问答中心

C#结合数据库开发通讯录管理系统 通讯录管理系统，数据库关系模式为:账户(账户名,登录密码,头像)，联系人(ID,姓名,电话,QQ,Email)。主要功能包括：注册，登录，注销账号，修改账户名以及密码，更换头像，以及对联系人的增删改查。 工具：Visual Studio 2015,sql server2014 数据库关系表： Account: Contact: http://images2015.cnblogs.com/blog/865264/201605/865264-20160505225400419-2140861622.png http://images2015.cnblogs.com/blog/865264/201605/865264-20160505225848888-896174822.png VS中主要界面及代码： 登录主界面：Login http://images2015.cnblogs.com/blog/865264/201605/8652…

华为鸿蒙系统发布！兼容Linux和安卓，手机应用迁移鸿蒙只需1-2天 在今天下午举行的2019华为开发者大会上，华为余承东宣布推出Harmony OS鸿蒙。这是一款基于微内核的全场景分布式OS。 华为消费者业务CEO、华为技术有限公司常务董事余承东以《全场景时代新体验与新生态》为题发表演讲，正式发布自有操作系统：鸿蒙。 1.鸿蒙的特性：分布式架构、微内核、流畅、安全、开源 鸿蒙OS能够带来终端之间实现能力互相共享，带来最佳的协同体验。鸿蒙OS基于分布架构，天生流畅，内核安全，生态共享。 安卓有超过1亿行代码，内核就超过2000万行，但一般用户用到的代码不到8%，整体比较冗余，在IoT时代这既没必要也不需要。由此华为提出了“微内核”的概念，也是鸿蒙OS的特点之一。区别于“宏内核”，微内核采用同一套操作平台，针对不同硬件能力的产品进行部署，并采用分布式架构，提升效率。也就是说，手机和车载设备的用途不同，灌入同样系统无必要，但它们可以采用同样的内核，部署不同的界面或功能。 鸿蒙OS是分布式架构首次用于终端OS，可实现跨终端无缝协同体验；通过使用确定时延引擎和高性能IPC两大技术，鸿蒙OS解决现有系统性能不足的问题；鸿蒙OS采用全新的微内核设计，拥有更强…

黑客教你解析与防范后门程序，教你检查自己电脑没有黑客后门软件 当电脑被黑客入侵后，通常会留下后门程序，方便下一次入侵。下面以一些常见的后门程序创建为例，介绍后门程序的功能与防范措施。 放大镜后门 放大镜(magnifty.exe)是Window系统集成的一个小工具，它是为方便视力障碍用户而设计的。在用户登录系统前可以通过快捷键Win+U调用该工具，攻击者用精心构建的magnify.exe同名文件替换放大镜程序，从而达到控制服务器的目的。 通常情况下，攻击者通过构造的magnify .exe程序创建一个管理员账户， 然后登录系统。有时会通过其直接调用命令提示符( cmd.exe)或者系统shell (explorer.exe )创建。需要说明的是，这样调用的程序都是system权限，即系统最高权限。不过，为防止管理员在运行放大镜程序时发现破绽，攻击者一般通过该构造程序完成所需的操作后，会运行真正的放大镜程序，以蒙骗管理员。 1.构造批处理脚本 @echoofNet user bdtest＄ test /addNet localgroup administrator bdtest /add%Windir%\system32\nagnify.exee…

盘点那些著名的已知的安全后门 最著名的安全后门要数凌镜门了。凌镜计划（PRISM）是一项由国家安全局（NSA）自2007年开始实施的绝密电子监听计划，该计划的正式名号为US-984XN。英国《卫报》和美国《华盛顿邮报》2013年6月6日报道，米国国家安全局（NSA）和联邦调查局（FBI）于2007年启动了一个代号为""的秘密监控项目，直接进入米国网际网络公司的中心服务器挖掘数据和收集情报，包括微软、雅虎、谷歌、苹果等在内的9家网际网络巨头皆参与其中。 据报道，泄露的文件中描述PRISM计划能够对即时通信和既存资料进行深度监听。许可的监听对象包括任何在米国以外地区使用参与计划公司服务的客户，或是任何与国外人士通信的米国公民。国家安全局在PRISM计划中可以获得数据电子邮件、视频和语音交谈、影片、照片、VOIP交谈内容、档案传输、登录通知，以及社交网络细节。综合情报文件"总统每日简报"显示，在2012年，1477个计划使用了来自PRISM计划的资料。 根据斯诺登披露的文件，美国国家安全局可以接触到大量个人聊天日志、存储的数据、语音通信、文件传输、个人社交网络数据。米国政府证实，它确实要求米国公司Verizon提供数百万私人电话记录，其中包括个人电话…

