本文目录一览:
- 1、火狐xsseb插件怎么使用?
- 2、sql注入、xss攻击?
- 3、要成为一名专业的程序员,从零开始需要怎么一步步来比较好,要把最底层的先学精通吗?(个人认为)求学长
- 4、自学前端需要达到什么水平才能去工作
- 5、白帽子讲Web安全的目录
火狐xsseb插件怎么使用?
Quick Translator对谷歌翻译返回未经过滤直接输出,导致XSS
不知道什么原因,直接翻译script标签是不行的,所以需要借助img等其他标签。Quick Translator默认设置为检测语言,而谷歌翻将英文翻译成中文时会将引号转换为全角,并在其他符号后面加空格,所以需要加上一些中文字符让谷歌翻译认为提交的是中文。
说了这么多,看个例子吧,以下代码用Quick Translator翻译从中文翻译到英文会弹框(右键翻译和在对话框输入是一样的)。
img src='#' alt='中文中文中文中文中文中文中文中文中文中文中文中文中文中文中文' onerror='javascript:alert(document.domain)'/
由于没有人会憨厚到选中代码翻译,所以需要将这段代码隐藏起来,同时不影响选中。仿照论坛复制干扰码,将其进行html转义后放在一个指定文字大小为0px的span中;同时,由于实际触发点位于右下角翻译结果处,为了隐藏图片需要给图片加上display:none样式;最后,将这段代码插在一段很少有人认识的语言中,例如الاشتراكية جيدة ,使得别人可能会去翻译这句话。
最后的poc如下:
الاشتراكية جيدة span style="font-size:0px;"img src='#' alt='中文中文中文中文中文中文中文中文中文中文中文中文中文中文中文中文中文中文中文' style='display:none' onerror='javascript:alert(document.domain)'/span الاشتراكية جيدة br
可以在某些公共博客、论坛之类发个吸引人的帖子,然后引用一段官方的“原话”作为证据(选个较为少见的语种,比如德语意大利语之类),并在其中插入代码。
例子:躺中枪的某程序猿博客
要是以“nodejs进阶技巧”等热点技术发个帖,并在资料引用处插入poc,会有多少人中招?
修复方案:
prexmpxxx/xmp/pre
sql注入、xss攻击?
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。 但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析,构造巧妙的SQL语句,从而成功获取想要的数据,是高手与“菜鸟”的根本区别。 根据国情,国内的网站用ASP+Access或SQLServer的占70%以上,PHP+MySQ占L20%,其他的不足10%。在本文,我们从分入门、进阶至高级讲解一下ASP注入的方法及技巧,PHP注入的文章由NB联盟的另一位朋友zwell撰写,希望对安全工作者和程序员都有用处。了解ASP注入的朋友也请不要跳过入门篇,因为部分人对注入的基本判断方法还存在误区。大家准备好了吗?Let's Go... 入门篇 如果你以前没试过SQL注入的话,那么第一步先把IE菜单=工具=Internet选项=高级=显示友好 HTTP 错误信息前面的勾去掉。否则,不论服务器返回什么错误,IE都只显示为HTTP 500服务器错误,不能获得更多的提示信息。 第一节、SQL注入原理 以下我们从一个网站 开始(注:本文发表前已征得该站站长同意,大部分都是真实数据)。 在网站首页上,有名为“IE不能打开新窗口的多种解决方法”的链接,地址为: ,我们在这个地址后面加上单引号’,服务器会返回下面的错误提示: Microsoft JET Database Engine 错误 '80040e14' 字符串的语法错误 在查询表达式 'ID=49'' 中。 /showdetail.asp,行8 从这个错误提示我们能看出下面几点: 1.网站使用的是Access数据库,通过JET引擎连接数据库,而不是通过ODBC。 2.程序没有判断客户端提交的数据是否符合程序要求。 3.该SQL语句所查询的表中有一名为ID的字段。 从上面的例子我们可以知道,SQL注入的原理,就是从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取你想到得到的资料。 第二节、判断能否进行SQL注入 看完第一节,有一些人会觉得:我也是经常这样测试能否注入的,这不是很简单吗? 其实,这并不是最好的方法,为什么呢? 首先,不一定每台服务器的IIS都返回具体错误提示给客户端,如果程序中加了cint(参数)之类语句的话,SQL注入是不会成功的,但服务器同样会报错,具体提示信息为处理 URL 时服务器上出错。请和系统管理员联络。 其次,部分对SQL注入有一点了解的程序员,认为只要把单引号过滤掉就安全了,这种情况不为少数,如果你用单引号测试,是测不到注入点的 那么,什么样的测试方法才是比较准确呢?