作为初学者，我们可能经常会需要去阅读别人的代码，以求从中学到别人的设计思路，抑或是从代码中了解类库的使用。不管哪种需求，我们都需要做到快速准确地阅读。那么，究竟如何阅读呢？
让我们以一个.net的项目为例：当我们打开一个.net解决方案的时候，里面通常有不止一个项目，例如一个三层架构的web项目，里面除了一个web网站外，通常还会包括诸如数据层(DAL)、逻辑层(BLL)项目，另外，一般我们会提供一个通用项目（Common类库），或者把DAL中的model部分抽取出来，这样就可能形成一个包含很多个组件的解决方案。
...

Date：2008-5-15
Author：Yamato[ BCT ]
Version：Oblog 4.5-4.6 sql

代码分析：

文件In/Class_UserCommand.asp :

strMonth=Request("month") //第63行

strDay=Request("day")

……

　我们势必需要经常性的检查自己的电脑是不是被入侵，如果发现入侵，就得想尽一切办法将木马程序清除出去，必要时，宁可格式化重装，也不给攻击者留下任何机会。

　　接下来，我们介绍一下“肉鸡”电脑的一些现象，提醒网友遇到这些现象时，要注意检查。文章的最后会介绍几个工具软件协助分析本机的安全性。

　　现象1：QQ、MSN的异常登录提醒

　　你在登录QQ时，系统提示上一次的登录IP和你完全不相干。比如，你明明就只在上海的家里上过，QQ却提醒你上一次登录地点在沈阳。

...

　1、如何实现关机时清空页面文件打开“控制面板”，单击“管理工具→本地安全策略→本地策略→安全选项”，双击其中“关机：清理虚拟内存页面文件”一项，单击弹出菜单中的“已启用”选项，单击“确定”即可。

　　2、如何自行配置Windows XP的服务

　　如果你是在单机使用WindowsXP，那么很多服务组件是根本不需要的，额外的服务程序影响了系统的速度，完全可将这些多余的服务组件禁用。单击“开始→控制面板→管理工具→服务”，弹出服务列表窗口，有些服务已经启动，有些则没有。我们可查看相应的服务项目描述，对不需要的服务予以关闭。如“Alerter”，如果你未连上局域网且不需要管理警报，则可将其关闭。

...

现在很多网站都采用了通用防注入程序，那么对于这种网站，我门是否就束手无策了呢？答案是否定的，因为我们可以采用cookie注入的方法，而很多通用防注入程序对这种注入方式都没有防备。

在讲之前,我们还是来回顾下ASP脚本中Request对象的知识吧,上面几讲中都提到Request对象获取客户端提交数据常用的是GET和POST二种方式,同时request对象可以不通过集合来获得数据,即直接使用"request("name")"但它的效率低下,容易出错,当我们省略具体的集合名称时,ASP是按QueryString,from,cookie,servervariable,集合的顺序来搜索的,在request对象成员中集合cookies,它的意思是"读取用户系统发送的所有cookie值,我们从第二讲关于"cookies欺骗入侵和原理"中知道,cookies是保存在客户端计算机的一个文本文件,可以进行修改,这样一来,我们就可以使用Request.cookie方式来提交变量的值,从而利用系统的漏洞进行注入攻击.

夜火：最近学校里讲了ASP的FSO组件，没听太懂。。。上课打瞌睡了~，以前自己也看过一些关于ASP的书，所以就算打瞌睡最后的作业也顺利完成交上去了。学校教的进度实在是不敢恭维，还是自己多找点关于FSO的东西来充实下，顺便当作笔记，以备后查

CSRF是Cross Site Request Forgery的缩写（也缩写为XSRF），直译过来就是跨站请求伪造的意思，也就是在用户会话下对某个CGI做一些GET/POST的事情——这些事情用户未必知道和愿意做，你可以把它想做HTTP会话劫持。
 

虽然说类似的文章也转过好多遍了。但是大家还是巩固一下.毕竟少一份不如多一份

简单说,这个命令就是模拟键盘操作,将一个或多个按键指令发送到指定Windows窗口来控制应用程序运行,其使用格式为:
object.SendKeys string
"object":表示WshShell对象
"string":表示要发送的按键指令字符串,需要放在英文双引号中.

现在很多网站都加了防注入系统代码，你输入注入语句将无法注入~~
感觉这样的防注入系统不错，但防注入系统没有注意到 Cookies 的问题！
所以就有了Cookies注入~~

如题，这个漏洞原理的确很浅，所以只能浅释了。构造这种漏洞并不需要什么技术含量，本来不想提出来的。不过CSDN上面的下载资源分已经用完了，又懒得再申请一个帐号来下载资源，碰巧发现了一个CSDN的跳转漏洞，就写出来赚点资源分吧。

跳转漏洞的形成

很多网站的很多功能只对注册用户或部分vip用户开发，当没有登录的用户试图使用这个功能时，网站程序会自动跳转到登录的页面，待登录验证成功后再跳转会前一步的操作。这里面如果没有对参数做签名的话就容易产生跳转漏洞了。