐?
56 Q7地,开不起我还背不起么!
57 你咋害不撩尼?你藐视我是不?我来了。。。
58 姐,姐你猜我这小包夺钱你猜,320你信不,打完则15,嗯,老便宜了。
59 哥啊 你就是我亲爹
60 出来吧四舅妈 ,那我叫你啥呢老婶 !
61 就溜达piapia地,谁招我我也不回头,就溜达。
62 老妹儿你能抓住我呀!
63 老妹年啥时候来的啊,咋不给我打电话呢?
64 孩子,你先睡吧。谁把我名抠错了我出来改改”
66 哎呀我去,这不老萨吗,这不兰奇吗
67 ——哎呀嘛哥,你是不是唱二人转那小子,你叫小沈阳啊?
——是怎么地?
——哎呀妈呀,你瞅你长得哈,有一种大海的感觉呢
——小妹儿你是不是喜欢我呢,是不是爱上我了呢?
——哥吖,你别误会,我晕船,我一看到大海吧,我就想吐。
68 什么姑娘,人家是纯爷们
69 人生最痛苦的事情是,人死了,钱没花了~~~~~!
70 毕老师,你给我照个相呗~~
71 有,还是没有啊?
72 哎呀妈呀
73 你是?白岩松?不对!朱军?!等等我想想
老毕!哎呀妈呀!你是毕老师不?
妈呀你咋出来了哪?来人啊!毕老师跑出来了!来人啊~别一会儿跑了~
74 四舅妈:就我最欣赏你咧~你长得太创意了~跟车祸现场似的~~这半辈子就含着眼泪过die~下辈子我一定要找一个骑着白马的王子。
小沈阳:骑着白马的不一定是王子,唐僧有时也骑白马。
四舅妈:唐僧也比你强。
小沈阳:是,能过就过,不能过就吃肉~还能长生不老、。
75 老毕:你多大啦?~
小沈阳:免贵28.
76 哎呀妈呀 老牛B了
77.你说这玩意儿整的~
78,这个..真没有..
79我的搭档并不好看,跟别的女孩不同,因为他是混血儿,他妈是沈阳的,他爸是天津的~
xss注入漏洞产生的原因?xss注入过程步骤是什么?防范xss注入的方法有哪些
对于的用户输入中出现XSS漏洞的问题,主要是由于开发人员对XSS了解不足,安全的意识不够造成的。现在让我们来普及一下XSS的一些常识,以后在开发的时候,每当有用户输入的内容时,都要加倍小心。请记住两条原则:过滤输入和转义输出。
一、什么是XSS
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意的特殊目的。XSS属于被动式的攻击,因为其被动且不好利用,所以许多人常呼略其危害性。
在WEB2.0时代,强调的是互动,使得用户输入信息的机会大增,在这个情况下,我们作为开发者,在开发的时候,要提高警惕。
二、XSS攻击的主要途径
XSS攻击方法只是利用HTML的属性,作各种的尝试,找出注入的方法。现在对三种主要方式进行分析。
第一种:对普通的用户输入,页面原样内容输出。
打开(限公司IP),输 入:scriptalert(‘xss’)/script, JS脚本顺利执行。当攻击者找到这种方法后,就可以传播这种链接格式的链接 ()如:http: //go.ent.163.com/goproducttest/test.jsp?key=scriptalert(‘xss’) lt;/script,并对JSCODE做适当伪装,如:
%74%3e%61%6c%65%72%74%28%27%78%73%73%27%29%3c%2f%73%63%72%69%70%74%3e,当其 它用户当点此链接的时候,JS就运行了,造成的后果会很严重,如跳去一个有木马的页面、取得登陆用户的COOKIE等。
第二种:在代码区里有用户输入的内容
原则就是,代码区中,绝对不应含有用户输入的东西。
第三种:允许用户输入HTML标签的页面。
用户可以提交一些自定义的HTML代码,这种情况是最危险的。因为,IE浏览器默认采用的是UNICODE编码,HTML编码可以用ASCII方式来写,又可以使用”/”连接16进制字符串来写,使得过滤变得异常复杂,如下面的四个例子,都可以在IE中运行。
1,直接使用JS脚本。
img src=”javascript:alert(‘xss’)” /
2,对JS脚本进行转码。
img src=”javascript:alert(‘xss’)” /
3,利用标签的触发条件插入代码并进行转码。
img onerror=”alert(‘xss’)” /
4,使用16进制来写(可以在傲游中运行)
img STYLE=”background-image: /75/72/6c/28/6a/61/76/61/73/63/72/69/70/74/3a/61/6c/65/72/74/28/27/58/53/53/27/29/29″
以上写法等于img STYLE=”background-image: url(javascript:alert(‘XSS’))”
三、XSS攻击解决办法
请记住两条原则:过滤输入和转义输出。
具体执行的方式有以下几点:
第一、在输入方面对所有用户提交内容进行可靠的输入验证,提交内容包括URL、查询关键字、http头、post数据等
第二、在输出方面,在用户输内容中使用XMP标签。标签内的内容不会解释,直接显示。
第三、严格执行字符输入字数控制。
四、在脚本执行区中,应绝无用户输入。