1.djangoå端ç¨ä»ä¹åï¼
2.要成为一名专业的源码程序员,从零开始需要怎么一步步来比较好,源码要把最底层的源码先学精通吗?(个人认为)求学长
3.分析、还原一次typecho入侵事件
djangoå端ç¨ä»ä¹åï¼
导读ï¼ä»å¤©é¦å¸CTOç¬è®°æ¥ç»åä½åäº«å ³äºdjangoå端ç¨ä»ä¹åçç¸å ³å 容ï¼å¦æè½ç¢°å·§è§£å³ä½ ç°å¨é¢ä¸´çé®é¢ï¼å«å¿äºå ³æ³¨æ¬ç«ï¼ç°å¨å¼å§å§ï¼ç¨Djangoå¼åwebå端,源码ççæ¯SpringBootè¦çäºå?ç¨Djangoå¼åwebå端并ä¸æ¯SpringBootè¦çäºã
spring好å¤å°±æ¯å½ä½ éè¦æ¶æ¯éåï¼æè æå¡æ³¨ååç°ï¼é ç½®ä¸å¿çççæ¶åé ç½®æ¯è¾æ¹ä¾¿ï¼å¦æä¸èèå¾®æå¡ï¼springbootä¹åªæ¯æ¯javaä¸çéé¢å ¶ä»çæ¹ä¾¿èå·²ã
èpythonä¸çæ³è¦éæä¸è¿°å 个åè½å¹¶ä¸è¾¾å°ä¸å®çç产级å«æ¯è¦æ¯spring麻ç¦çå¤ã
ä»æ§è½ä¸è®²ï¼çè¿ä¸äºæµè¯ï¼springå 为æ¿ç¨æ·åäºå¾å¤ç±»åæ¨æçäºæ ï¼çº¯æ§è½å¨javaä¸çä¹å°±æ¯ç¨çã
pythonå¦æä¸æ¯ä¸å¼å§å°±ä¸pypyï¼é£å°±æ¯ä¸ä¸ªjitçæ§è½å·®è·ï¼å¤§æ¦å°±æ¯ååå§ã
æå讨论ä¸é对软件å¼åã
javaå®å°±æ¯æ¶è代ç ï¼å®æåæ ·åè½è°éè¦åç代ç æ´å¤å°±æ´èæ¶ï¼æ¾ç¶goæ¯è¦å°äºä¸å°ä»£ç ã
èæçç解ä¸ï¼pythonéè¦1å®æçä¸è¥¿goå¾1.5以ä¸javaå°2以ä¸ï¼æ¾ç¶èè´¹çæ¶é´ä¹å°±æ¯åºäºè¿ä¸ªæ¯ä¾ã
对äºä¸ªäººå¿æºè´æ èå´å ç项ç®ï¼ææ¯æ²¡ä»ä¹çç±éæ©javaçï¼å 为代ç è¡æ°å°±æ¯æ¶é´ï¼æ¶é´å°±æ¯éé±ã
è对äºä¸åæµè¯è®¾è®¡ç¨çç项ç®ï¼è¿é javaä¹èä¸ä½ãæ以å§ï¼å¦æä¸æ¯ä¸ªå¤§é¡¹ç®ï¼æè§å¹¶ä¸å¤ªéè¦javaåºé©¬ä»¥åï¼é¤éæ¯æäºå¿ ç¶è¦éæ©çåå ã
è³äºå¤§é¡¹ç®ï¼è¿äºæè¿æ²¡ç没å¥æ¦å¿µï¼å¤§è´ç»è®¡äºä¸ä»¥å项ç®çææ代ç ï¼ä¸ç®æ³¨é第ä¸æ¹åºï¼ç°å¨å ¬å¸ä¸¤ä¸å¹´ç项ç®å¤ç«¯ååå°å èµ·æ¥ä¹å°±æ¯æ¥ä¸è¡ãè¿ä¹å°±ç®æ¯æ碰å°ç°å¨è§æ¨¡æ大çäºã
å©ä¸çæ¾ç»æ个åä¸é¡¹ç®åäºä¸ä¸ªæå·®ä¸å¤ååå°ä¹å°±æ¯ä¸ä¸å¤è¡ã
æå说ç»è®ºå§ï¼é¡¹ç®å°ï¼å¨æçï¼æå ¥å°ï¼è¿æ¯å°±djangoå§ã
djangoæ¡æ¶ä»ç»