如何搭建lamp(CentOS7+Apache+MySQL+PHP)环境 这里还是要总结一下我的LAMP环境的搭建步骤。 我先在电脑里装了虚拟机，在虚拟机中测试了数次之后，再在服务器上搭建的。 说说我的环境： 虚拟机是：VMware-workstation-full-8.0.0-471780.exe； Linux系统用的是：CentOS-7-x86_64-Minimal-1503-01.ios;（阿里云上也是用的CentOS7-64bit） 准备好这两个之后，就开始一步一步搭建我们的LAMP环境了。 一、安装虚拟机 二、安装CentOS7 注意：以下安装，我都是用的root权限。 三、安装Apache 1.安装 yum -y install httpd 2.开启apache服务 systemctl start httpd.service 3.设置apache服务开机启动 systemctl enable httpd.service 4.验证apache服务是否安装成功 在本机浏览器中输入虚拟机的ip地址，CentOS7查看ip地址的方式为： ip addr （阿里云不需要用这种方式查看，外网ip已经在你主机列表那里给你写出来了的；） 这里是访问不…

.NET(C#)调用百度免费IP查询接口查询IP归属地 IP地址查询是目前互联网上最常用的功能之一了，特别是做多城市的平台，经常需要根据用户的IP来跳转到对应城市！ 以前大家打交道比较多的是纯真IP库，或者其它第三方平台API。前者的优势是在于IP资源都在自己服务器，方便。劣势是更新慢，数据不甚准确（特别是需要特定省份或城市时）。后者优势在于更新及时，方便!劣势是依赖于第三方平台。 在本文推荐的就是第二种，百度云开放平台官方API，分为免费版本与收费版本，免费版本IP库一周更新一次，免费申请，免费使用。 推荐理由主要是使用方便，百度大平台，API的稳定也更好。重要的是收费版本价钱也不贵，如果免费版本支持不住大量请求时，只要修改action地址就可以切换到收费版本。 免费版API接口说明与申请在这里：http://apistore.baidu.com/apiworks/servicedetail/114.html 只要传二个参数：apikey与IP即可，注意的是apikey必须放到head中去。 请求地址：ttp://apis.baidu.com/apistore/iplookupservice/iplookup 示例代码： …

一个钓鱼后门的分析 Kimsuky APT组织已经由多个安全团队进行了分析，它最早是由卡巴斯基研究人员于2013年发现，2019年半岛地区攻击活动频繁。该组织位于朝鲜，攻击对象主要是朝鲜相关的政治目标。结合历史的攻击记录，推测Kimsuky更关注于朝鲜半岛的政治外交问题，通常结合相关热点事件向目标发起鱼叉邮件攻击，攻击诱饵较多为hwp文档。 2. 样本概况 2.1 样本信息 文件名：简历样式.hwp.scr 大小：1156608bytes MD5：47C95F19EBD745D588BB208FF89C90BA SHA1：01172C3DAC99CAE246005752A6A66479D8861225 CRC32：39599F94 样本于2020年2月28日在推特上被公布 2.2 测试环境及工具 运行平台：Windows 7 X64 系统监控工具：火绒剑调试工具：X64Dbg、IDA Pro抓包软件：WireShark 3. 执行流程 3.1 功能简述 该样本是Kimsuky组织的一个远控木马,伪装成Word文档诱导受害者点击, 启动后会打开一个正常的文档文件, 同一时间攻击代码也会运行. 为逃避杀毒软件检测, 样本会经过多次加载才执行恶…

C#代码常用18大注意点 1、使用PascalCasing命名方式（即每个单词首字母都大写）来命名方法名与类。 public class ClientActivity { public void ClearStatistics() { //... } public void CalculateStatistics() { //... } }2、使用camelCasing 命名方式（即除首字母外的每个单词首字母都大写）来命名变量与参数 。 public class UserLog { public void Add(LogEvent logEvent) { int itemCount = logEvent.Items.Count; // ... } }3、不要使用Hungarian（匈牙利）命名法或者其它类型标识来标记变量（控件除外，如： txtUser）。 // Correct int counter; string name; // Avoid int iCounter; string strName;4…

