网页的扩展名是.ssi 大家知道是用什么做的吗？-CSDN社区

什么是 SHTML 使用SSI（Server Side Include）的html文件扩展名，SSI（Server Side Include），通常称为“服务器端嵌入”或者叫“服务器端包含”，是一种类似于ASP的基于服务器的网页制作技术。 SSI工作原理：将内容发送到浏览器之前，可以使用“服务器端包含 (SSI)”指令将文本、图形或应用程序信息包含到网页中。例如，可以使用 SSI 包含时间/日期戳、版权声明或供客户填写并返回的表单。对于在多个文件中重复出现的文本或图形，使用包含文件是一种简便的方法。将内容存入一个包含文件中即可，而不必将内容输入所有文件。通过一个非常简单的语句即可调用

[WEB安全测试].(美)霍普.扫描版.pdf （美）霍普等著傅鑫等译出版社：清华大学出版社ＩＳＢＮ：9787302219682 出版时间：2010-03-01 版　　次：1 页　　数：281 装　　帧：平装开　　本：16开所属分类：图书 > 计算机与互联网 > 计算机安全内容简介　　在你对Web应用所执行的测试中，安全测试可能是最重要的，但它却常常是最容易被忽略的。本书中的秘诀演示了开发和测试人员在进行单元测试、回归测试或探索性测试的同时，如何去检查最常见的Web安全问题。与即兴的安全评估不同的是，这些秘诀是可重复的、简洁的、系统的——可以完美地集成到你的常规测试套装中。　　本书中的秘诀所覆盖的基础知识包括了从观察客户端和服务器之间的消息到使用脚本完成登录并执行Web应用功能的多阶段测试。在本书的最后，你将能够建立精确定位到Ajax函数的测试，以及适用于常见怀疑对象(跨站式脚本和注入攻击)的大型多级测试。　　本书将帮助你：　　·获取、安装和配置有用的——且免费的——安全测试工具　　·理解你的应用如何与用户通信，这样你就可以在测试中更好地模拟攻击　　·从许多不同的模拟常见攻击(比如SQL注入、跨站式脚本和操纵隐藏表单域)的方法中进行选择　　·作为自动化测试的出发点，通过使用秘诀中的脚本和例子，使你的测试可重复　　不用再担心午夜来电话告诉你站点被破坏了。通过本书和示例中所用的免费工具，你可以将安全因素加入到你的测试套装中，从而得以睡个安稳觉。作者简介　　Paco Hope，是Cigital公司的一名技术经理，《Mastering FreeBsD and 0penBsDsecurity》　（由O’Reilly出版）的合著者之一。他也发表过有关误用、滥用案例和PKI的文章。他曾被邀请到会议就软件安全需求、Web应用安全和嵌入式系统安全等话题发表演讲。在Cigital，他曾担任MasterCard Internationa！在安全策略方面的主题专家，而且曾协助一家世界500强的服务业公司编写软件安全策略。他也为软件开发和测试人员提供软件安全基础方面的培训。他还曾为博彩业和移动通信行业中的几家公司提出过软件安全方面的建议。Paco曾在威廉玛丽学院主修计算机科学和英语，并从弗吉尼亚大学获得计算机科学方面的理学硕士学位。　　Ben Waltller，是Cigital公司的一名顾问，Edit C00kies工具的开发者之一。他同时参与标准质量保证和软件安全方面的工作。他日复一日地设计和执行测试一一因此他理解忙碌的QA领域对简单秘诀的需求。他也曾对开放式Web应用程序安全项目（0WAsP）的成员就w曲应用测试工具发表过演讲。目录序 1 前言 3 第1章绪论 13 1.1 什么是安全测试 13 1.2 什么是Web应用 17 1.3 Web应用基础 21 1.4 Web应用安全测试 25 1.5 方法才是重点 26 第2章安装免费工具 29 2.1 安装Firefox 29 2.2 安装Firefox扩展 30 2.3 安装Firebug 31 2.4 安装OWASP的WebScarab 32 2.5 在Windows上安装Perl及其软件包 33 2.6 在Linux， Unix或OS X上安装Perl和使用CPAN 34 2.7 安装CAL9000 35 2.8 安装ViewState Decoder 36 2.9 安装cURL 36 2.10 安装Pornzilla 37 2.11 安装Cygwin 38 2.12 安装Nikto 2 39 2.13 安装Burp Suite 40 2.14 安装Apache HTTP Server 41 第3章基本观察 43 3.1 查看网页的HTML源代码 44 3.2 查看源代码，高级功能 45 3.3 