zj209的专栏

建议读者更多关注书中介绍的基本理论及作者考虑问题的角度，而不是具体的渗透测试方法书中答案的中文版：http：//blog.sina.com.cn/s/blog_545eb7860101379s.htmlweb应用程序，是指通过使用web浏览器与web服务器进行通信，从而加以访问的应用程序希望读者掌握基本的核心web技术，如浏览器、web服务器和http根据实施全面攻击所需要完成的关

web应用程序采用的防御机制由以下几个核心因素构成：1、处理用户访问应用程序的数据与功能，防止用户获得未授权访问 2、处理用户对应用程序功能的输入，防止错误输入造成不良影响 3、防范攻击者，确保应用程序在成为直接攻击目标时能够正常运转，并采取适当的防御与攻击措施挫败攻击者 4、管理应用程序本身，帮助管理员监控其行为，配置其功能鉴于她们在解决核心安全问题过程中的所发挥的主要作用，一个典型的应用程

如今的万维网与早期的万维网已经完全不同，web上的大多数站点实际上是应用程序。他们更能强大，在服务器和浏览器之间进行双向信息传送。创建web应用程序的目的是执行可以在线完成的任何有用的功能如今，使用计算机浏览器访问的应用程序的功能越来越多地与使用智能手机或平板电脑访问的应用程序的功能重叠。大多数应用程序都通过浏览器或定制的客户端与服务器进行通信，这些浏览器或客户端大多使用基于http的AP

http请求使用3种主要方式向应用程序传送参数：1.通过url查询字符串2.通过rest风格的url的文件路径3.通过httpcookie4.通过在请求中使用post方法大量web应用程序漏洞在应用程序的设计，而不是实施阶段发生可能遇到的最常见的web应用程序平台和语言：1、java平台近几年来，java平台企业版（原j2ee）事实上已经成为大型企业所使用的标准应用

最近在搜我的用户名时发现，我在csdn上是文章出来了，关键词就是我的用户名，于是我就想到了以下几点：1、以热门词汇为用户名注册2、注册热门的社区和网站3、发表一些原创文章坚持更新和原创文章是seo的王道，当然配合一些其他技巧会更好的。（这些都是我的想象和理论，没有实践过，班门弄斧了）

url编码url只允许使用us-ascii字符集中的可打印字符（也就是ascii代码在0x20-0x7e范围内的字符）。而且，由于其在url方案或http协议内具有特殊含义，这个范围内的一些字符也不能用在url中url编码方案主要用于对扩展ascii字符集中的任何有问题的字符进行编码，使其可通过http安全传输。任何url编码的字符都以%为前缀，其后是这个字符的两位十六进制ascii代码。

推荐阅读：david gourley和brian totty合著的http：the definitive guide一书（o'reilly，2002）电子版在csdn上面就有http（hypertext transfer protocol超文本传输协议）是访问万维网使用的核心通信协议，也是今天所有web应用程序使用的通用协议。http使用一种基于信息的模型：客户端送出一条请求消息，而后由服