往数据库插入时间
可以先从Web安全入口,难度相对较低。
学习Web安全需要掌握Web安全相关概念、渗透测试相关工具、渗透实战操作、熟悉Windows/Kali Linux、中间件和服务器的安全配置、脚本编程学习、源码审计与漏洞分析、安全体系设计与开发等等。
简单做一个学习规划:
第一步:Web安全相关概念
建议学习时间:2周
学习内容如下:
1、熟悉基本概念(SQL注入、上传、XSS、CSRF、一句话木马等)。
2、通过关键字(SQL注入、上传、XSS、CSRF、一句话木马等)进行Google。
3、阅读《Web安全深度剖析》,作为入门学习还是可以的。
4、看一些渗透笔记/视频,了解渗透实战的整个过程,可以Google(渗透笔记、渗透过程、入侵过程等)。
第二步:熟悉渗透相关工具
建议学习时间:3周
学习内容如下:
1、熟悉AWVS、Sqlmap、Burpsuite、Nessus、China chopper 、Nmap、Appscan等相关工具的使用。
2、了解该类工具的用途和使用场景。
3、下载无后门版的这些软件进行安装。
4、学习并进行使用,具体教材可以在网上搜索,例如:Burpsuite的教程、Sqlmap。
5、常用的这几个软件都学会后,可以安装音速启动做一个渗透工具箱
第三步:渗透实战操作
建议学习时间:5周
学习内容如下:
1、掌握渗透的整个阶段并能够独立渗透小型站点。
2、网上找渗透视频看并思考其中的思路和原理,关键字(渗透、SQL注入视频、文件上传入侵、数据库备份、Dedecms漏洞利用等等)。
3、自己找站点/搭建测试环境进行测试,记住请隐藏好你自己。
4、思考渗透主要分为几个阶段,每个阶段需要做哪些工作,例如这个:PTES渗透测试执行标准。
5、研究SQL注入的种类、注入原理、手动注入技巧。
6、研究文件上传的原理,如何进行截断、解析漏洞利用等,参照:上传攻击框架。
7、研究XSS形成的原理和种类,具体学习方法可以Google。
8、研究Windows/Linux提权的方法和具体使用,可以参考:提权。
9、可以参考: 开源渗透测试脆弱系统。
第四步:关注安全圈动态
建议学习时间:1周
学习内容如下:
1、关注安全圈的最新漏洞、安全事件与技术文章。
2、浏览每日的安全技术文章/事件。
3、通过微博、微信关注安全圈的从业人员(遇到大牛的关注或者好友果断关注),天天抽时间刷一下。
4、通过feedly/鲜果订阅国内外安全技术博客(不要仅限于国内,平时多注意积累)。
5、养成习惯,每天主动提交安全技术文章链接到i春秋社区进行积淀。
6、多关注下最新漏洞列表,可以看看春秋 云境com,遇到公开的漏洞都去实践下。
7、关注国内国际上的安全会议的议题或者录像。
8、加入技术交流群,与群内大佬们讨教一些经验和技巧。
第五步:熟悉Windows/Kali Linux
建议学习时间:3周
学习内容如下:
1、学习Windows/Kali Linux基本命令、常用工具。
2、熟悉Windows下的常用的cmd命令,例如:ipconfig,nslookup,tracert,net,tasklist,taskkill等。
3、熟悉Linux下的常用命令,例如:ifconfig,ls,cp,mv,vi,wget,service,sudo等。
4、熟悉Kali Linux系统下的常用工具,可以参考《Web Penetration Testing with Kali Linux》、《Hacking with Kali》等。
5、熟悉metasploit工具,可以参考《Metasploit渗透测试指南》。
第六步:中间件和服务器的安全配置
建议学习时间:3周
学习内容如下:
1、学习服务器环境配置,并能通过思考发现配置存在的安全问题。
2、Windows server2012环境下的IIS配置,特别注意配置安全和运行权限。
3、Linux环境下的LAMP的安全配置,主要考虑运行权限、跨目录、文件夹权限等。
4、远程系统加固,限制用户名和口令登陆,通过iptables限制端口;配置软件Waf加强系统安全,在服务器配置mod_security等系统。
