清泉逐流

做着努力,等待幸福到来
» 日志

Web安全之XSS

时间 : 2014-09-19 22:14 标签 : Web安全  

XSS 全称(Cross Site Scripting) 跨站脚本攻击, 是Web程序中最常见的漏洞。指攻击者在网页中嵌入客户端脚本(例如JavaScript), 当用户浏览此网页时,脚本就会在用户的浏览器上执行,从而达到攻击者的目的.  比如获取用户的Cookie,导航到恶意网站,携带木马等。

作为测试人员,需要了解XSS的原理,攻击场景,如何修复。 才能有效的防止XSS的发生。

XSS 是如何发生的呢

查看全文 »

网站服务器上传的文件不会立即更新?HTTP加速器

时间 : 2013-03-19 22:13 标签 : Web  

  近期用到国外的一个服务器,Linux,支持PHP等。当修改了一个文件并上传到网站上的时候,发现了一个很奇怪的现象,那就是执行的文件并不是和你新上传的文件一致,而是会滞后一小会儿。这让刚开始接触的我有点懊恼。

  后来问了他们的客服,原来服务器用到了一种技术,那就是:HTTP加速器。详细追问下,知道了他们原来用的是Varnish Cache,一款高性能的开源HTTP加速器。

  查询了一下,Varnish的作者是Poul-Henning Kamp,也是FreeBSD的内核开发者之一,大概翻译了一下官网的介绍。

  

  基本功能

  Varnish Cache是一个缓存HTTP反向代理Web应用加速器(reverse proxy server),可以再运行了HTTP的几期上配置。Varnish Cache非常之高效,通常会提升性能300-1000倍,具体还要依赖于你具体的体系结构。

  

  性能

  Varnish

查看全文 »

Google Analytics 初探

时间 : 2012-12-09 01:16 标签 : Web  Google  

  之前的一篇文章《Adblock屏蔽了主流网站访问统计JS代码》(原文地址:http://www.eamonning.com/blog.php?id=373)提到Adblock会影响网站的访问统计,介绍一下Google Analytics。

  Google Analytics是Google为网站提供的数据统计服务。可以对目标网站进行访问数据统计和分析,并提供多种参数供网站拥有者使用。其功能很强大,但是由于在天朝的原因,Google的很多产品使用都较为困难,但是有些时候,还是没有办法。

  Google Analytics的网址为http://www.google.com/analytics/,使用起来也比较简单,但是其中的很多功能还是需要细心发现。  配合了Chrome的一个插件“Daily Stats for Google Analytics”,可以很方便的查看网

查看全文 »

网上投票系统的防刷票解决方法汇总

时间 : 2011-10-31 00:48 标签 : 网络  Web  

  举办一次的网络评选,但是在都总会要考虑一下在评选过程中防止一切技术手段作弊。下面介绍一下一些网络投票放刷票的解决方案。

1.基于验证码

  多种验证码(图片验证码/中文变形验证码/语音验证码/手机短信验证码/图片拼接验证码/邮箱验证码,防止机器刷票),这样可以一定程度上防止刷票行为。

  但是这样虽然可能会阻止一些机器刷票行为,但是还是很难限制人为的一些刷票。

2.基于session

  一个用户一个会话当中,只能投票一次,这样就可以简单的作为防止刷票的行为。

  但是稍微了解网络的人就会明白,重新打开浏览器就会有不同的session,这样就很容易被渺视了。

3.基于cookies

查看全文 »

从几个web游戏中看到的问题

时间 : 2008-05-17 18:18 标签 : Web  

  百度上了游戏频道,一下把web游戏从边缘角色提升到了主角,玩了2款产品之后产生了一种感觉就是自主研发的web的游戏有可能会跟自主研发的大型网络游戏一样,一窝蜂的上MMO,如果这样,那太可悲了。

  网络游戏出现MMO风潮其实很好理解,这种游戏赚钱,而且有那么多成功产品,抄就可以了,但是web游戏本身就不是看操作的游戏,因此题材的选择首先就不应该选魔幻或者武侠文化的题材。其次,web游戏的玩家玩游戏的需求是什么呢?不是操作、画面这些,而是交互和自我实现,假设把《美少女梦工厂》做成web游戏,那么肯定会有很多女性玩家,然后男性玩家扮演这些美女成长中的一种角色,通过游戏系统实现了男女玩家的交互,这样才会形成web游戏与大型网络游戏的区隔,或者说web游戏强调一个点,比如战略,把这个点做的很精细,很透彻也能获得很好的效果。

  战略类游戏我觉得成长空间比较大的是《坦克博客》,题材有些创意,但更加有成长空间的是这个产品不是专业的游戏策划想的,是这个产品是基于玩家对于游戏的热爱策划的产品,按说在战略类游戏中的礼物应该是武器,但是《坦克博客》用的是鲜花,o(∩_∩)o…哈哈。所以我觉得这款产品具有非常好的原生气质。从产品本身的市场来看

查看全文 »
» 日志标签