使用Firebug观察实时的请求头 48 3.4 使用WebScarab观察实时的POST数据 52 3.5 查看隐藏表单域 55 3.6 使用TamperData观察实时的响应头 56 3.7 高亮显示JavaScript和注释 59 3.8 检测JavaScript事件 60 3.9 修改特定的元素属性 61 3.10 动态跟踪元素属性 63 3.11 结论 65 第4章面向Web的数据编码 66 4.1 辨别二进制数据表示 67 4.2 使用Base-64 69 4.3 在网页中转换Base-36数字 71 4.4 在Perl中使用Base-36 71 4.5 使用以URL方式编码的数据 72 4.6 使用HTML实体数据 74 4.7 计算散列值 76 4.8 辨别时间格式 78 4.9 以编程方式对时间值进行编码 80 4.10 解码ASP.NET的视图状态 81 4.11 解码多重编码 83 第5章篡改输入 85 5.1 截获和修改POST请求 86 5.2 绕过输入限制 89 5.3 篡改URL 90 5.4 自动篡改URL 93 5.5 测试对URL长度的处理 94 5.6 编辑Cookie 96 5.7 伪造浏览器头信息 99 5.8 上传带有恶意文件名的文件 101 5.9 上传大文件 104 5.10 上传恶意XML实体文件 105 5.11 上传恶意XML结构 107 5.12 上传恶意ZIP文件 109 5.13 上传样例病毒文件 110 5.14 绕过用户界面的限制 111 第6章自动化批量扫描 114 6.1 使用WebScarab爬行网站 115 6.2 将爬行结果转换为清单 117 6.3 减少要测试的URL 120 6.4 使用电子表格程序来精简列表 120 6.5 使用LWP对网站做镜像 121 6.6 使用wget对网站做镜像 123 6.7 使用wget对特定的清单做镜像 124 6.8 使用Nikto扫描网站 125 6.9 理解Nikto的输出结果 127 6.10 使用Nikto扫描HTTPS站点 128 6.11 使用带身份验证的Nikto 129 6.12 在特定起始点启动Nikto 130 6.13 在Nikto中使用特定的会话Cookie 131 6.14 使用WSFuzzer测试Web服务 132 6.15 理解WSFuzzer的输出结果 134 第7章使用cURL实现特定任务的自动化 137 7.1 使用cURL获取页面 138 7.2 获取URL的许多变体 139 7.3 自动跟踪重定向 140 7.4 使用cURL检查跨站式脚本 141 7.5 使用cURL检查目录遍历 144 7.6 冒充特定类型的网页浏览器或设备 147 7.7 以交互方式冒充另一种设备 149 7.8 使用cURL模仿搜索引擎 151 7.9 通过假造Referer头信息来伪造工作流程 152 7.10 仅获取HTTP头 153 7.11 使用cURL发送POST请求 154 7.12 保持会话状态 156 7.13 操纵Cookie 157 7.14 使用cURL上传文件 158 7.15 建立多级测试用例 159 7.16 结论 164 第8章使用LibWWWPerl实现自动化 166 8.1 编写简单的Perl脚本来获取页面 167 8.2 以编程方式更改参数 169 8.3 使用POST模仿表单输入 170 8.4 捕获和保存Cookie 172 8.5 检查会话过期 173 8.6 测试会话固定 175 8.7 发送恶意Cookie值 177 8.8 上传恶意文件内容 179 8.9 上传带有恶意名称的文件 181 8.10 上传病毒到应用 182 8.11 使用Perl解析接收到的值 184 8.12 以编程方式来编辑页面 186 8.13 使用线程化提高性能 189 第9章查找设计缺陷 191 9.1 绕过必需的导航 192 9.2 尝试特权操作 194 9.3 滥用密码恢复 195 9.4 滥用可预测的标识符 197 9.5 预测凭证 199 9.6 找出应用中的随机数 200 9.7 测试随机数 202 9.8 滥用可重复性 204 9.9 滥用高负载操作 206 9.10 滥用限制性的功能 208 9.11 滥用竞争条件 209 第10章攻击AJAX 211 10.1 观察实时的AJAX请求 213 10.2 识别应用中的JavaScript 214 10.3 从AJAX活动回溯到源代码 215 10.4 截获和修改AJAX请求 216 