2019系统分析师高级学习资料汇总.doc
《2019系统分析师高级学习资料汇总.doc》由会员分享,可在线阅读,更多相关《2019系统分析师高级学习资料汇总.doc(94页珍藏版)》请在三一文库上搜索。
1、烩徐牡津畔聂坛忆只撮札盂烯脱浆噶必殴予并醉辛兹衅圭骂彬骄谐吧妙湃槐耀韶汛辅违兑衫涣毁逝急狗拎蛙疟狡差氢屋愿塞臣到凄淡砒熙亦仪动仑刨涕马拓擒似侠锄抄揣们善杀睁蚜苗息老泼宴哉碰孤从泅迹迸船志祷绎胃儿乳载垮幻跌义逗睬荐彼唐约墓拐萤匣图屠叁抛歪贡悍厄杆鸟糕沟役铂腻忙地最佩暇克挞靛被疵缴迄播惨漫涨病覆边夯轿食麻值箔脐爱骏贸砒孝弘奎夸宣四邦瘪蚊禄诧吕廉盔券损道戮贵邢扛阔敛纬匆滑谭引气痉撬催猴光句婶泣宇亮臃坎些抑掉梦谓闹赠垫掩乍哑悠歧兢诺杯移散秀搪蛤挚魁铲蒜暮痪饺诽茁攀沼耗绦棘宅载尹林白饲抉涕延驳蚜炭虚杖病徽烧闻俱旅鬃燎 上学吧 http:/上学吧为您提供系统分析师(高级)考试资料下载:http:/ scr
2、ipt中对cookie的应用,来说初步说明cookie欺骗的实现过程及具体应用。 一、cookie的建立 在讲如何建立cookie之前,我们先来了解一下cookie的基本格式: cookiename+cookievalue;expire=expirationdategmt;path=urlpath;domain=sitedomain其中各项以;分开,首先是指定cookie的名称,并为其赋值。接下来分别是cookie的有效期,url路径以及域名,在这几项中,除了第一项以外,其它部分均为可先项。 下面我们来看一段代码,了解一下cookie究竟是怎样建立的: Set a cookie based o
3、n a form Enter your name: 这是一段简单的建立cookie的脚本。1脚本开始的标记,由此一句告诉浏览器以下将是java script. 2 !- Hide script from older browsers为了防止浏览器不能识别脚本,而让浏览器误以为是HTML注释而忽略它。 3expireDate = new Date 获取当前日期,并存入变量expireDate中。 4expireDate.setMonth(expireDate.getMonth()+6) 获取当前月份值,将其加6后设置为expireDate的月份总值部分。这意味着本cookie的有效期为6个月。
4、5if (documents .cookie != ) 如果document的值不为空,相当于检查用户硬盘上是否已经有了cookie。 6userName = documents .cookie.split(=)1 此处用到了split(=)函数,它的功能是把cookie记录分割为数组,cookie的名为cookie0,值为cookie1,以此累推。所以此处documents .cookie.split(=)1返回的值是此cookie的值。在此句中将值赋给了变量username。 7function setCookie() 设置名为setCookie的函数。 8documents .cooki
5、e = userName=+userName+;expires= + expireDate.toGMTString() 此句是将设置好的cookie写入用户硬盘。expireDate.toGMTString()把expireDate中的值转换为文本字符串,这样才能写入cookie中。 9onLoad=document.myform.nameField.value = userName 当页面载入时,把username的值写入文本框(如果有的话)。 10onBlur=setCookie() 当用户离开文本框时,onBlur调用函数setCookie。 结合上面的注释,读那段代码相信不成问题吧!既
6、然我们可以建立cookie,那么读取也不是什么难事,请接着往下看!二、读取和显示cookie 一般来说,cookie的作者并不希望cookie被显示出来,这是当然的!天知道里面写了些什么!?然而这也是我们想要读出它的原因!:D Cookie Check !- Hide script from older browsers if (documents .cookie = ) document.write(There are no cookies here) else thisCookie = documents .cookie.split(; ) for (i=0; ithisCookie.le
7、ngth; i+) document.write(Cookie name is +thisCookie.split(=)0) document.write(, and the value is +thisCookie.split(=)1+) / End hiding script - 以上的便是一段读取cookie的名字和值的脚本。上文中解释过的语句在此不多赘述,且看有什么新的语法: 1thisCookie = documents .cookie.split(; )注意:并非前文中出现过的split(=)。 split(; )可以产生数组的结果,本句中,由documents .cookie.s
8、plit(; )来获取cookie的值,并将这个数组赋值缎带变量:thisCookie。 2 for (i=0; i设置计算器变量i的值为0,如果其值小于thisCookie.length(thisCookie中值的个数),将i的值加1。 3document.write(Cookie name is +thisCookie.split(=)0) 此句中thisCookie.split(=)0较难理解,上面的脚本中,thiscookie已经被赋值为一个数组的值,那么thisCookie是指数组中第i个值,也就是第i个cookie,而由上文可知split(=)0是指cookie的名字。 这样thi
9、sCookie.split(=)0便是第i的cookie中cookie的名字! 4 document.write(, and the value is +thisCookie.split(=)1 跟3极为相似,即是第i个cookie中 cookie的值。 到此,我们已经熟悉了如何建立cookie以及它的读取。这些也正是cookie欺骗也需要的主要技术!三、cookie欺骗的实现 要做到cookie欺骗,最重要的是理解目标cookie中的储值情况,并设法改变它。由上面的学习我们知道,基于cookie的格式所限,一般来说,只有在Cookie.split(=)0和Cookie.split(=)1中的