答案如下: ① ② and 1=1 ③ and 1=2 这就是经典的1=1、1=2测试法了,怎么判断呢?看看上面三个网址返回的结果就知道了: 可以注入的表现: ① 正常显示(这是必然的,不然就是程序有错误了) ② 正常显示,内容基本与①相同 ③ 提示BOF或EOF(程序没做任何判断时)、或提示找不到记录(判断了rs.eof时)、或显示内容为空(程序加了on error resume next) 不可以注入就比较容易判断了,①同样正常显示,②和③一般都会有程序定义的错误提示,或提示类型转换时出错。 当然,这只是传入参数是数字型的时候用的判断方法,实际应用的时候会有字符型和搜索型参数,我将在中级篇的“SQL注入一般步骤”再做分析。 第三节、判断数据库类型及注入方法 不同的数据库的函数、注入方法都是有差异的,所以在注入之前,我们还要判断一下数据库的类型。一般ASP最常搭配的数据库是Access和SQLServer,网上超过99%的网站都是其中之一。 怎么让程序告诉你它使用的什么数据库呢?来看看: SQLServer有一些系统变量,如果服务器IIS提示没关闭,并且SQLServer返回错误提示的话,那可以直接从出错信息获取,方法如下: and user0 这句语句很简单,但却包含了SQLServer特有注入方法的精髓,我自己也是在一次无意的测试中发现这种效率极高的猜解方法。让我看来看看它的含义:首先,前面的语句是正常的,重点在and user0,我们知道,user是SQLServer的一个内置变量,它的值是当前连接的用户名,类型为nvarchar。拿一个nvarchar的值跟int的数0比较,系统会先试图将nvarchar的值转成int型,当然,转的过程中肯定会出错,SQLServer的出错提示是:将nvarchar值 ”abc” 转换数据类型为 int 的列时发生语法错误,呵呵,abc正是变量user的值,这样,不废吹灰之力就拿到了数据库的用户名。在以后的篇幅里,大家会看到很多用这种方法的语句。 顺便说几句,众所周知,SQLServer的用户sa是个等同Adminstrators权限的角色,拿到了sa权限,几乎肯定可以拿到主机的Administrator了。上面的方法可以很方便的测试出是否是用sa登录,要注意的是:如果是sa登录,提示是将”dbo”转换成int的列发生错误,而不是”sa”。 如果服务器IIS不允许返回错误提示,那怎么判断数据库类型呢?我们可以从Access和SQLServer和区别入手,Access和SQLServer都有自己的系统表,比如存放数据库中所有对象的表,Access是在系统表[msysobjects]中,但在Web环境下读该表会提示“没有权限”,SQLServer是在表[sysobjects]中,在Web环境下可正常读取。 在确认可以注入的情况下,使用下面的语句: and (select count(*) from sysobjects)0 and (select count(*) from msysobjects)0 如果数据库是SQLServer,那么第一个网址的页面与原页面 是大致相同的;而第二个网址,由于找不到表msysobjects,会提示出错,就算程序有容错处理,页面也与原页面完全不同。 如果数据库用的是Access,那么情况就有所不同,第一个网址的页面与原页面完全不同;第二个网址,则视乎数据库设置是否允许读该系统表,一般来说是不允许的,所以与原网址也是完全不同。大多数情况下,用第一个网址就可以得知系统所用的数据库类型,第二个网址只作为开启IIS错误提示时的验证
要成为一名专业的程序员,从零开始需要怎么一步步来比较好,要把最底层的先学精通吗?(个人认为)求学长
前言
你是否觉得自己从学校毕业的时候只做过小玩具一样的程序?走入职场后哪怕没有什么经验也可以把以下这些课外练习走一遍(朋友的抱怨:学校课程总是从理论出发,作业项目都看不出有什么实际作用,不如从工作中的需求出发)
建议:
不要乱买书,不要乱追新技术新名词,基础的东西经过很长时间积累而且还会在未来至少10年通用。
回顾一下历史,看看历史上时间线上技术的发展,你才能明白明天会是什么样。
一定要动手,例子不管多么简单,建议至少自己手敲一遍看看是否理解了里头的细枝末节。
一定要学会思考,思考为什么要这样,而不是那样。还要举一反三地思考。
注:你也许会很奇怪为什么下面的东西很偏Unix/Linux,这是因为我觉得Windows下的编程可能会在未来很没有前途,原因如下:
现在的用户界面几乎被两个东西主宰了,1)Web,2)移动设备iOS或Android。Windows的图形界面不吃香了。
越来越多的企业在用成本低性能高的Linux和各种开源技术来构架其系统,Windows的成本太高了。
微软的东西变得太快了,很不持久,他们完全是在玩弄程序员。详情参见《Windows编程革命史》
所以,我个人认为以后的趋势是前端是Web+移动,后端是Linux+开源。开发这边基本上没Windows什么事。
启蒙入门
1、 学习一门脚本语言,例如Python/Ruby