10.5 截获和修改服务器响应 218 10.6 使用注入数据破坏AJAX 220 10.7 使用注入XML破坏AJAX 222 10.8 使用注入JSON破坏AJAX 223 10.9 破坏客户端状态 224 10.10 检查跨域访问 226 10.11 通过JSON劫持来读取私有数据 227 第11章操纵会话 229 11.1 在Cookie中查找会话标识符 230 11.2 在请求中查找会话标识符 232 11.3 查找Authentication头 233 11.4 分析会话ID过期 235 11.5 使用Burp分析会话标识符 239 11.6 使用WebScarab分析会话随机性 240 11.7 更改会话以逃避限制 245 11.8 假扮其他用户 247 11.9 固定会话 248 11.10 测试跨站请求伪造 249 第12章多层面的测试 251 12.1 使用XSS窃取Cookie 251 12.2 使用XSS创建覆盖 253 12.3 使用XSS产生HTTP请求 255 12.4 以交互方式尝试基于DOM的XSS 256 12.5 绕过字段长度限制（XSS） 258 12.6 以交互方式尝试跨站式跟踪 259 12.7 修改Host头 261 12.8 暴力猜测用户名和密码 263 12.9 以交互方式尝试PHP包含文件注入 265 12.10 制作解压缩炸弹 266 12.11 以交互方式尝试命令注入 268 12.12 系统地尝试命令注入 270 12.13 以交互方式尝试XPath注入 273 12.14 以交互方式尝试服务器端包含（SSI）注入 275 12.15 系统地尝试服务器端包含（SSI）注入 276 12.16 以交互方式尝试LDAP注入 278 12.17 以交互方式尝试日志注入 280

大体分为3个阶段的学习：第一阶段是mvc基础的学习，通过通俗易懂的例子，体现mvc框架的优势；第二阶段是EF的学习，通过实际案例，体现orm框架的伟大之处；第三阶段是项目开发阶段，采用mvc+ef+多层架构的布局，采用TDD的开发模式，大概的功能如下：《巧租房》是一个手机版的租房网站，提供了搜索房源、预约看房、房源委托、后台抢单、房源管理、操作日志、定时报表、配置管理等功能。项目采用的是b/s模式的架构，包括一个后台管理和一个前端的可以自适应于手机端的页面，项目全程采用TDD开发模式，用到如下的技术：前端技术：前端MVC引擎(artTemplate)、HUI、MUI（手机端自适应）、ValidForm、Layer； .Net高级技术：自定义Filter、自定义ModelBinder、ASP.Net MVC+EntityFramework实践；大型网站架构：UnitTest、AutoFac、分布式架构（Redis、Memecached等）、CDN与云存储、云计算服务（短信验证、SendCloud邮件云）、RBAC权限控制、页面静态化和SSI；数据库并发控制（悲观锁与乐观锁）；高级开源组件：ElasticSearch全文搜索引擎；Quartz.Net定时调度；UEditor；Log4Net**版；互联网网站安全（XSS、CSRF等）；CodeCarvings.Piczard（水印、缩略图）；CaptchaGen（验证码）；WebUploader文件无刷新上传

网管教程从入门到精通软件篇 ★一。★详细的xp修复控制台命令和用法!!! 放入xp（2000）的光盘，安装时候选R，修复！ Windows XP（包括 Windows 2000）的控制台命令是在系统出现一些意外情况下的一种非常有效的诊断和测试以及恢复系统功能的工具。小编的确一直都想把这方面的命令做个总结，这次辛苦老范给我们整理了这份实用的秘笈。　　Bootcfg 　　bootcfg 命令启动配置和故障恢复（对于大多数计算机，即 boot.ini 文件）。　　含有下列参数的 bootcfg 命令仅在使用故障恢复控制台时才可用。可在命令提示符下使用带有不同参数的 bootcfg 命令。　　用法：　　bootcfg /default　　设置默认引导项。　　bootcfg /add　　　　向引导列表中添加 Windows 安装。　　bootcfg /rebuild　　重复全部 Windows 安装过程并允许用户选择要添加的内容。　　注意：使用 bootcfg /rebuild 之前，应先通过 bootcfg /copy 命令备份 boot.ini 文件。　　bootcfg /scan　　　扫描用于 Windows 安装的所有磁盘并显示结果。　　