MONO中sql“传入的表格格式数据流(TDS)远程过程调用(RPC)协议流不正 在Mono平台运行我的一个ASP.NET程序时，程序 出异常提示：传入的表格格式数据流(TDS)远程过程调用(RPC)协议流不正确。参数 4: 参数名无效。 System.Data.SqlClient.SqlException 传入的表格格式数据流(TDS)远程过程调用(RPC)协议流不正确。参数 4: 参数名无效。 Description: HTTP 500.Error processing request. Details: Non-web exception. Exception origin (name of application or object): Mono SqlClient Data Provider. Exception stack trace: 说实话MONO的异常远没有.NET的这么详细。在上面信息中，根本未能定位具体的错误信息。因为该代码在windows系统中正常运行，所以本地开发环境无法捕获该异常。 好吧，只能用排除法，最后将错误定位到了一句数据库查询语句上。 SqlParameter[] parameters = { …

Flutter(一)之Flutter开发初体验 一. 创建Flutter项目创建Flutter项目有两种方式：通过命令行创建 和 通过开发工具创建 1.1. 通过命令行创建通过命令行创建非常简单，在终端输入以下命令即可： **注意：**Flutter的名称不要包含特殊的字符，另外不可以使用驼峰标识 创建完之后使用自己喜欢的开发工具打开即可 flutter create learn_flutterimage-20190915164546394 1.2. 通过开发工具创建我这里也可以直接通过Android Studio来进行创建： 选择Start a new Flutter project，之后填写相关的信息即可，这里不再赘述 1.3. 默认程序分析我们讲创建的应用起来跑在模拟器上（我这里选择iPhone模拟器，Android也可以），会看到如下效果： 默认项目分析： 我们之前已经分析过目录结构了，在目录下有一个lib文件夹，里面会存放我们编写的Flutter代码； 打开发现里面有一个main.dart，它是我们Flutter启动的入口文件，里面有main函数； 默认代码分析： 这是一个计数器的案例程序，点击右下角的 + 符号，上面显示的数字会递增；…

新手程序员必知的十个秘密 初出茅庐的你带着仍残留墨香的毕业证书踏上工作岗位，马上就被书上没写的规则和各种繁杂的日常事务来了个下马威。这样的故事实在是司空见惯，编程工作也不例外，如果你不想成为其中之一，请学学以下这 10 项无需手把手指导就能学会的基本技能： 1、版本控制系统（VCS） VCS 也许是计算机课程最大的疏漏。这些课程光记得教如何写代码，但却往往忘记教学生如何去管理代码。每一个程序员都应该懂得利用 Git 或 Subversion 有效地创建 repository（仓库），编辑与提交代码，进行分支与合并，了解项目工作流。 帮助地址：http://www.uml.org.cn/pzgl/200907179.asp 2、学会写作 身为程序员要写的不只有代码。你还要写项目的发布说明，给版本控制写提交消息，在系统里面写漏洞报告。这些和许多地方都需要清晰有效的文字交流—但这个技能计算机科学却很少强调。 3、正则表达式 正则表达式本身就是一门语言，每一个现代程序员都要擅长。每一门现代语言都支持正则表达式或者有相关标准库。如果代码需要校验某字符串是否含有 5 个字符、1 个破折号和 1 个数字，你应该马上就能写出 /^[A-Z]{5}-\d$/。 …

iOS，Android，.NET通用的AES加密算法 这两天为移动App开发API，结果实现加密验证时碰到一大坑。这里不得不吐槽下又臭又硬的iOS，Windows Server无法解密出正确的结果，Android则可以，后来使用了通用的AES256加密算法才最终搞定。 搞服务器端小伙伴没有接触过iOS，所以也没料到过这种情形。他使用了AES128 with IV的加密算法，Android端可以顺利通过加密验证。 但是iOS端使用AES128算法后出现问题，虽然可以在本地加密解密，但是无法被服务器解密成功。 后来经过多方查找，才了解到一个蛋疼的事实，iOS只支持AES PKCS7Padding算法，在服务器端修改为响应算法后，顺利通过。 这里主要参考一篇博文，以下给出通用AES算法： //头文件 #import <Foundation/Foundation.h> @interface NSData (AES) - (NSData *)AES256EncryptWithKey:(NSString *)key; - (NSData *)AES256DecryptWithKey:(NSString *)key; @end实现代码： #imp…