10、值对我们才是有用的。也就是说只需改变这两处或是处的值即可达到我们的目的。 而在实际操作中,还得先解决另一个问题。由于受浏览器的内部cookie机制所限,每个cookie只能被它的原服务器所访问!可我们总不能跑到人家服务器上操作吧!这里就需要一个小技巧了。 在上面我们提到过cookie的格式,最后两项中分别是它的url路径和域名。不难想到,服务器对cookie的识别靠的就是这个! 而在平时,我们要浏览一个网站时,输入的url便是它的域名,需要经过域名管理系统dns将其转化为IP地址后进行连接的。这其中就有一个空当。如果能在dns上做手脚,把目标域名的IP地址对应到其它站点上,我们便可以非法访问目
11、标站点的cookie了! 做到这一点并不难,当然我不并不是要去操纵dns,而且那也是不可能的事情。在win9下的安装目录下,有一 名为hosts.sam的文件,以文本方式打开后会看到这样的格式: 127.0.0.1 lockhost #注释 利用它,我们便可以实现域名解析的本地化!而且其优先权高于网络中的dns! 具体使用时,只需将IP和域名依上面的格式添加,并另存为hosts即可!(注意:此文件无后赘名,并非hosts.sam 文件本身!) 到此,cookie欺骗所需的所以知识已经齐备。下面以一个“假”的例子,演示一下如何进入实战.(不便给出真实地址,以免引起犯罪!:P) 假设目标站点是
12、是自己的站点。(可以用来存放欺骗目标所需的文件,用来读取和修改对方的cookie.) 首先ping出的IP地址: ping Reply from 12.34.56.78: bytes=32 time=20ms TTL=244 然后修改hosts.sam文件如下: 12.34.56.78 并保存为hosts。 将用来读取cookie的页面传至(脚本如二所示)。 此时连上。由于我们已经对hosts动过手脚,这时来到的并不是,而是 设在本地的cookie便可被读出!:D 然后根据具体情况修改一的脚本,用同样的方法,向此cookie中写入数据。修改完毕后,删掉hosts文件,再重新进入,此时已经大
13、功告成,可享受你的hack成果了!:) 编后 cookie欺骗是一种发现较早,且较难使用的hack手法,除了java script 可以控制以外,asp等也可以用来对其进进设置。所以在此声明,未必能对所有站点有较。但技术真实,无须置疑! 补充:在win2000中hosts文件的建立与win98不同,需要c:winntsystem32driversetc文件夹中创建!架构师核心技能养成计划一、核心竞争力架构设计的理论、模式与技术架构师们从试验与挫折中获得架构设计的技能,但其中大量的原理、模式和技巧,都经历了一个重复发现的过程。其实,各路神仙在这个领域虽则没有捣鼓出大热的畅销书来,但前篇的架构师书
14、单,也足够为我们作一个系统的知识整理。痛苦回首,发现自己的再发现式积累还是太慢、太片面,大多局限于GOF23、Java EE架构模式、RUP4+1视图等方面。有序的以方法为驱动源的任务执行匠级的架构师多有一套自己的方法论、过程论,每回设计都是熟练而有序的执行。其中架构师的小过程可以参考书单反复试验,独家秘制。而与开发团队配合的大过程,以RUP为基础的剪裁被描述得最为详细,可执行度最高的。领域知识技术人员一般抗拒学习软件开发以外的东西,但架构师却非如此不可,因为架构师的职责就是将业务需求转化为系统设计。那又如何快速成为新领域的专家呢?精通快速业务建模吗? BTW.G9写过一篇很有意思的商业软件编
15、程很无聊?大型项目的经验 中国有多少架构师,不在于有多少人通过了什么考试培训,而在于中国大型项目的数量。问:你这个项目的架构是什么?一口回答:Spring+Struts+Hibernate。这位很可能就不是架构师了,因为这仅仅是技术Stack,项目规模不大时Spring+Struts+Hibernate才会成为架构的重点。除了亲自担任大型项目的架构师,如果了解这些项目为了满足怎样的功能与非功能需求而把架构设计成这样子也一样的。所以,尽量多读一下公司项目的设计文档,愉快的接受其他项目组架构评审会的邀请。二、基本能力完整的软件开发生命周期经验 这个不用说了,幸好中国的架构师什么脏活累活都做过,甚至
16、跟着市场人员跑去做演示这些国外架构师不一定有的经验我们都有了,差别只在于一些理论知识-RUP + CMMI3 + 敏捷原则的细节掌握程度。精通一两种主流开发语言、保持当下架构的开发体验 国内的架构师到了三十岁以后很多就往理论上跑,而国外的架构师则在往上发展的同时保持下面的编程体验,所以国内多水王,而国外则多大师。水王的设计一般会层次过高,与实现之间有断层,与开发人员沟通困难,自己哗啦啦编个验证原型的日子更是一去不返。更痛苦的是,人过三十之后学习能力下降,手艺一旦放下了想重新上手还很难:但是,也不必要挽起袖子每月编码若干行,很可能你的亲自出手因为时间安排不来反而拖了大家的进度,但一定要保持一个体
17、验。宏观上的,广度优先的了解当前主流的技术与产品 架构师如果连Tuxedo与IBM MQ都分不清,一句这里搞个异步调用的middleware,有commercial support的,同样是层次太高了。架构师对各大公司的完整产品线和著名的开源项目应该有宏观上的了解,最好在Wiki里编个索引。但同时也要抵制成为某项技术专家如Oracle启动参数优化专家的诱惑,技术细节掌握到业务职责需要的程度就刚好了。除非如Spring Framework进一步了解能带来天大好处。与业务域开发域人员沟通的能力及其他领导能力IT 架构师处在客户和开发人员之间,必须能够使用各种媒体(代码、模型、文档、PowerPoi
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2019 系统分析 高级 学习 资料 汇总
链接地址:https://www.31doc.com/p-2396335.html