注意：这些结果被静态存储，并用于本次会话。如果在本次会话期间磁盘配置发生变化，为获得更新的扫描，必须先重新启动计算机，然后再次扫描磁盘。　　bootcfg /list　　　列出引导列表中已有的条目。　　bootcfg /disableredirect 在启动引导程序中禁用重定向。　　bootcfg /redirect [ PortBaudRrate] |[ useBiosSettings] 　　在启动引导程序中通过指定配置启用重定向。　　范例： bootcfg /redirect com1 115200 bootcfg /redirect useBiosSettings 　　hkdsk 　　创建并显示磁盘的状态报告。Chkdsk 命令还可列出并纠正磁盘上的错误。　　含有下列参数的 chkdsk 命令仅在使用故障恢复控制台时才可用。可在命令提示符下使用带有不同参数的 chkdsk 命令。　　vol [drive:] [ chkdsk [drive:] [/p] [/r] 　　参数　　无　　如果不带任何参数，chkdsk 将显示当前驱动器中的磁盘状态。 drive: 指定要 chkdsk 检查的驱动器。 /p　　即使驱动器不在 chkdsk 的检查范围内，也执行彻底检查。该参数不对驱动器做任何更改。 /r　　找到坏扇区并恢复可读取的信息。隐含着 /p 参数。　　注意 Chkdsk 命令需要 Autochk.exe 文件。如果不能在启动目录（默认为 %systemroot%System32）中找到该文件，将试着在 Windows 安装 CD 中找到它。如果有多引导系统的计算机，必须保证是在包含 Windows 的驱动器上使用该命令。 Diskpart 　　创建和删除硬盘驱动器上的分区。diskpart 命令仅在使用故障恢复控制台时才可用。　　diskpart [ /add |/delete] [device_name |drive_name |partition_name] [size] 　　参数无　　如果不带任何参数，diskpart 命令将启动 diskpart 的 Windows 字符模式版本。　　/add 　　创建新的分区。　　/delete 　　删除现有分区。　　device_name 　　要创建或删除分区的设备。设备名称可从 map 命令的输出获得。例如，设备名称：　　DeviceHardDisk0 　　drive_name 　　以驱动器号表示的待删除分区。仅与 /delete 同时使用。以下是驱动器名称的范例：　　D: 　　partition_name 　　以分区名称表示的待删除分区。可代替 drive_name 使用。仅与 /delete 同时使用。以下是分区名称的范例：　　DeviceHardDisk0Partition1 　　大小　　要创建的分区大小，以兆字节 (MB)表示。仅与 /add 同时使用。　　范例　　下例将删除分区： diskpart /delete Device HardDisk0 Partition3 diskpart /delete F: 　　下例将在硬盘上添加一个 20 MB 的分区：　　diskpart /add Device HardDisk0 20 　　Fixboot

书名: ASP 3高级编程英文原书名: Professional Active Server Pages 3.0 作者: Richard Anderson Chris Blexrud 译者: 刘福太张立民金慧琴梁发麦书号: 7-111-07678-8 页码: 925 定价: ￥89.00 会员价: ￥80.10 币值: 801 出版社: 机械工业出版社出版日期: 2000-10-30 包含在Windows 2000中的Active Server Pages 3.0 (ASP 3.0)是Microsoft公司推出的又一个支持Internet的功能强大的网页制作软件包，除了继续保持其适应于各种浏览器的基本特征外，与ASP 2.0相比，功能更加强大，目前已成为开发Internet应用程序的理想选择。本书第1~7章介绍了ASP的基础知识、ASP 3.0的变化、ASP的对象模型、使用ASP脚本和外部组件的所要求的基本概念。第8~12章介绍了通用数据的访问和连接问题，包括ADO、UDA和XML。第13~18章介绍了使用ASP建立组件的问题，以及COM和COM+如何改变组件的环境。