第一篇:Web网站设计职业行情
Web网站设计职业行情
北京Web前端开发工程师招聘:
北京大正语言知识处理科技有限公司/汉语之声国际网络技术(北京)有限公司
一、工作职责:利用HTML/CSS/JavaScript/DOM等各种Web技术进行产品的界面开发。制作标准优化的代码,并增加交互动态功能,开发JavaScript模块,同时结合后台开发技术模拟整体效果,进行丰富互联网的Web开发,致力于通过技术改善用户体验。
二、职位要求:
1、本科及以上学历 ;
2、精通HTML/XHTML、CSS,熟悉页面架构和布局,对Web标准和标签语义化有深入理解;
3、精通Ajax、JavaScript、DOM等前端技术,掌握面向对象编程思想;
4、熟悉一种以上后台开发语言(如PHP/Java或C/C++/.NET)以及一种数据库(如MySQL/Oracle);
5、对Web技术创新及丰富互联网应用开发(Rich Internet Applications)有浓厚兴趣;
6、对用户体验、交互操作流程、及用户需求有深入理解;
7、极强的团队协作精神、优秀的学习能力与创新能力。
三、工资 4000-5000元/月
发布时间:2010-04-27
来源网站:智联招聘网
北京赛嘉城电子商务有限公司
岗位职责:
1、负责将美工制作的页面效果做成标准的HTML网页原型;
2、负责开放平台前端静态页面JS交互效果编写及修改;
3、负责开放平台WEB前端(动态页面)最终交互效果的实现及修改;
4、负责协调技术开发人员进行页面与后台程序衔接。
5、优化网站前端性能;
6、优化用户界面易用性
能力要求:
1.大专以上学历,至少2年web前台开发工作经验
2.精通HTML/XHTM及JavaScript,熟悉W3C标准,熟练应用开源JavaScript库(如JQuery);
3.可以快速、简练的将网页设计图,使用DIV+CSS编写成静态页面,能够使用JS手工编写前端效果,能够使用AJAX方法实现前端效果,熟悉相关规范,有丰富的跨浏览器开发经验;
4.熟悉前端页面优化,具有高性能网站的构建经验者优先;
5.具有优秀的学习能力与创新能力,并能够承担较强的工作压力;
6.对用户体验与功能易用性有较为深刻的理解
7.良好的团队合作意识和积极的工作态度;
8.有PHP开发经验者优先;
发布时间:2011-03-30
来源网站:前程无忧 深圳市炽昂科技有限公司
职位描述
负责根据UI效果图以DIV+CSS布局的方式切割成标准的HTML页面,不断优化代码并保持良好主流浏览器兼容性
负责配合后端开发人员实现界面功能和效果
职位要求
1、计算机相关专业,2年以上相关工作经验;
2、精通HTML、DIV、CSS,熟悉页面框架和布局,对WEB标准和标签语义有深入的理解
3、精通Javascript,JSON,AJAX等技术,熟练运用常见JS框架,如JQuery、Prototype、Extjs等
4、能够使用JavaScript进行通用组件、类库、框架编写
5、具有大型互联网行业工作经验者优先考虑
其他要求:
1、具有良好的表达和沟通能力,思路清晰,较强的责任心、团队精神以及动手能力
2、善于学习,对WEB前端技术有深厚的兴趣和研究探索精神,并且愿意与团队成员分享相关经验
3、个性开朗,在面对压力时能够保持良好的心态
发布时间:2011-03-29 绿盟科技
职位工作内容简要综述:前端页面开发
具体工作内容与职责:
1、负责产品界面的前端开发,配合开发人员实现最终产品界面,并监管界面开发质量;
2、依据设计稿,高质量完成HTML页面原型的制作;
3、负责维护和更新界面设计标准和规范,并推广标准和规范的实施;
4、交互控件的设计与开发,UI编码规范的制定与推广;
5、响应公司网站相关的页面制作与维护;
工作经验和技能要求:
1、本科以上学历,2年以上前端开发经验;
2、精通HTML、CSS、Javascript,熟练掌握Photoshop、Dreamweaver等软件,完成页面制作,实现界面中的交互功能,并兼容主流浏览器,会Actionscript者优先;
3、熟悉web标准,对表现与数据分离,HTML语义化等有深刻理解;
4、了解PHP或其他服务器编程语言,能协助后台开发人员完成最终产品界面;
5、具备良好的团队合作精神和积极主动的沟通意识;
6、对web技术钻研有强烈兴趣,有良好的学历能力和强烈的进取心。
发布时间:2011-03-30
来源网站:前程无忧
大洋网
职位描述:本职位隶属于技术中心研发部,负责Web系统和功能的前端开发、维护。
职位要求:
1、本科以上学历,计算机或相关专业;
2、熟悉各种Web前端技术,包括
XHTML/XML/CSS/Javascript/ActionScript等;
3、深刻理解Web标准,对可用性、可访问性等相关知识有实际的了解和实践经验;
4、有基于Ajax或Flash的RIA应用开发经验;
5、沟通能力强,善于同多人协作完成任务;
6、抗压能力强,可应对较大的工作压力;
7、有后台语言(如Java/PHP/C++)经验者优先;
8、有框架使用、subversion、开发流程管理等经验者优先。
发布时间:2011-03-30
来源网站:前程无忧
广州海然数码科技有限公司
岗位职责
1、技术人员职位,在上级的领导和监督下定期完成量化的工作要求;
2、能独立处理和解决所负责的任务;
3、根据开发进度和任务分配,完成相应模块软件的设计、开发、编程任务;
4、进行程序单元、功能的测试,查出软件存在的缺陷并保证其质量;
5、进行编制项目文档和质量记录的工作;
6、维护软件使之保持可用性和稳定性。任职资格
1、计算机相关专业背景,专科以上学历;
2、熟悉数据库编程,精通数据库应用(SQLSERVER为主);
3、熟练掌握.NETFramework(C#)或者ASP开发,能开发B/S构架的应用程序;
4、精通Javascript、动态网页、AJAX、HTML、CSS等WEB技术
5、熟悉VB或者ASP语法
6、能独立完成用户交换界面的设计、有一定的审美和网页设计能力的优先考虑