可以让你摆脱对底层语言的恐惧感,脚本语言可以让你很快开发出能用得上的小程序。实践项目:
处理文本文件,或者csv (关键词 python csv, python open, python sys) 读一个本地文件,逐行处理(例如 word count,或者处理log)
遍历本地文件系统 (sys, os, path),例如写一个程序统计一个目录下所有文件大小并按各种条件排序并保存结果
跟数据库打交道 (python sqlite),写一个小脚本统计数据库里条目数量
学会用各种print之类简单粗暴的方式进行调试
学会用Google (phrase, domain, use reader to follow tech blogs)
为什么要学脚本语言,因为他们实在是太方便了,很多时候我们需要写点小工具或是脚本来帮我们解决问题,你就会发现正规的编程语言太难用了。
2、 用熟一种程序员的编辑器(不是IDE) 和一些基本工具
Vim / Emacs / Notepad++,学会如何配置代码补全,外观,外部命令等。
Source Insight (或 ctag)
使用这些东西不是为了Cool,而是这些编辑器在查看、修改代码/配置文章/日志会更快更有效率。
3、 熟悉Unix/Linux Shell和常见的命令行
如果你用windows,至少学会用虚拟机里的linux, vmware player是免费的,装个Ubuntu吧
一定要少用少用图形界面。
学会使用man来查看帮助
文件系统结构和基本操作 ls/chmod/chown/rm/find/ln/cat/mount/mkdir/tar/gzip …
学会使用一些文本操作命令 sed/awk/grep/tail/less/more …
学会使用一些管理命令 ps/top/lsof/netstat/kill/tcpdump/iptables/dd…
了解/etc目录下的各种配置文章,学会查看/var/log下的系统日志,以及/proc下的系统运行信息
了解正则表达式,使用正则表达式来查找文件。
对于程序员来说Unix/Linux比Windows简单多了。(参看我四年前CSDN的博文《其实Unix很简单》)学会使用Unix/Linux你会发现图形界面在某些时候实在是太难用了,相当地相当地降低工作效率。
4、 学习Web基础(HTML/CSS/JS) + 服务器端技术 (LAMP)
未来必然是Web的世界,学习WEB基础的最佳网站是W3School。
学习HTML基本语法
学习CSS如何选中HTML元素并应用一些基本样式(关键词:box model)
学会用 Firefox + Firebug 或 chrome 查看你觉得很炫的网页结构,并动态修改。
学习使用Javascript操纵HTML元件。理解DOM和动态网页(Dynamic HTML: The Definitive Reference, 3rd Edition - O'Reilly Media) 网上有免费的章节,足够用了。或参看 DOM 。
学会用 Firefox + Firebug 或 chrome 调试Javascript代码(设置断点,查看变量,性能,控制台等)
在一台机器上配置Apache 或 Nginx
学习PHP,让后台PHP和前台HTML进行数据交互,对服务器相应浏览器请求形成初步认识。实现一个表单提交和反显的功能。
把PHP连接本地或者远程数据库 MySQL(MySQL 和 SQL现学现用够了)
跟完一个名校的网络编程课程(例如: ) 不要觉得需要多于一学期时间,大学生是全职一学期选3-5门课,你业余时间一定可以跟上
学习一个javascript库(例如jQuery 或 ExtJS)+ Ajax (异步读入一个服务器端图片或者数据库内容)+JSON数据格式。
HTTP: The Definitive Guide 读完前4章你就明白你每天上网用浏览器的时候发生的事情了(proxy, gateway, browsers)
做个小网站(例如:一个小的留言板,支持用户登录,Cookie/Session,增、删、改、查,上传图片附件,分页显示)
买个域名,租个空间,做个自己的网站。
进阶加深
1、 C语言和操作系统调用
重新学C语言,理解指针和内存模型,用C语言实现一下各种经典的算法和数据结构。推荐《计算机程序设计艺术》、《算法导论》和《编程珠玑》。
学习(麻省理工免费课程)计算机科学和编程导论
学习(麻省理工免费课程)C语言内存管理
学习Unix/Linux系统调用(Unix高级环境编程),,了解系统层面的东西。
用这些系统知识操作一下文件系统,用户(实现一个可以拷贝目录树的小程序)
用fork/wait/waitpid写一个多进程的程序,用pthread写一个多线程带同步或互斥的程序。多进程多进程购票的程序。
用signal/kill/raise/alarm/pause/sigprocmask实现一个多进程间的信号量通信的程序。
学会使用gcc和gdb来编程和调试程序(参看我的《用gdb调试程序》)
学会使用makefile来编译程序。(参看我的《跟我一起写makefile》)
IPC和Socket的东西可以放到高级中来实践。