5、通过Nessus软件对配置环境进行安全检测,发现未知安全威胁。
第七步:脚本编程学习
建议学习时间:4周
学习内容如下:
1、选择脚本语言:Perl/Python/PHP/Go/Java中的一种,对常用库进行编程学习。
2、搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime。
3、Python编程学习,学习内容包含:语法、正则、文件、网络、多线程等常用库,推荐《Python核心编程》。
4、用Python编写漏洞的exp,然后写一个简单的网络爬虫。
5、PHP基本语法学习并书写一个简单的博客系统,参见《PHP与MySQL程序设计(第4版)》、视频。
6、熟悉MVC架构,并试着学习一个PHP框架或者Python框架(可选)。
7、了解Bootstrap的布局或者CSS。
第八步:源码审计与漏洞分析
建议学习时间:3周
学习内容如下:
1、能独立分析脚本源码程序并发现安全问题。
2、熟悉源码审计的动态和静态方法,并知道如何去分析程序。
3、了解Web漏洞的形成原因,然后通过关键字进行查找分析。
4、研究Web漏洞形成原理和如何从源码层面避免该类漏洞,并整理成checklist。
学习地址:i春秋官网(企安殿)
第九步:安全体系设计与开发
建议学习时间:5周
学习内容如下:
1、能建立自己的安全体系,并能提出一些安全建议或者系统架构。
2、开发一些实用的安全小工具并开源,体现个人实力。
3、建立自己的安全体系,对公司安全有自己的一些认识和见解。
4、提出或者加入大型安全系统的架构或者开发。
档案工作,有狭义解释和广义解释之分。从狭义上说,档案工作是指管理档案和提供档案信息为各项社会实践服务的一项专门业务。从广义上说,包括档案事业管理工作、档案室工作、档案馆工作、档案专业教育、档案科学技术研究、档案宣传出版、档案国际交往活动等。
(1)档案的收集。是档案室和档案馆接收和征集档案的总称。包括档案室对本单位归档案卷的接收,档案馆对现行机关或撤销机关移交档案的接收、对社会人士捐赠档案的接收、对分散在社会上的珍贵档案的征集。档案收集的任务,是解决档案分散状况与保管、利用档案要求合理集中的矛盾,只有“化分散为集中”,才便于保管和利用。
(2)档案的整理。是将零散文件分门别类地组成档案有机体的一项工作。包括分类、立卷、卷内文件排列、案卷封面的编制、案卷的排列、案卷目录的编制等一系列工作程序。档案整理的任务,是解决档案零散状态与保管、利用档案要求系统化的矛盾,只有“化零散为系统”,使档案由无序状态转化为有序状态,才便于保管和利用。
(3)档案的鉴定。指档案保存价值的鉴定,是鉴别档案价值的大小、确定档案保管期限、决定档案保存与销毁的一项工作。档案鉴定的任务,是解决档案的量大质杂与保管、利用档案要求优质化的矛盾,只有“化质杂为优质”,淘汰档案中的无用部分,存留其有用部分,才便于保管利用。
(4)档案的保管。是保护档案的安全、延长档案寿命的一项工作。包括档案保护技术工作和库房管理工作。档案保管的任务,是解决档案的易损性与社会要求长远保管和利用档案的矛盾,只有最大限度地增长档案原件的寿命,或者通过缩微复制保护档案信息,使之久传,才能保证社会长远利用。
(5)档案的编目。又称档案检索。是对档案内容和形式进行分析、选择、浓缩和记录,并按照一定次序编排成为各种目录的工作过程。包括馆藏目录、检索性目录和介绍性目录的编制。编目工作的任务,是解决档案数量庞大、内容复杂和利用者对档案信息特定需求之间的矛盾。各种档案目录可帮助利用者了解馆藏档案的内容和成分,检索到所需要的档案信息,也用于档案馆(室)的档案管理。
(6)档案的编研。指档案馆(室)的编辑与研究工作。包括编辑档案文献汇编、编写综合参考资料以及参加编史修志等。其主要任务是:按照一定的选题,将重要的档案编辑成为文献出版物,如档案史料汇编或丛编,重要文件汇编或政策法令汇编,以及科学技术资料汇编等;或者将档案信息浓缩化、系统化、编成大事记、组织沿革、基础数字汇编、专题概要等,便于不同利用对象的利用。