vue实现登录、注册、退出、跳转等功能 本文给大家介绍vue实现登录、注册、退出、跳转功能，具体代码如下所示: 效果图1： 效果图2： 效果图3： 效果图4： 完整实例： <!DOCTYPE html> <html> <head> <meta charset="GBK"> <title></title> <style> ul li { margin: 0; padding: 0; list-style: none; } #app { width: 600px; height: 400px; margin: 0 auto; border: 1px solid #ccc; } .title{ text-align:center; } .tab-tilte{ width: 99%; } .tab-tilte li{ float: lef…

把Dapper 换成 SqlSugar ORM类的方法详解 为什么要写这篇文章因数我看到很多人虽然用着SqlSugar，但是同时也用着Dapper，因为SqlSugar兼容了Dapper所有API，所以既然你用了SqlSugar那么就没有必要在同一个项目中使用2个ORM 所以这篇文章是给使用SqlSugar或者你想使用SqlSugar的朋友看的 Dapper 介绍Dapper是一个轻量级开源的ORM类，他是通过扩展IDbConnection提供一些有用的扩展方法去查询您的数据库，所以Ado.Net支持的数据库，他都可以支持。 在速度方面具有“King of Micro ORM”的头衔，几乎与使用原始的ADO.NET数据读取器一样快。很多人第一次使用了他之后，就深深的喜欢上他了。 SqlSugar 介绍SqlSugar 同样轻量级小巧，功能方面更加全面，需求都是来自1000多开发人员的真实项目需求，在这些需求上进行完美的设计，经过5年多的积累， 可以完美满足企业级的所有需求特别是查询功能，支持了各种类型的返回例如DataTable、List、字典等，还支持各种查询， 例如一次查询多个结果集，当然也支持存储过程 性能对比在基础功能查询上性能双方是相当…

nodejs+express最简易的连接数据库的方法 环境搭建1.首先需要自行安装node环境 2.然后全局安装 express 1npm install -g express3.创建express项目文件夹 express创建项目默认为jade模板引擎，若使用其他引擎，使用命令切换 1express node_demo -e (选择ejs模板) // 在项目名称的后面添加 -e 那么创建出来的模板文件就是.ejs类型，语法是与html相同的 在vscode中打开我们建好的项目，目录如下： 对于ejs看着不习惯的同学可以将其改为html，如下： 然后还需要将在views新建一个index.html 与error.html 内容如下 index.html error.html 安装依赖 npm install 启动项目 npm start 监听bin/www文件，默认端口为3000，可在www文件中更改， 打开浏览器，输入localhost:3000 这时我们就可以看到页面显示的内容是index.html 里面定义的内容了 因为每次修改都需要重新启动，比较麻烦，这里有个插件nodemon，可以自动重启 1npm install node…

从开发角度看那些FastJson漏洞不为人知的事情 文章来源自FreeBuf.COM 前言在FastJson<=1.2.24漏洞公布时我还是一个开发，对于这个消息我震撼至极，那时的FastJson的热度可谓如日中天。但是，对FastJson漏洞复现过后突然心就被伤了，那些把FastJson漏洞吹的捧上神坛的人是否真的知道他的影响程度？ 概述本文将从漏洞运用所依赖的条件，怎么样发现此漏洞，漏洞产生的原理跟踪，以及评价这个漏洞四个维度去分析。 漏洞运用所依赖的条件之所以先将这个模块是为了先泼大家一盆冷水，先降低大家人对FastJson漏洞的影响程度的认知。 众所周知 1.FastJson<=1.2.47是利用的先决条件 2.其二是 JSON.parseObject(text2);但是，满足第二个条件的难度你真的知道嘛？ 我们编辑的POC在前端与后端进行交互的包中，意味着在后端拿到请求参数时进行JSON.parseObject(参数)进行参数的json转换。下面上代码 只有满足这样的条件，也就是在后端拿到用户请求的参数时，将其使用FastJson提供的JSON.parseObject(参数)这个API进行json格式化的时候才会产生我们所说…