Djangoæ¯é«æ°´åçPythonç¼ç¨è¯è¨é©±å¨çä¸ä¸ªå¼æºæ¨¡åï¼è§å¾ï¼æ§å¶å¨é£æ ¼çWebåºç¨ç¨åºæ¡æ¶ï¼å®èµ·æºäºå¼æºç¤¾åºã使ç¨è¿ç§æ¶æï¼ç¨åºåå¯ä»¥æ¹ä¾¿ãå¿«æ·å°å建é«åè´¨ãæç»´æ¤ãæ°æ®åºé©±å¨çåºç¨ç¨åºãè¿ä¹æ£æ¯OpenStackçHorizonç»ä»¶éç¨è¿ç§æ¶æè¿è¡è®¾è®¡ç主è¦åå ã
å¦å¤ï¼å¨Djangoæ¡æ¶ä¸ï¼è¿å å«è®¸å¤åè½å¼ºå¤§ç第ä¸æ¹æ件ï¼ä½¿å¾Djangoå ·æè¾å¼ºçå¯æ©å±æ§ãDjango项ç®æºèªä¸ä¸ªå¨çº¿æ°é»Webç«ç¹ï¼äºå¹´ä»¥å¼æºçå½¢å¼è¢«éæ¾åºæ¥ã
Djangoæ¡æ¶çæ ¸å¿ç»ä»¶æï¼
1ãç¨äºå建模åçå¯¹è±¡å ³ç³»æ å°ã
2ã为æç»ç¨æ·è®¾è®¡è¾å¥½ç管ççé¢ã
3ãURL设计ã
4ã设计è å好ç模æ¿è¯è¨ã
5ãç¼åç³»ç»ã
Django(åé³ï¼[`d?É¡])æ¯ç¨pythonè¯è¨åçå¼æºwebå¼åæ¡æ¶(opensourcewebframework)ï¼å®é¼å±å¿«éå¼å,并éµå¾ªMVC设计ãDjangoéµå®BSDçæï¼å次åå¸äºå¹´7æ,并äºå¹´9æåå¸äºç¬¬ä¸ä¸ªæ£å¼çæ¬1.0ã
Djangoæ ¹æ®æ¯å©æ¶ççµå£«é³ä¹å®¶DjangoReinhardtå½åï¼ä»æ¯ä¸ä¸ªåæ®èµäººï¼ä¸»è¦ä»¥æ¼å¥åå®ä¸ºä¸»ï¼è¿æ¼å¥è¿å°æç´çã
ç±äºDjangoå¨è¿å¹´æ¥çè¿ éåå±ï¼åºç¨è¶æ¥è¶å¹¿æ³ï¼è¢«èåITå¼åæå¿SDTimesè¯é为SDTimesï¼ä½åâAPIãåºåæ¡æ¶âå类第6ä½ï¼è¢«è®¤ä¸ºæ¯è¯¥é¢åç佼佼è ã
django+vueåå端å离项ç®é¨ç½²
å端ç¨çdrfï¼ä½¿ç¨çæ¯uwsgi+nginx
è¿å ¥æå¡å¨é¡¹ç®æ件ç®å½ä¸ï¼æçdjango项ç®æ¾å¨äºâ/usr/myProjects/âç®å½ä¸äºãå¨manage.pyå级ç®å½ä¸å建uwsgi.iniæ件ï¼é ç½®å¦ä¸ï¼
æµè¯ææå½ä»¤ï¼
å¦æ访é®ï¼xxx.xxx.xxx.xx:æåï¼åuwsgi.inié ç½®æå
æçnginx.confæå¨ä½ç½®æ¯â/etc/nginx/nginx.confâ
é ç½®æ件å¦ä¸ï¼
1ã第ä¸è¡
主è¦å°±æ¯ç»nginxå æéï¼vueé¨ç½²å使ç¨historyè·¯ç±æ¶ä¼å»æå°ååé¢çâ#âå·ï¼æå é¨ç½²åä¸å æéä¼æbugã
2ãå¦é ç½®æ示ï¼æ两个Serverï¼åå«é¨ç½²äºå端æå¡ï¼åå端æå¡ï¼å¼å¾æ³¨æçæ¯ä¸¤ä¸ªServerç¨çæ¯åä¸ä¸ªæå¡å¨ï¼çå¬ç端å£ä¸åã
3ãvueé¨ç½²éè¦æ³¨æçæ¯åå代çå°åï¼
以ååé¢ç端å£é®é¢
4ãå端çServeréè¦æ³¨ælocationä¸çuwsgi_passåé¢ç端å£å·è¦åuwsgi.iniä¸é çç¸åï¼å¦åçå¬ä¸å°