7、做事严谨踏实,责任心强,条理清楚,善于学习总结,有良好的团队合作精神和沟通协调能力。发布时间:2011-03-30
来源网站:珠江人才热线 广州跨际网络科技有限公司
c# vb asp.net web开发 电子商务软件工程师
岗位职责描述:
1、独立进行电子商务网站产品设计;
2、能管理外包项目以及独立高质量的完成开发任务;
任职资格描述:
1、计算机、信息管理或通信等相关专业本科及以上学历。
2、精通C#开发语言;
3、熟悉.NET Framework 架构体系,能够非常熟练使用.NET平台进行编程:C#(Winform),ASP.NET,JS,XML等)。能够编写高质量的代码;熟悉面向对象的思想,有很好的业务分析设计和业务抽象能力;
4、有非常熟练的数据库(SQL Server或 Mysql等)应用经验,对数据结构有清楚的认识,有一定的数据库设计能力;
5、有三年以上的开发经验,完整参与两个以上项目的开发 ;
6、有良好的沟通、理解能力,客户导向意识 ;
7、有良好的自我学习能力、自我管理能力和团队合作能力;
8、有财务软件开发经验的优先考虑。
一、岗位职责:
1、精通ASP.NET(C#)开发,熟悉WebService、AJAX;
2、熟悉三层架构,熟悉OOP设计编程理念;
3、熟悉DIV+CSS WEB标准化;
4、精通SQL语言,熟练使用SQL Server 2005,熟悉存储过程开发;
二、职位要求:
1、大专及以上学历,22-35岁,二年以上网站开发经验,有独立建站或电子商务类网站建设经验者优先;
2、积极上进,善于学习,具备良好的分析、解决问题的能力;
3、有责任心,工作效率高,有良好交流沟通能力和团队协作意识;
注:在简历中请提供具体开发网站网址及自己负责的功能。
三、符合以下条件者从优:
有门户级大型网站开发经验者。
发布时间:2011-03-28
来源网站:智联招聘网
第二篇:Web系统网站设计报告
ASP.NET Web应用网站设计报告
学院:计算机学院
姓名:
学号: 专业:
目录
1、网站设计背景.........................................................................................................3 1.1开发环境:.......................................................................................................3
2、设计题目.................................................................................................................3
3、总体设计方案.........................................................................................................3 3.1功能设计..............................................................................................................4
4、处理流程.................................................................................................................4
5、功能的实现.............................................................................................................5 5.1首页设计效果......................................................................................................5 5.2图书界面设计效果..............................................................................................9 5.3登录功能设计效果............................................................................................13 5.4注册功能设计效果............................................................................................15 5.5清仓、优惠设计效果........................................................................................16 5.6加入购物车继续购买、付款设计效果............................................................18 5.7购物车及收银台................................................................................................19