2020渗透测试面试问题大全 渗透篇 1、介绍一下自认为有趣的挖洞经历 挖洞也有分很多种类型，一种是以渗透、一种是以找漏洞为主，如果是前者会想各种办法获取权限继而获取想要的的东西完成渗透目标，这类跟HW类似，目标各种漏洞不算，要有Shell，服务器权限才给分，这才是最接近实战渗透，跟某部门有合作的话也是属于这种打击网络犯罪获得权限、传销数据、组织架构，服务器权限、等...... 2、你平时用的比较多的漏洞是哪些？相关漏洞的原理？以及对应漏洞的修复方案？ SQL注入、密码组合,前者防护分为几种，CDN -> Web -> 数据库 -> 主机,设置最小权限来应对。密码组合根据个人习惯 3、php/java反序列化漏洞的原理?解决方案? php中围绕着serialize()，unserialize()这两个函数，序列化就是把一个对象变成可以传输的字符串,如果服务器能够接收我们反序列化过的字符串、并且未经过滤的把其中的变量直接放进这些魔术方法里面的话，就容易造成很严重的漏洞了。 O:7:"chybeta":1:{s:4:"test";s:3:"123";} 这里的O代表存储的是对象（object）,假如你给seriali…

为大家精选一份WEB信息/资产收集的武器库(下) 知己知彼，百战不殆在WEB实战渗透中，信息收集，资产收集至关重要。 所收集到的信息，资产决定了最后成果的产生。 信息收集个人理解更偏向于单一系统下组件，指纹等常规信息的收集，整合。 资产收集则更偏向于针对一个网站，一个公司，一个域名全方面的信息收集，信息资产包括但不限于子域名，app，小程序等。 当然最主要的是找一些不对外公开的线上系统，往往这些系统更容易出现漏洞，也可以拿到很高的奖励或积分。 两者收集的思路不能局限，发散而聚合，特此整合一些优秀的信息收集，资产收集文章，分享出来一起学习大佬们的思路，最终形成自己的收集体系。 今天分享一些WEB信息/资产收集的武器库。 武器库1、ARL资产侦察灯塔系统https://github.com/TophantTechnology/ARL简介： 旨在快速侦察与目标关联的互联网资产，构建基础资产信息库。协助甲方安全团队或者渗透测试人员有效侦察和检索资产，发现存在的薄弱点和攻击面。 2、LangSrcCurise资产监控系统 https://github.com/LangziFun/LangSrcCurise简介： LangSrcCurise资产监控系统是…

Emlog的文章页访问密码美化页面代码 2018年emlog的文章页访问密码美化页面教程（尾部提供下载）。 http://52bug.cn/content/uploadfile/201811/d3791541085946.jpg Emlog程序的钩子远不如 WordPress 这么丰富，因此这一美化只能通过直接修改 Emlog 代码来实现。 具体的位置在 include/model/log_model.php 文件末尾的 authPassword 函数。 一、将原来的函数里的 if ($pwd !== addslashes($logPwd)) { echo <<<EOT <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8" /> <title>emlog message</title> <style type="text/css"> <!-- body{background-color:#F7F7F7;font-family: Arial;fon…

2020渗透测试面试问题大全（前端篇） 前端篇 1、什么是同源策略? 源就是主机、协议、端口名的一个三元组 同源策略(Same Origin Policy, SOP)是Web应用程序的一种安全模型，被广泛地应用在处理WEB内容的各种客户端上，比如各大浏览器，微软的Silverlight，Adobe的Flash/Acrobat等等。 2、XSS 能用来做什么？ 网络钓鱼、窃取用户Cookies、弹广告刷流量、具备改页面信息、删除文章、获取客户端信息、传播蠕虫 3、XSS的三种类型，防御方法 反射型、Dom Base XSS、存储型 防御方法这个只能说个大概，毕竟这是一个比较大的话题，而且防御的方法还得看所在的业务等。从网络层、主机层、Web层、数据库，通过CDN都有过滤常见一些攻击手法，但不能有CDN就以为可以了，添加CDN只是让攻击成本增高，开启HttpOnly，以防确实存在避免cookies被获取，CSP策略、再就是语言中提供的函数对输入过滤，以及输出编码以及ModSecurity类的防火墙。 4、存储型xss原理? 如网站留言版，把插入的记录存储在数据库中，插入的代码会一直留在页面上，当其它用户访问会从数据库中读取并触发漏洞。…