5ãå端跨åé®é¢ãå¦æéå°è·¨åéè¦èªå·±ç½ä¸æ¾é ç½®ï¼æç没éå°ï¼å¯è½æ¯å 为æå¨djangoçsettingsä¸é ç½®äºè·¨åã
6ãdjango-suitåå°ç®¡çæ ·å¼å´©äºï¼éè¦æ¹ï¼ä½æ¯apiå¯ä»¥æ£å¸¸è®¿é®ï¼è¿ä¸ªæ空å说
7ãæå¼å§åå°çå¬çæ¯ç«¯å£ï¼vueå端çå¬çæ¯ç«¯å£ï¼è¿æ ·å端æ¾ç¤ºå¥½çãç¶èé®é¢åºç°äºï¼è½ç¶åå°apiå¯ä»¥æ£å¸¸è®¿é®ï¼vueçæ¬å°å¼åç¯å¢ä¹è½æ£å¸¸è¿è¡ä¸æåãå¾çèµæºåæ¾ç¤ºæ£å¸¸ï¼ä½æ¯å端vueæå 线ä¸é¨ç½²åï¼æåä¿¡æ¯æ¾ç¤ºæ£å¸¸ï¼å¾çä¿¡æ¯ç¼ºå¤±ç«¯å£ï¼å¯¼è´æ¾ç¤ºä¸åºæ¥ã为å¾æ¹ä¾¿æéæ©äºå端çå¬ç«¯å£ï¼å端çå¬ï¼é¨ç½²åæ¾ç¤ºæ£å¸¸ãåå ä¸å¤ªæ¸ æ¥///////æ空å说å§ã
8ãä¸è¦é®æ为å¥é½åå端å离äºè¿é¨ç½²å°ä¸ä¸ªæå¡å¨ä¸ï¼ç©·ï¼èä¸åªæ¯æµè¯ï¼æ²¡å¿ è¦
9ãæ¤æä» éåå ¥é¨
å ³äºdjangoåå°adminï¼suitï¼ç¼ºå¤±çä¿®æ¹ï¼åèï¼djangoä¸æç½ï¼ï¼
å¨ç¯å¢ä¸è¿å ¥é¡¹ç®ç®å½ï¼éè¦æ¶écssæ ·å¼ï¼å¨ç»ç«¯è¾å ¥å½ä»¤ï¼
æ¥ä¸æ¥ä½ å°±ååç°staticæ件ä¸å å«äºcssæ件ï¼æ¤æ¶åæå¼ç½ç«ï¼æ ·å¼æ¾ç¤ºæ£å¸¸
uWSGIéè¿xxx.iniå¯å¨åä¼å¨ç¸åç®å½ä¸çæä¸ä¸ªxxx.pidçæ件ï¼éé¢åªæä¸è¡å 容æ¯uWSGIç主è¿ç¨çè¿ç¨å·ã
å ³äºuwsgi,è¿å ¥åå±ç®å½ä¸
æè®
è·åä¸å°ç¯å¢ï¼é£å°±æå®ç¯å¢
å¦å¤ï¼è®°å¾éå¯uwsgiï¼éå¯Nginxï¼å®å¨ä¸è¡å°±å æçå¬ç端å£killæåéå¯
æ´åå 端å£ï¼fuser-k/tcp
netstat-aptnå½ä»¤è¡ï¼æ¥çææå¼å¯ç端å£å·
netstat-ntlp|grepæ¥çå ·ä½ç端å£æ¯å¦ä½¿ç¨
ps-ef|grepuwsgiæ¥çæ¯å¦æuwsgi端å£åå¨
Djangoæ¯ä¸æ¯ä¸ç¨ååå°çï¼ç¨èªå¸¦çadmin管çæ°æ®åºå°±è¡äºæéå离æ¯è¾éº»ç¦ï¼é»è®¤ä¸åå¨åªè¯»ç®¡çåå¸å·ãèªå·±å®ç°åªè¯»å¸å·æ¯è¾tricky
æç´¢åè½ä¸å¼ºå¤§ï¼èªå·±å®ç°é«çº§æç´¢å¾tricky
人家ç模æ¿å°±æ²¡èèè¿è®©ä½ éç¨ï¼çæ¬å级åä½ èªå®ä¹è¿ç模æ¿å¯è½éè¦æåæ´mergeå°æ°ç模æ¿é
å端ç¨äºDjangoè¿éè¦åç¬çå端æ¡æ¶åå ³äºå端ç¨åºååå端ç¨ä»¥ä¸æ¡æ¶ï¼
1ãç¨Dreamweaveræè ç½é¡µæ¥çæºä»£ç ã
2ãbootstrap对ååºå¼çæ¯æ以åè¯å¥½çä½éª
