今天心血来潮参加了一个模拟股指期货比赛，初始资金有100W，一开盘就一路下跌，我想大概跌倒3000点就差不多了，没想到那些庄家心狠一路继续下挫。让我心情十分犹豫，突然发现这个模拟股指期货交易有个BUG，就是我在其他地方打一个负数，然后复制过去再提交，竟然可以成交，于是我下了-10000手，于是我的就保证金也变成了负几千万，这样我就等于有无限制的钱了。心一恨，10分钟内拉到涨停，那个叫舒畅啊，也终于体验到了所谓大户的感觉，其他玩家只能眼睁睁地看着我拉上涨停。不过很快系统就暂停了，我的账号也被删除了，系统这个弱智的漏洞也被弥补了。

还有一件事就是今天在超市买了样东西竟然被刷了两次，花了2个小时再把钱退回来，试想如果程序能够辨别商品是否被刷过还会发生这种浪费消费者时间的事么?

WebGoat是一个平台无关的Web安全漏洞实验环境，该环境需要Apache Tomcat和JAVA开发环境的支持。它分别为Microsoft Windows和UN*X环境提供了相应的安装程序，下面我们将根据操作系统分别加以介绍。

　　安装Java和Tomcat

 　　需要注意，从版本5开始，这一步可以省略，因为它们自身带有Java Development Kit和Tomcat 5.5。首先安装Java，您可以从http://java.sun.com/downloads/安装和部署合适的版本，最低版本要求为1.4.1，然后安装Tomcat，您可以从http://tomcat.apache.org/download-55.cgi安装和部署Tomcat。

 　　安装到Windows系统

 　　1.将WebGoat-OWASP_Standard-5.2.zip解压至合适的目录中。

 　　2.若要启动Tomcat，切换至前面存放解压后的WebGoat的目录，然后双击webgoat.bat即可。

 　　3.启动浏览器，在地址栏输入http://localhost/WebGoat/attack 。注意，这个链接地址是区分大小写的，务必确保其中使用的是大写字母W和G。

 　　安装到Linux系统

 　　1.将WebGoat-OWASP_Standard-x.x.zip解压至您的工作目录。

 　　2.将webgoat.sh文件中的第17、19和23行中的“1.5”改为“1.6”。

 　　3.因为最新版本运行在一个特权端口上，所以您需要使用下列命令来启/停WebGoat Tomcat：     

 　　(1). 当作为root用户运行在80端口时，使用：  

 　　sudo sh webgoat.sh start80          

　　sudo sh webgoat.sh stop

　　(2). 当运行在8080端口时，使用：           

 　　sh webgoat.sh start8080         

　　sh webgoat.sh stop

　　安装至OS X（Tiger 10.4+）系统

 　　1.将WebGoat-OWASP_Standard-x.x.zip解压至您的工作目录。

 　　2.将webgoat.sh文件中的第10行中的“1.5”改为“1.6”。

 　　3.因为最新版本运行在一个特权端口上，所以您需要使用下列命令来启/停WebGoat Tomcat：    

 　　(1).当作为root用户运行在80端口时，使用：         

 　　sudo sh webgoat.sh start80     

　　 sudo sh webgoat.sh stop

　　(2). 当运行在8080端口时，使用：         

 　　sh webgoat.sh start8080       

　　sh webgoat.sh stop

　　安装至FreeBSD系统 

 　　1.使用下面的命令来安装Tomcat和Java ：      

 　　cd /usr/ports/www/tomcat55     

　　sudo make install

　　2. 安装Java JDK的时候，可能需要手工方式进行下载，届时系统会给出详细的提示。  

 　　3. 将WebGoat-OWASP_Standard-x.x.zip解压至您的工作目录。 

 　　4. 将webgoat.sh文件中的第17、19和23行中的“1.5”改为“1.6”。  

 　　5. 因为最新版本运行在一个特权端口上，所以您需要使用下列命令来启/停WebGoat Tomcat：    

 　(1).当作为root用户运行在80端口时，使用：

 　　sudo sh webgoat.sh start80       

    sudo sh webgoat.sh stop
 

 

　　(2). 当运行在8080端口时，使用：             

　　sh webgoat.sh start8080        

　　sh webgoat.sh stop

　　运行方法

　　1. 启动浏览器，并在地址栏输入http://localhost/WebGoat/attack，注意这里使用的大写的字母W和G。

　　2. 登录时，用户帐号使用guest，密码为guest。

PS：建议使用8080端口，以免冲突，如果安装后地址栏输入http://localhost/WebGoat/attack无法打开，可输入地址栏输入http://localhost/WebGoat/进行登录 会自行跳转

         WebGoat下载

WebGoat是一个用来演示Web应用程序中的典型安全漏洞的应用程序，旨在在应用程序安全审计的上下文中系统、条理地讲解如何测试和利用这些安全漏洞。WebGoat是用Java语言写成的，因此可以安装到所有带有Java虚拟机的平台之上。此外，它还分别为Linux、OS X Tiger和Windows系统提供了安装程序。部署该程序后，用户就可以进入课程了，该程序会自动通过记分卡来跟踪用户的进展。当前提供的训练课程有30多个，其中包括：跨站点脚本攻击（XSS）、访问控制、线程安全、操作隐藏字段、操纵参数、弱会话cookie、SQL盲注、数字型SQL注入、字符串型SQL注入、web服务、Open Authentication失效危险的HTML注释……等等！

　　我们希望通过WebGoat帮助测试人员掌握以下技能： 

　　◆理解web应用程序中的各种高级交互过程 

　　◆确定出有助于发动攻击的客户端可见数据 

　　◆识别和理解能将应用程序暴露在攻击之下的数据和用户交互 

　　◆对这些交互进行测试，并暴露出它们的漏洞 

　　◆攻击应用程序以演示和利用服务器的弱点

 　　对于WebGoat来说，它的安装过程就是下载和解压缩，然后就可以使用了。然而，一些用户可能更喜欢下载war文件。下面就所有的安装方式分别做详细的说明。

WebGoat下载地址: http://code.google.com/p/webgoat/downloads/list

织梦的管理员账号和密码保存于数据库表dede_admin里
密码乍一看以为是经过MD5加密的，但是奇怪的竟然有20位！
仔细分析下，原来密码经过MD5加密后为32为，去掉了前5位和后7位，所有就20位了.
那如何使用呢？
也很简单去除前3位和最后一位就是有效MD5密码了。
比如8f2531f09a5c31f529c4
化简后得531f09a5c31f529c
解密后为Sroan

Godaddy的空间支持压缩打包和解压缩。
今天我用winrar压缩后，花了10分钟时间压缩，上传到空间后，大概有100MB，但是无法解压缩，原来只支持格式zip，于是把RAR文件换成了zip，但还是无法解压缩，看来必须压缩的时候就是ZIP格式。于是又重新压缩，上传。幸好GODADDY速度还是很快的，平均上传速度有200多K。解压缩速度也很快，本地压缩需要10分钟，服务器上解压缩只需要1分钟。看来Godaddy的服务器还是很不错的。