(7)档案的提供利用。亦称档案信息的输出。是通过多种信息传输渠道和媒介,将档案信息传递给利用者的工作过程。它是档案工作为各项社会实践服务的直接体现,它把档案的作用由可能性变成现实性,通过它可以把档案工作搞活,把档案这种“死材料”变成“活材料”,在各项社会实践中发挥作用。
(8)档案的统计。它以表格数字形式全面地反映档案、档案工作和档案事业状况。包括档案的收进、移出、整理、鉴定、保管、利用情况,以及档案机构、人员、经费、设备的登记和统计。档案统计是取得反馈信息、对档案工作进行监督的重要手段之一,是档案部门了解情况、总结经验、进行决策、制订计划的依据。
一般有两种访问:方法一:$sql="INSERT INTO `test` (`id`,`content`,`datetime`)values(NULL,'hello',now())"; $query=mysql_query($sql); //执行sql语句//这种方法,你datetime字段要设计成date类型,now() 是mysql数据库提供的一个获取当前时间函数方法二:$sql="INSERT INTO `test` (`id`,`content`,`datetime`)values(NULL,'hello',"time()")"; $query=mysql_query($sql); //执行sql语句//这种方法:datetime字段设计成int(10)类型。time()是php提供获取时间戳的函数。推荐使用方法二,因为这种方式,一排序速度快,二方便转换时间区。主流的开源程序都有采用这方式。像discuz phpwind dedecms等等。
模板前端后端都正常,但自己的模板提交后显示不正常,原因:
自定义表单,增加字段、减少字段、更改字段,表单验证都会发生变化,在确认更改后,回到模板提交页面,右键原代码,下面两处会发生变化(举例),你自己的模板页面随着要进行更改,否则就会出现此错误。
<input type="hidden" name="dede_fields"
value="xingming,text;dianhua,text;youxiang,text;liuyan,multitext;gongsi,text;nativeplace,text;tzed,select;hfsj,radio;shijian,text" />
<input type="hidden" name="dede_fieldshash" value="dde4685d746ba7b46a435b5292aa882a" />
一般有两种访问:
方法一:
$sql="INSERT INTO `test` (`id`,`content`,`datetime`)values(NULL,'hello',now())";
$query=mysql_query($sql); //执行sql语句
//这种方法,你datetime字段要设计成date类型,now() 是mysql数据库提供的一个获取当前时间函数
方法二:
$sql="INSERT INTO `test` (`id`,`content`,`datetime`)values(NULL,'hello',"time()")";
$query=mysql_query($sql); //执行sql语句
//这种方法:datetime字段设计成int(10)类型。time()是php提供获取时间戳的函数。
推荐使用方法二,因为这种方式,一排序速度快,二方便转换时间区。主流的开源程序都有采用这方式。像discuz phpwind dedecms等等。
{dede:arclist titlelen=42 row=5 pagesize='20' channelid='1' addfields='worktime1'}
<tr>
<th><a href="[field:arcurl/]">
<p>[field:worktime1 function="MyDate('Y-m-d',@me)"/]</p></a>
</th>
</tr>
{/dede:arclist}
0条评论