学习Windows SDK编程(Windows 程序设计 ,MFC程序设计)
写一个窗口,了解WinMain/WinProcedure,以及Windows的消息机制。
写一些程序来操作Windows SDK中的资源文件或是各种图形控件,以及作图的编程。
学习如何使用MSDN查看相关的SDK函数,各种WM_消息以及一些例程。
这本书中有很多例程,在实践中请不要照抄,试着自己写一个自己的例程。
不用太多于精通这些东西,因为GUI正在被Web取代,主要是了解一下Windows 图形界面的编程。@virushuo 说:“ 我觉得GUI确实不那么热门了,但充分理解GUI工作原理是很重要的。包括移动设备开发,如果没有基础知识仍然很吃力。或者说移动设备开发必须理解GUI工作,或者在win那边学,或者在mac/iOS上学”。
2、学习Java
Java 的学习主要是看经典的Core Java 《Java 核心技术编程》和《Java编程思想》(有两卷,我仅链了第一卷,足够了,因为Java的图形界面了解就可以了)
学习JDK,学会查阅Java API Doc Java Platform SE 6
了解一下Java这种虚拟机语言和C和Python语言在编译和执行上的差别。从C、Java、Python思考一下“跨平台”这种技术。
学会使用IDE Eclipse,使用Eclipse 编译,调试和开发Java程序。
建一个Tomcat的网站,尝试一下JSP/Servlet/JDBC/MySQL的Web开发。把前面所说的那个PHP的小项目试着用JSP和Servlet实现一下。
3、Web的安全与架构
学习HTML5,网上有很多很多教程,以前酷壳也介绍过很多,我在这里就不罗列了。
学习Web开发的安全问题(参考新浪微博被攻击的这个事,以及Ruby的这篇文章)
学习HTTP Server的rewrite机制,Nginx的反向代理机制,fast-cgi(如:PHP-FPM)
学习Web的静态页面缓存技术。
学习Web的异步工作流处理,数据Cache,数据分区,负载均衡,水平扩展的构架。
实践任务:
使用HTML5的canvas 制作一些Web动画。
尝试在前面开发过的那个Web应用中进行SQL注入,JS注入,以及XSS攻击。
把前面开发过的那个Web应用改成构造在Nginx + PHP-FPM + 静态页面缓存的网站
4、学习关系型数据库
你可以安装MSSQLServer或MySQL来学习数据库。
学习教科书里数据库设计的那几个范式,1NF,2NF,3NF,……
学习数据库的存过,触发器,视图,建索引,游标等。
学习SQL语句,明白表连接的各种概念(参看《SQL Join的图示》)
学习如何优化数据库查询(参看《MySQL的优化》)
实践任务:设计一个论坛的数据库,至少满足3NF,使用SQL语句查询本周,本月的最新文章,评论最多的文章,最活跃用户。
5、一些开发工具
学会使用SVN或Git来管理程序版本。
学会使用JUnit来对Java进行单元测试。
学习C语言和Java语言的coding standard 或 coding guideline。(我N年前写过一篇关C语言非常简单的文章——《编程修养》,这样的东西你可以上网查一下,一大堆)。
推荐阅读《代码大全》《重构》《代码整洁之道》
高级深入
1、C++ / Java 和面向对象
我个人以为学好C++,Java也就是举手之劳。但是C++的学习曲线相当的陡。不过,我觉得C++是最需要学好的语言了。参看两篇趣文“C++学习信心图” 和“21天学好C++”
学习(麻省理工免费课程)C++面向对象编程
读我的 “如何学好C++”中所推荐的那些书至少两遍以上(如果你对C++的理解能够深入到像我所写的《C++虚函数表解析》或是《C++对象内存存局(上)(下)》,或是《C/C++返回内部静态成员的陷阱》那就非常不错了)
然后反思为什么C++要干成这样,Java则不是?你一定要学会对比C++和Java的不同。比如,Java中的初始化,垃圾回收,接口,异常,虚函数,等等。
实践任务:
用C++实现一个BigInt,支持128位的整形的加减乘除的操作。
用C++封装一个数据结构的容量,比如hash table。
用C++封装并实现一个智能指针(一定要使用模板)。
《设计模式》必需一读,两遍以上,思考一下,这23个模式的应用场景。主要是两点:1)钟爱组合而不是继承,2)钟爱接口而不是实现。(也推荐《深入浅出设计模式》)
实践任务:
使用工厂模式实现一个内存池。
使用策略模式制做一个类其可以把文本文件进行左对齐,右对齐和中对齐。
使用命令模式实现一个命令行计算器,并支持undo和redo。
使用修饰模式实现一个酒店的房间价格订价策略——旺季,服务,VIP、旅行团、等影响价格的因素。
学习STL的用法和其设计概念 - 容器,算法,迭代器,函数子。如果可能,请读一下其源码。
实践任务:尝试使用面向对象、STL,设计模式、和WindowsSDK图形编程的各种技能
做一个贪吃蛇或是俄罗斯方块的游戏。支持不同的级别和难度。