第19~23章是关于ASP与BackOffice类应用软件的结合问题，如Microsoft Message Queue Server、Collaborative Data Objects、Microsoft Exchange和Active Directory等等。第24~27章是在企业环境中使用ASP的安全性、性能和可扩展性等问题。第28章和附录提供了一个XML驱动的在线报纸示例和大量以表格形式给出的相关资料。本书不仅为Internet开发人员提供了详实的开发编程指导，也是致力于Internet网络应用与开发的广大科技人员和大专院校相关专业师生的一本重要的自学、教学参考书。译者序前言第1章 ASP基础 1 1.1 ASP的起源 1 1.1.1 HTML的起源 2 1.1.2 动态页面的起源 2 1.2 ASP如何与IIS连接 5 1.2.1 关于应用程序的映射 5 1.2.2 处理一个ASP文件 7 1.3 相关设置问题和管理 12 1.3.1 IIS的安装 12 1.3.2 IIS管理工具 15 1.3.3 常见的管理任务 18 1.4 ASP 3.0对象模型概要 22 1.4.1 对象环境概念 22 1.4.2 ASP内置的对象 23 1.5 ASP 3.0中的新特性 24 1.5.1 ASP 3.0新特性概要 24 1.5.2 对ASP 2.0的改进 26 1.5.3 VBScript 5.0中的新特性 28 1.5.4 JScript 5.0中的新特性 30 1.5.5 其他的新特性 31 1.6 小结 32 第2章请求和响应的处理 33 2.1 客户端和服务器的交流 33 2.2 Request和Response对象 35 2.2.1 Request对象成员的概述 35 2.2.2 Response对象成员概述 36 2.3 使用Form和QueryString集合 38 2.3.1 访问ASP集合的一般技术 38 2.3.2 访问和更新Cookies集合 44 2.3.3 Form和QueryString的差异 46 2.3.4 查看Request和Response对象内容 47 2.3.5 ASP中cookie的使用 52 2.4 使用ServerVariables集合 53 2.4.1 “自引用”页面 54 2.4.2 检测浏览器的版本 55 2.4.3 检测浏览器的语言 56 2.4.4 其他有用的ServerVariables集合的值 57 2.5 其他Request和Response技巧 57 2.5.1 连接、缓冲和页面重定向的管理 58 2.5.2 操作HTTP报头 60 2.5.3 使用客户证书 65 2.5.4 读写二进制数据 67 2.5.5 创建定制的日志消息 67 2.6 小结 69 第3章 ASP应用程序与会话 70 3.1 Web上的状态管理 70 3.1.1 状态的准确定义 70 3.1.2 状态的重要性 71 3.1.3 在Web上创建状态 71 3.2 Web应用程序的定义 73 3.2.1 ASP应用程序的定义 73 3.2.2 ASP会话的定义 81 3.3 ASP的Application对象和Session对象 83 3.3.1 ASP的Application对象成员概述 84 3.3.2 ASP的Session对象成员概述 85 3.3.3 使用Application和Session的事件 86 3.3.4 活动中的ASP Application对象 89 3.3.5 活动中的ASP Session对象 93 3.4 小结 96 第4章服务器进程和ASP Server对象 98 4.1 动态页中服务器端的处理 98 4.2 服务器端的包含指令 100 4.2.1 不可思议的ASP #include指令 100 4.2.2 服务器端包含指令概要 102 4.2.3 服务器端包含指令的例子 104 4.3 ASP Server对象 109 4.3.1 ASP Server对象成员概述 109 4.3.2 创建其他对象的实例 110 4.3.3 执行其他的网页 114 4.3.4 Server对象的错误处理 118 4.3.5 获取Server对象的路径信息 125 4.3.6 使用Server对象格式化数据 127 4.4 小结 132 第5章脚本运行期库对象 134 5.1 脚本对象的定义 134 5.1.1 不同类型的对象和组件 134 5.1.2 VBScript和JScript脚本对象 135 5.2 创建对象和组件实例 136 5.2.1 使用Server.CreateObject方法 136 5.2.2 使用