3ãmetronic/adminLTEè¿ä¸ªæ¡æ¶ç代ç æ´å¤çæ¯å±äºç²ååï¼å°åç§ä¸åç第ä¸æ¹åºçå端代ç ç²åèµ·æ¥ã
4ãextjsç³»åãè¿ä¸ªæ¯å端é¢åçåºç¶å¤§ç©å°è£ 度å¾é«ï¼å ·æèªç§°ä½ç³»çå ç´ éæ©å¼æåæµè§å¨å ¼å®¹æ¹æ¡ï¼JSåæ³ä¹æèªå·±çæ¹å¼ï¼ç»ä»¶å¾å¤ã
5ãvaadin/GWTæ¯ä½¿ç¨åå°è¯è¨åå端ãä¸è¿ä¸æ¯å¾å»ºè®®ä½¿ç¨è¿ç§æ¹æ¡ã
ç¨djangoå端å¼åè¦å¦ä»ä¹ç¬¬ä¸é¶æ®µï¼Pythonè¯è¨åºç¡
主è¦å¦ä¹ Pythonæåºç¡ç¥è¯ï¼å¦Python3ãæ°æ®ç±»åãå符串ãå½æ°ãç±»ãæ件æä½çãé¶æ®µè¯¾ç¨ç»æåï¼å¦åéè¦å®æPygameå®æé£æºå¤§æãç项ç®ã
第äºé¶æ®µï¼Pythonè¯è¨é«çº§
主è¦å¦ä¹ Pythonåºãæ£å表达å¼ãè¿ç¨çº¿ç¨ãç¬è«ãéå以åMySQLæ°æ®åºã
第ä¸é¶æ®µï¼Pythonwebå¼å
主è¦å¦ä¹ HTMLãCSSãJavaScriptãjQueryçå端ç¥è¯ï¼ææ¡pythonä¸å¤§å端æ¡æ¶(DjangoãFlask以åTornado)ãéè¦å®æç½é¡µçé¢è®¾è®¡å®æ;è½ç¬ç«å¼åç½ç«ã
第åé¶æ®µï¼Linuxåºç¡
主è¦å¦ä¹ Linuxç¸å ³çåç§å½ä»¤ï¼å¦æ件å¤çå½ä»¤ãå缩解åå½ä»¤ãæé管ç以åLinuxShellå¼åçã
第äºé¶æ®µï¼Linuxè¿ç»´èªå¨åå¼å
主è¦å¦ä¹ Pythonå¼åLinuxè¿ç»´ãLinuxè¿ç»´æ¥è¦å·¥å ·å¼åãLinuxè¿ç»´æ¥è¦å®å ¨å®¡è®¡å¼åãLinuxä¸å¡è´¨éæ¥è¡¨å·¥å ·å¼åãKaliå®å ¨æ£æµå·¥å ·æ£æµä»¥åKaliå¯ç ç ´è§£å®æã
第å é¶æ®µï¼Pythonç¬è«
主è¦å¦ä¹ pythonç¬è«ææ¯ï¼ææ¡å¤çº¿ç¨ç¬è«ææ¯ï¼åå¸å¼ç¬è«ææ¯ã
第ä¸é¶æ®µï¼Pythonæ°æ®åæå大æ°æ®
主è¦å¦ä¹ numpyæ°æ®å¤çãpandasæ°æ®åæãmatplotlibæ°æ®å¯è§åãscipyæ°æ®ç»è®¡åæ以åpythonéèæ°æ®åæ;HadoopHDFSãpythonHadoopMapReduceãpythonSparkcoreãpythonSparkSQL以åpythonSparkMLlibã
ç¬¬å «é¶æ®µï¼Pythonæºå¨å¦ä¹
主è¦å¦ä¹ KNNç®æ³ã线æ§åå½ãé»è¾æ¯èåå½ç®æ³ãå³çæ ç®æ³ãæ´ç´ è´å¶æ¯ç®æ³ãæ¯æåéæºä»¥åèç±»k-meansç®æ³ã
ç»è¯ï¼ä»¥ä¸å°±æ¯é¦å¸CTOç¬è®°ä¸ºå¤§å®¶æ´ççå ³äºdjangoå端ç¨ä»ä¹åçå ¨é¨å 容äºï¼æè°¢æ¨è±æ¶é´é 读æ¬ç«å 容ï¼å¸æ对æ¨ææ帮å©ï¼æ´å¤å ³äºdjangoå端ç¨ä»ä¹åçç¸å ³å 容å«å¿äºå¨æ¬ç«è¿è¡æ¥æ¾åã
