Java的第一个程序与XSS简介

今天早上7点钟起床就去实验室了，到中午12点多，早上7:30到9点这段时间在楼顶看书（因为热的原因）；9:10-11:10整理今早的笔记，11:10-12:00搭建Java开发环境！因为这个Java一直以来都想学，所以最近抽点时间赶紧搭建了一个环境！晚上有空看看Java的东西！

《白帽子讲web安全》第40页-第77页！

跨站脚本攻击（XSS）

1 XSS攻击，通常是通过“HTML”注入的方式进行篡改网页，插入恶意脚本使其用户浏览网页时的一种攻击。XSS最初之意是通过插入而已代码进行跨站攻击，但随着JavaScript的出现及其强大的功能，是否跨站已不再重要。

2  XSS的几种类型：

（1）反射型XSS,也称作是“非持久性”XSS;反射型XSS只是简单的把用户输入的数据“反射”给浏览器；

（2）储存性XSS;又称“持久性XSS”，储存性XSS会把用户输入的数据储存在服务器端，这种XSS具有很强的稳定性。

（3）Dom based xss：通过修改页面的dom节点形成XSS。

3  XSS   Payload（跨站跨站脚本攻击的有效荷载）

XSS payload实际上就是JavaScript脚本，少数是actionscript！常见的XSS payload就是黑客通过浏览器进行的cookies劫持攻击。（什么是cookies，就不必解释，其主要作用是在浏览器的服务器或客户端存放用户的登录信息的，有session cookies和本地cookies。在http和https协议中比较多见）。

那么cookies劫持的过程是什么呢？

首先，攻击者会在别的服务器先写好一个脚本，攻击的时候进行远程加载脚本，而恰恰XSSpayload就写在这个远程的脚本里，这么做的好处是直接避免在URL的参数里写入大量的JavaScript代码。而后通过加载进来的标签窃取cookies。具体的代码实现原理是通过加载远程脚本在当前网页嵌入一张看不见的图片进行后台窃取数据！（具体过程还不太懂，等待实践）！

Cookie的httponly标识可以防止cookie劫持。

可以通过构造GET |POST的http请求来进行XSSpayload攻击。

4   XSS 的攻击平台：Attack Api，BeEF,XSS-Pooxy等！

问题一：关于跨站脚本攻击看了一半的内容，当时看完觉得挺像那么一回事的，但是回过头来写笔记翻书时觉得又陌生了！解决办法：时时刻刻回头去复习，多看看就熟练了应该！

问题二：看书的过程中有很多类似于payload的词汇不是太懂，但是马上去查询了，虽说第一次见，第一次看印象不会太深，但是我觉得多看看，多查查几遍，这些问题就会引刃而解的！

早上用半个小时时间搭建了一个Java开发环境；

原料：Windows 7、JDK、eslipse

过程：JDK：去oracle官网下载JDK的开发集成环境IDE，还有下载开发工具包！都在同一个页面内。

Eslipse：百度搜索下载安装即可（默认英文版的）

Windows 7：需要在系统高级设置环境变量：包括JAVA_HOME,PATH,CLASSPATH;以及他们的路径；

结果：最后打开eslipse就可以开始你的Java程序设计了！

早上半天的学习心得：虽然说效率不会太高，但真真切切的这些事自己都通过查资料，百度，问别人学会了!很值得高兴，但是要永远记住一句话：你会的，你学到的别人也会，别人或许比你更早学到！所以没什么可以炫耀的，静下心来，淡定下来继续往前走···我们的路还很长，自己一个人需要坚持走下去的路更长···加油！

无意之中get到一个好东西：

 

晚上看了会英语四级词汇！英语学习太枯燥了，词汇量问题怎么解决啊！求大神指导！特别希望自己的英语水平能高一点！（This is a big problem,who can help me ?）

 

试着自己写了一个简单的Java程序（hello Java）

具体的操作步骤如下：

（1）首先打开eslipse；

 

（2）新建一个Java工程：并填写工程的名字，这个和vs的用法一样！

 

（3)在工程选项右击选择新建一个class，并填入类的名字：

 

（4）接下来你会看到一个类的模板已经创建成功了，接下来要做的就是写入你的代码了！

 

 

（5）接下来就是编译运行了！右击->run as->java applications!运行结果如下所示：

 

遇到的问题总结：

1：对于搭建开发环境，最重要的就是发现自己的英语水平太烂了！全是英文版的啊！

2：下午太困了，给睡过了，导致6点才过来实验室！这点得改！

3：看书还需认真去看，时刻笔记！这点好习惯得养成！希望通过这个假期能把这件事坚持下去就好了！

4：每天看着他们这些大牛秀，真是心里急的要死啊！你说不羡慕那是假的，其实心里还会想到比他们做的更好，我们需要时间去积累一些东西！终有一天我们会小白变大牛的！加油！

5：今天突然发现一个事，真的每天在实验室坐着，很少去和别人讨论！可能是因为有别的人在学习吧，这个的确是个不小的问题呢，这个牵扯到兴趣的问题！实验室人太多了。。。

6:最后抱怨一句，实验室人太多，太特么热了、、、受不鸟！