做一个文件浏览器,可以浏览目录下的文件,并可以对不同的文件有不同的操作,文本文件可以打开编辑,执行文件则执行之,mp3或avi文件可以播放,图片文件可以展示图片。
学习C++的一些类库的设计,如: MFC(看看候捷老师的《深入浅出MFC》) ,Boost, ACE, CPPUnit,STL (STL可能会太难了,但是如果你能了解其中的设计模式和设计那就太好了,如果你能深入到我写的《STL string类的写时拷贝技术》那就非常不错了,ACE需要很强在的系统知识,参见后面的“加强对系统的了解”)
Java是真正的面向对象的语言,Java的设计模式多得不能再多,也是用来学习面向对象的设计模式的最佳语言了(参看Java中的设计模式)。
推荐阅读《Effective Java》 and 《Java解惑》
学习Java的框架,Java的框架也是多,如Spring, Hibernate,Struts 等等,主要是学习Java的设计,如IoC等。
Java的技术也是烂多,重点学习J2EE架构以及JMS, RMI, 等消息传递和远程调用的技术。
学习使用Java做Web Service (官方教程在这里)
实践任务: 尝试在Spring或Hibernate框架下构建一个有网络的Web Service的远程调用程序,并可以在两个Service中通过JMS传递消息。
C++和Java都不是能在短时间内能学好的,C++玩是的深,Java玩的是广,我建议两者选一个。我个人的学习经历是:
深究C++(我深究C/C++了十来年了)
学习Java的各种设计模式。
2、加强系统了解
重要阅读下面的几本书:
《Unix编程艺术》了解Unix系统领域中的设计和开发哲学、思想文化体系、原则与经验。你一定会有一种醍醐灌顶的感觉。
《Unix网络编程卷1,套接字》这是一本看完你就明白网络编程的书。重要注意TCP、UDP,以及多路复用的系统调用select/poll/epoll的差别。
《TCP/IP详解 卷1:协议》- 这是一本看完后你就可以当网络黑客的书。了解以太网的的运作原理,了解TCP/IP的协议,运作原理以及如何TCP的调优。
实践任务:
理解什么是阻塞(同步IO),非阻塞(异步IO),多路复用(select, poll, epoll)的IO技术。
写一个网络聊天程序,有聊天服务器和多个聊天客户端(服务端用UDP对部分或所有的的聊天客户端进Multicast或Broadcast)。
写一个简易的HTTP服务器。
《Unix网络编程卷2,进程间通信》信号量,管道,共享内存,消息等各种IPC…… 这些技术好像有点老掉牙了,不过还是值得了解。
实践任务:
主要实践各种IPC进程序通信的方法。
尝试写一个管道程序,父子进程通过管道交换数据。
尝试写一个共享内存的程序,两个进程通过共享内存交换一个C的结构体数组。
学习《Windows核心编程》一书。把CreateProcess,Windows线程、线程调度、线程同步(Event, 信号量,互斥量)、异步I/O,内存管理,DLL,这几大块搞精通。
实践任务:使用CreateProcess启动一个记事本或IE,并监控该程序的运行。把前面写过的那个简易的HTTP服务用线程池实现一下。写一个DLL的钩子程序监控指定窗口的关闭事件,或是记录某个窗口的按键。
有了多线程、多进程通信,TCP/IP,套接字,C++和设计模式的基本,你可以研究一下ACE了。使用ACE重写上述的聊天程序和HTTP服务器(带线程池)
实践任务:通过以上的所有知识,尝试
写一个服务端给客户端传大文件,要求把100M的带宽用到80%以上。(注意,磁盘I/O和网络I/O可能会很有问题,想一想怎么解决,另外,请注意网络传输最大单元MTU)
了解BT下载的工作原理,用多进程的方式模拟BT下载的原理。
3、系统架构
负载均衡。HASH式的,纯动态式的。(可以到Google学术里搜一些关于负载均衡的文章读读)
多层分布式系统 – 客户端服务结点层、计算结点层、数据cache层,数据层。J2EE是经典的多层结构。
CDN系统 – 就近访问,内容边缘化。
P2P式系统,研究一下BT和电驴的算法。比如:DHT算法。
服务器备份,双机备份系统(Live-Standby和Live-Live系统),两台机器如何通过心跳监测对方?集群主结点备份。
虚拟化技术,使用这个技术,可以把操作系统当应用程序一下切换或重新配置和部署。
学习Thrift,二进制的高性能的通讯中间件,支持数据(对象)序列化和多种类型的RPC服务。
学习Hadoop。Hadoop框架中最核心的设计就是:MapReduce和HDFS。MapReduce的思想是由Google的一篇论文所提及而被广为流传的,简单的一句话解释MapReduce就是“任务的分解与结果的汇总”。HDFS是Hadoop分布式文件系统(Hadoop Distributed File System)的缩写,为分布式计算存储提供了底层支持。
