2019.4.17
1.英语单词计划(169,170)
2.数据结构: ①二叉平衡树:左、右子树深度之差的绝对值不大于1,二叉排序树每进行一次插入,检查是否失衡,失衡则“旋转”
②B-树 : 一种平衡的多路查找树(每个非终端结点可能含有n个关键字,n个指向记录的指针,n+1个指向子树的指针)
|
–查找方法
3.C++收尾了。。最后简单介绍了一下标准模板库和容器、迭代器
ps: C++学习时间从明天开始改为Python学习替代
4.读《白帽子讲Web安全》: ①文件上传漏洞:
|
–(1)绕过文件上传检查(修改后缀–修改post包,或者使用%00截断,或者伪造文件头)
–(2)Apache文件解析问题(Apache对于文件的解析是从后往前读,直到遇见一个认识的文件类型为止,例如test.php.rar.rar.rar.rar,由于不认识.rar,会一直读到php并认为这是php文件)
–(3)IIS文件解析问题(IIS6的’;'分号截断问题,支持PUT带来的隐患)
②设计安全的文件上传功能:
|
--(1)文件上传的目录设置为不可执行
--(2)判断文件的类型(使用白名单,还可以对上传的图片进行压缩处理)
--(3)使用随机数改写文件名和路径
--(4)单独设置文件服务器的域名
⑤为了避免密码的哈希值泄漏后黑客通过彩虹表找到密码明文,在计算密码的哈希值时,可以加入一个保密的随机的字符串,这样彩虹表攻击就失效了
⑥单点登录(SSO)与OpenID的使用
⑦“基于角色的访问控制”(Role-Based Access Control)RBAC -------也被称为垂直权限管理
⑧水平权限管理问题: 系统可能只能验证用户A是否属于RoleX,而不会判断用户A是否能访问只属于用户B的数据DataB,可能会发生越权访问
|
--解决: 可以考虑使用"用户组"的概念,但是至今仍是难题,难以发现,难以在同一框架下解决(2015年)
⑨OAuth : 在不提供用户名和密码的情况下,授权第三方应用访问Web资源的安全协议 (感觉现在应用很广)
5.牛客网刷题: 关于802.1Q协议和ISL,两者的功能都是实验交换机之间传输多个vlan信息的
ISL是Cisco的一个私有协议,与EIGRP一样,只有Cisco的设备才能够使用,与其他厂商不兼容。
因为封装的形式不同,导致ISL与没有做ISL封装的普通数据帧无法识别,无法通信;而802.1Q没有破坏原数据帧结构,所以802.1Q可以与没有做Trunk封装的标准数据帧兼容,正常通信。
(63/1750)