要成为一名专业的程序员,从零开始需要怎么一步步来比较好,源码要把最底层的源码htlm游戏源码先学精通吗?(个人认为)求学长
前言
你是否觉得自己从学校毕业的时候只做过小玩具一样的程序?走入职场后哪怕没有什么经验也可以把以下这些课外练习走一遍(朋友的抱怨:学校课程总是从理论出发,作业项目都看不出有什么实际作用,源码不如从工作中的源码需求出发)
建议:
不要乱买书,不要乱追新技术新名词,源码基础的源码东西经过很长时间积累而且还会在未来至少年通用。
回顾一下历史,源码看看历史上时间线上技术的源码发展,你才能明白明天会是源码什么样。
一定要动手,源码例子不管多么简单,源码vue 轮播图 源码建议至少自己手敲一遍看看是否理解了里头的细枝末节。
一定要学会思考,思考为什么要这样,而不是那样。还要举一反三地思考。
注:你也许会很奇怪为什么下面的东西很偏Unix/Linux,这是因为我觉得Windows下的编程可能会在未来很没有前途,原因如下:
现在的用户界面几乎被两个东西主宰了,1)Web,2)移动设备iOS或Android。Windows的图形界面不吃香了。
越来越多的企业在用成本低性能高的Linux和各种开源技术来构架其系统,Windows的成本太高了。
微软的c 跑胡子源码东西变得太快了,很不持久,他们完全是在玩弄程序员。详情参见《Windows编程革命史》
所以,我个人认为以后的趋势是前端是Web+移动,后端是Linux+开源。开发这边基本上没Windows什么事。
启蒙入门
1、 学习一门脚本语言,例如Python/Ruby
可以让你摆脱对底层语言的恐惧感,脚本语言可以让你很快开发出能用得上的小程序。实践项目:
处理文本文件,或者csv (关键词 python csv, python open, python sys) 读一个本地文件,逐行处理(例如 word count,或者处理log)
遍历本地文件系统 (sys,c 项目源码查看 os, path),例如写一个程序统计一个目录下所有文件大小并按各种条件排序并保存结果
跟数据库打交道 (python sqlite),写一个小脚本统计数据库里条目数量
学会用各种print之类简单粗暴的方式进行调试
学会用Google (phrase, domain, use reader to follow tech blogs)
为什么要学脚本语言,因为他们实在是太方便了,很多时候我们需要写点小工具或是脚本来帮我们解决问题,你就会发现正规的编程语言太难用了。
2、 用熟一种程序员的编辑器(不是IDE) 和一些基本工具
Vim / Emacs / Notepad++,学会如何配置代码补全,外观,外部命令等。
Source Insight (或 ctag)
使用这些东西不是为了Cool,而是这些编辑器在查看、修改代码/配置文章/日志会更快更有效率。
3、人脸录入 系统源码 熟悉Unix/Linux Shell和常见的命令行
如果你用windows,至少学会用虚拟机里的linux, vmware player是免费的,装个Ubuntu吧
一定要少用少用图形界面。
学会使用man来查看帮助
文件系统结构和基本操作 ls/chmod/chown/rm/find/ln/cat/mount/mkdir/tar/gzip …
学会使用一些文本操作命令 sed/awk/grep/tail/less/more …