了解NoSQL数据库(有人说可能是一个过渡炒作的技术),不过因为超大规模以及高并发的纯动态型网站日渐成为主流,而SNS类网站在数据存取过程中有着实时性等刚性需求,这使得目前NoSQL数据库慢慢成了人们所关注的焦点,并大有成为取代关系型数据库而成为未来主流数据存储模式的趋势。当前NoSQL数据库很多,大部分都是开源的,其中比较知名的有:MemcacheDB、Redis、Tokyo Cabinet(升级版为Kyoto Cabinet)、Flare、MongoDB、CouchDB、Cassandra、Voldemort等。
自学前端需要达到什么水平才能去工作
原来问及前端工程师的基础技能素养,可能html、css、JavaScript就搞定了。但是时代在变,企业对于人才的需求与能力要求也在发生变化,就web前端本身来说,每年也有很多新技术、新趋势的涌现。
要知道前端=切图这个职业设定早就成为过去式了,这种狭隘的职业定位是在其技术匮乏时代的产物,现在web前端工程师基本都是使用html5组织页面,使用css3绘图,很多元素已经不需要再使用图片还原设计,这其实是一个很大的进步。
而且web前端的工程师的技能要求已经不是仅仅停留在前端这个层面,像后端基础、大数据可视化、用户心理等都要有所涉及和了解。
前端工程师要学到什么程度才能找到一份最基本的工作?
单纯从技术角度分析,我大致做了如下知识点罗列,希望对大家的学习有帮助~
PC端网站布局:HTML基础,CSS基础,CSS核心属性,CSS样式层叠,继承,盒模型,容器,溢出及元素类型,浏览器兼容与宽高自适度,定位,锚点与透明,图片整合,表格,CSS属性与滤镜等。
HTML5+CSS3基础:HTML5新增的元素与属性,表单域增强元素,CSS3选择器,文字字体相关样式,CSS3位移与变形处理,CSS3 2D转换与过渡动画,CSS3 3D转换与关键帧动画,弹性盒模型,媒体查询,响应式设计等。
WebApp页面布局:移动端页面设计规范,移动端切图,文字流式/控件弹性/图片等比例/特殊设计的100%布局,等比缩放布局,viewport/meta,rem/vw的使用,flexbox详解,移动web特别样式处理等。
原生JavaScript交互功能开发:基本语法,循环语句,函数与数组,String与Date,BOM与DOM,事件,拖拽效果,cookie存储,正则表达式,Ajax,面向对象基础,运动与游戏开发等。
面向对象进阶与ES5/ES6应用:Promise/A+,设计模式(观察者模式等),原型链,构造函数,执行上下文栈与执行上下文,变量对象与活动对象,作用域链,闭包,this,ES5,ES6等。
JavaScript工具库自主研发:DOM库,事件库,AJAX库,原型和继承库,MVVM核心库,基于SPA的路由库等。
jQuery经典交互特效:时间轴特效,tab页面切换效果,网页定位导航特效,滑动门特效,焦点图轮播特效,导航条菜单效果,瀑布流特效,弹出层效果,倒计时效果等。
PHP+MySQL后端基础:PHP,MySQL,HTTP(s)协议详解,Ajax进阶、跨域与Defered,Apache与Nginx 环境搭建与配置,接口的定义,Mock数据,Restful,前后端联调,前端安全(XSS,CSRF,JSON注入)等。
前端工程化与模块化应用:Gulp,Webpack,NPM,Git/SVN,CommonJS,AMD,CMD,ES6模块化等。
PC端全栈开发:大首页、列表页与详情页展示与交互特效、搜索、登录与注册、购物车、jQueryUI 与 jQuery EasyUI、Bootstrap(ACE)、Highcharts/Echarts、ArtTemplate、Velocity、Smarty、云平台系统前端等。
应用Vue.js开发WebApp:Vue.js基础,模块化,单文件组件,路由,与服务器通信,状态管理,单元测试与生产发布,服务端渲染SSR与Nuxt.js,基于Vue.js企业级项目开发等。
应用React.js开发WebApp:ReactJS基础,JSX语法,组件,flux+Redux,React,Router路由,动画效果,基于React 企业级项目研发等。
应用Angular开发WebApp:TypeScript 基础与进阶,开发环境配置,Hello World,架构、模块与组件,模板,元数据、数据绑定与数据显示,表单,服务与指令,依赖注入,路由,Ionic 3 MUI框架等。
微信公众号开发:初识微信公众号,订阅号的基本功能,使用百度BAE实现代码的快速上线,使用Git完成线上代码部署,公众号开发权限及功能接入,微信JSSDK接口API,微信场景项目开发与接入等。
微信小程序开发:微信小程序初探,小程序入门必学,小程序组件体验,小程序大功能,项目实战等。
React Native:React Native 初探,React Native 项目导航,React Native 项目文本框,React Native 项目滚动分页,React Native 项目第三方登录,React Native其他组件等。
各类混合应用开发:自主原生Navtive Hybrid,第三方Hybrid框架Cordova/Phone gap,第三方Hybrid框架等。
白帽子讲Web安全的目录
《白帽子讲web安全》第一篇 世界观安全第1章 我的安全世界观 21.1 web安全简史 21.1.1 中国黑客简史 21.1.2 黑客技术的发展历程 31.1.3 web安全的兴起 51.2 黑帽子,白帽子 61.3 返璞归真,揭秘安全的本质 71.4 破除迷信,没有银弹 91.5 安全三要素 101.6 如何实施安全评估 111.6.1 资产等级划分 121.6.2 威胁分析 131.6.3 风险分析 141.6.4 设计安全方案 151.7 白帽子兵法 161.7.1 secure by default原则 161.7.2 纵深防御原则 181.7.3 数据与代码分离原则 19.1.7.4 不可预测性原则 211.8 小结 22(附)谁来为漏洞买单? 23第二篇 客户端脚本安全第2章 浏览器安全 262.1 同源策略 262.2 浏览器沙箱 302.3 恶意网址拦截 332.4 高速发展的浏览器安全 362.5 小结 39第3章 跨站脚本攻击(xss) 403.1 xss简介 403.2 xss攻击进阶 433.2.1 初探xss payload 433.2.2 强大的xss payload 463.2.3 xss 攻击平台 623.2.4 终极武器:xss worm 643.2.5 调试javascript 733.2.6 xss构造技巧 763.2.7 变废为宝:mission impossible 823.2.8 容易被忽视的角落:flash xss 853.2.9 真的高枕无忧吗:javascript开发框架 873.3 xss的防御 893.3.1 四两拨千斤:httponly 893.3.2 输入检查 933.3.3 输出检查 953.3.4 正确地防御xss 993.3.5 处理富文本 1023.3.6 防御dom based xss 1033.3.7 换个角度看xss的风险 1073.4 小结 107第4章 跨站点请求伪造(csrf) 1094.1 csrf简介 1094.2 csrf进阶 1114.2.1 浏览器的cookie策略 1114.2.2 p3p头的副作用 1134.2.3 get? post? 1164.2.4 flash csrf 1184.2.5 csrf worm 1194.3 csrf的防御 1204.3.1 验证码 1204.3.2 referer check 1204.3.3 anti csrf token 1214.4 小结 124第5章 点击劫持(clickjacking) 1255.1 什么是点击劫持 1255.2 flash点击劫持 1275.3 图片覆盖攻击 1295.4 拖拽劫持与数据窃取 1315.5 clickjacking 3.0:触屏劫持 1345.6 防御clickjacking 1365.6.1 frame busting 1365.6.2 x-frame-options 1375.7 小结 138第6章 html 5 安全 1396.1 html 5新标签 1396.1.1 新标签的xss 1396.1.2 iframe的sandbox 1406.1.3 link types: noreferrer 1416.1.4 canvas的妙用 1416.2 其他安全问题 1446.2.1 cross-origin resource sharing 1446.2.2 postmessage——跨窗口传递消息 1466.2.3 web storage 1476.3 小结 150第三篇 服务器端应用安全第7章 注入攻击 1527.1 sql注入 1527.1.1 盲注(blind injection) 1537.1.2 timing attack 1557.2 数据库攻击技巧 1577.2.1 常见的攻击技巧 1577.2.2 命令执行 1587.2.3 攻击存储过程 1647.2.4 编码问题 1657.2.5 sql column truncation 1677.3 正确地防御sql注入 1707.3.1 使用预编译语句 1717.3.2 使用存储过程 1727.3.3 检查数据类型 1727.3.4 使用安全函数 1727.4 其他注入攻击 1737.4.1 xml注入 1737.4.2 代码注入 1747.4.3 crlf注入 1767.5 小结 179第8章 文件上传漏洞 1808.1 文件上传漏洞概述 1808.1.1 从fckeditor文件上传漏洞谈起 1818.1.2 绕过文件上传检查功能 1828.2 功能还是漏洞 1838.2.1 apache文件解析问题 1848.2.2 iis文件解析问题 1858.2.3 php cgi路径解析问题 1878.2.4 利用上传文件钓鱼 1898.3 设计安全的文件上传功能 1908.4 小结 191第9章 认证与会话管理 1929.1 who am i? 1929.2 密码的那些事儿 1939.3 多因素认证 1959.4 session与认证 1969.5 session fixation攻击 1989.6 session保持攻击 1999.7 单点登录(sso) 2019.8 小结 203第10章 访问控制 