学会使用一些管理命令 ps/top/lsof/netstat/kill/tcpdump/iptables/dd…
了解/etc目录下的各种配置文章,学会查看/var/log下的系统日志,以及/proc下的系统运行信息
了解正则表达式,使用正则表达式来查找文件。
对于程序员来说Unix/Linux比Windows简单多了。(参看我四年前CSDN的博文《其实Unix很简单》)学会使用Unix/Linux你会发现图形界面在某些时候实在是太难用了,相当地相当地降低工作效率。
4、 学习Web基础(HTML/CSS/JS) + 服务器端技术 (LAMP)
未来必然是Web的世界,学习WEB基础的最佳网站是W3School。
学习HTML基本语法
学习CSS如何选中HTML元素并应用一些基本样式(关键词:box model)
学会用 Firefox + Firebug 或 chrome 查看你觉得很炫的网页结构,并动态修改。
学习使用Javascript操纵HTML元件。理解DOM和动态网页(Dynamic HTML: The Definitive Reference, 3rd Edition - O'Reilly Media) 网上有免费的章节,足够用了。或参看 DOM 。
学会用 Firefox + Firebug 或 chrome 调试Javascript代码(设置断点,查看变量,性能,控制台等)
在一台机器上配置Apache 或 Nginx
学习PHP,让后台PHP和前台HTML进行数据交互,对服务器相应浏览器请求形成初步认识。实现一个表单提交和反显的功能。
把PHP连接本地或者远程数据库 MySQL(MySQL 和 SQL现学现用够了)
跟完一个名校的网络编程课程(例如:(升级版为Kyoto Cabinet)、Flare、MongoDB、CouchDB、Cassandra、Voldemort等。
分析、还原一次typecho入侵事件
朋友的博客遭遇入侵,通过虚拟空间的日志分析,我参与了这次应急响应。日志经过去敏处理,可用于学习,密码为:bykr。分析中,我使用了grep命令,而其他Windows用户则可借助Notepad++进行搜索。我搜索了常见的恶意函数,包括Eval、assert、phpinfo()和pwd等,发现了大量的页面访问记录。通过这些信息,我得出了一句话木马地址为/1.php和/1_1.php。由于Apache日志默认不记录POST数据,这些文件的出现显得异常。通过IP反查,我找到了可疑的IP地址:...、...和...。根据访问频率和时间,最终锁定了...为攻击者IP。在3月日访问了/index.php/action/links-edit后,入侵者在3月日进入了后台。我怀疑这是一次XSS安全事件,而通过GitHub查看源码,发现源程序中并无action/links-edit这些函数方法。问题的根源在于一款名为typecho-links的插件,它是一款管理友情链接的拓展。分析源码后,发现了垂直越权(前台添加links)、XSS(links未过滤,直接入库)和CSRF(以管理员权限执行操作)的漏洞利用链。在本地进行了复现,搭建博客并添加插件后,即使未登录,也能成功添加Link。尝试插入XSS payload后,通过xss.js引入JQuery并调用Ajax方法,传递cookie,成功进入后台并触发.php页面的访问。整体分析流程虽然简单,但旨在记录下初次分析日志的经验。