20510.1 what can i do? 20510.2 垂直权限管理 20810.3 水平权限管理 21110.4 oauth简介 21310.5 小结 219第11章 加密算法与随机数 22011.1 概述 22011.2 stream cipher attack 22211.2.1 reused key attack 22211.2.2 bit-flipping attack 22811.2.3 弱随机iv问题 23011.3 wep破解 23211.4 ecb模式的缺陷 23611.5 padding oracle attack 23911.6 密钥管理 25111.7 伪随机数问题 25311.7.1 弱伪随机数的麻烦 25311.7.2 时间真的随机吗 25611.7.3 破解伪随机数算法的种子 25711.7.4 使用安全的随机数 26511.8 小结 265(附)understanding md5 length extension attack 267第12章 web框架安全 28012.1 mvc框架安全 28012.2 模板引擎与xss防御 28212.3 web框架与csrf防御 28512.4 http headers管理 28712.5 数据持久层与sql注入 28812.6 还能想到什么 28912.7 web框架自身安全 28912.7.1 struts 2命令执行漏洞 29012.7.2 struts 2的问题补丁 29112.7.3 spring mvc命令执行漏洞 29212.7.4 django命令执行漏洞 29312.8 小结 294第13章 应用层拒绝服务攻击 29513.1 ddos简介 29513.2 应用层ddos 29713.2.1 cc攻击 29713.2.2 限制请求频率 29813.2.3 道高一尺,魔高一丈 30013.3 验证码的那些事儿 30113.4 防御应用层ddos 30413.5 资源耗尽攻击 30613.5.1 slowloris攻击 30613.5.2 http post dos 30913.5.3 server limit dos 31013.6 一个正则引发的血案:redos 31113.7 小结 315第14章 php安全 31714.1 文件包含漏洞 31714.1.1 本地文件包含 31914.1.2 远程文件包含 32314.1.3 本地文件包含的利用技巧 32314.2 变量覆盖漏洞 33114.2.1 全局变量覆盖 33114.2.2 extract()变量覆盖 33414.2.3 遍历初始化变量 33414.2.4 import_request_variables变量覆盖 33514.2.5 parse_str()变量覆盖 33514.3 代码执行漏洞 33614.3.1 “危险函数”执行代码 33614.3.2 “文件写入”执行代码 34314.3.3 其他执行代码方式 34414.4 定制安全的php环境 34814.5 小结 352第15章 web server配置安全 35315.1 apache安全 35315.2 nginx安全 35415.3 jboss远程命令执行 35615.4 tomcat远程命令执行 36015.5 http parameter pollution 36315.6 小结 364第四篇 互联网公司安全运营第16章 互联网业务安全 36616.1 产品需要什么样的安全 36616.1.1 互联网产品对安全的需求 36716.1.2 什么是好的安全方案 36816.2 业务逻辑安全 37016.2.1 永远改不掉的密码 37016.2.2 谁是大赢家 37116.2.3 瞒天过海 37216.2.4 关于密码取回流程 37316.3 账户是如何被盗的 37416.3.1 账户被盗的途径 37416.3.2 分析账户被盗的原因 37616.4 互联网的垃圾 37716.4.1 垃圾的危害 37716.4.2 垃圾处理 37916.5 关于网络钓鱼 38016.5.1 钓鱼网站简介 38116.5.2 邮件钓鱼 38316.5.3 钓鱼网站的防控 38516.5.4 网购流程钓鱼 38816.6 用户隐私保护 39316.6.1 互联网的用户隐私挑战 39316.6.2 如何保护用户隐私 39416.6.3 do-not-track 39616.7 小结 397(附)麻烦的终结者 398第17章 安全开发流程(sdl) 40217.1 sdl简介 40217.2 敏捷sdl 40617.3 sdl实战经验 40717.4 需求分析与设计阶段 40917.5 开发阶段 41517.5.1 提供安全的函数 41517.5.2 代码安全审计工具 41717.6 测试阶段 41817.7 小结 420第18章 安全运营 42218.1 把安全运营起来 42218.2 漏洞修补流程 42318.3 安全监控 42418.4 入侵检测 42518.5 紧急响应流程 42818.6 小结 430(附)谈谈互联网企业安全的发展方向 431· · · · · ·