6、数据库设计............................................................................................................20 6.1数据库设计方案................................................................................................20 6.2 部分截图.........................................................................................................21 6.2.1数据库建表.................................................................................................21 6.2.2保存用户信息的表.....................................................................................21 6.2.3保存商品信息的表.....................................................................................22 6.2.4保存购物车信息的表.................................................................................22
7、总结.......................................................................................................................22
1、网站设计背景
随着计算机技术和网络技术的迅速崛起,计算机日渐深刻的在改变着人们的生产生活方式。人们已经对去固定的场所、购买(出售)固定的物品的交易方式所带来的不便越来越感到不满,交易的时间长、效率低。高额的运费、销售场地的凭租费等繁多的额外开支也给商家带来沉重的成本支出。为了适应市场、适应经济前进的步伐,买家和商家都在努力积极地寻找一种能够带来高效率、低成本销售模式。开发网上商城、研究网上商城的推广方式,不仅能为其带来新的盈利模式,也可以实现整个产业的共赢,而且对于我国电子商务在整个经济领域中的发展也有着非常深远而重要的意义。本系统是采用JspS+Mysql+RPC构建的一个动态的网上书店网站在以轻量级数据库Mysql为开发平台,Tomcat为应用服务器,采用JSP技术开发的网上商城购物系统。本系统分为前台部分,和后台部分,前台主要由用户使用,主要包括用户注册、登录、浏览商品、购物车等功能。
1.1开发环境:
windows 7 vs2013 Sql server2014
2、设计题目
电子商务是指在企业互联网、增值网和内部网上以电子交易方式进行交易活动和相关服务的活动,是传统商业活动各环节的、电子化。随着计算机和网络的日趋普及,越来越多的商家建立了自己的B2C网站。比如淘宝网、苏宁易购、亚马逊、三星商城、以及各大团购网站等。要求用本学期所学ASP.NET WEB应用开发技术以及参考、查找相关书籍,设计编程实现一个类似淘宝的购物网站,要求有以下功能:(1)注册;(2)登录;
(3)购物,在购物时有物品编号、图片、名称、简介以及购买;(4)选中需要的物品时加入购物车点击购买。
3、总体设计方案
网站设计使用单机作业,由手动输入有关信息,可以选购图书,上传图书,进行用户注册等。前端开发语言使用HTML服务器采用使用SQL数据库管理系统以及ASP.NET.3.1功能设计
作为一个网上购物系统,首先必须保证用户的方便性,因此系统应具有商品排行、清仓优惠、以及最重要的“购物车”的功能,以便用户可以方便的购买物品同时完成支付。在系统中应列举出商家的各种优惠举措和促销信息。在系统的后台,管理员能够管理商品,用户信息,产品信息,友情链接以及最重要的订单处理模块。在设计过程中,要处理好各部分的关系,并由此设计相关的数据库。本网站应具有的功能有:用户注册、登录功能;商品浏览功能、购物车等功能;后台部分主要有管理员操作,包括商品管理、公告管理、图书优惠管理等功能。(1)用户注册、登录:购买本网站必须是本网站的会员,即必须先注册会员,只有注册核对信息登录后,用户才能正常进行购物操作。
(2)购物车管理:会员选定一种商品后,就可以直接把图书放到购物车中,提交订单,完成支付;在未提交前可以随意取消这件商品,继续购买其他商品。(3)购买:选中图书加入购物车点击购买、付款;(4)商品信息简介:对网上商城的商品进行管理,包括商品上下架库,商品信息、价格的制定等。
(5)后台管理:包括用户信息的保存、图书信息的更新、优惠、清仓活动的信息更新等。
4、处理流程
(1)用户注册:购买者进入网站页面后,首先要填写注册资料,在判断无误的情况下完成成功注册,登陆网站首页。
(2)商品购买:用户通过登录后,浏览商品,选择图书后,可以将图书放入购物车,确认继续购物,在购物车页面,可以对购物车里的图书进行购买。
(3)管理员管理:管理员通过后台登陆后,可以对商品信息、公告信息、优惠、清仓信息等功能进行操作。(4)用户可以看到商品的简介以及特价商品,查看商品信息后,可以选择购买。
5、功能的实现
5.1首页设计效果
部分代码如下:
<%@PageLanguage=“C#”AutoEventWireup=“true”CodeFile=“detail.aspx.cs”Inherits=“detail”%>
--------------- 装 订 线--------------- XXX职业技术学院 毕业设计(论文) 题目: Web网站渗透测试技术研究 系 (院)信息系 专业班级 计算机网络 学 号 1234567890 学生姓名 XXX 校内导师 XXX 职 称 讲师 企业导师 XXX 职 称 工程师 企业导师 XXX 职 称 工程师 摘 要: Web网站渗透测试技术研究 随着网络技术的发展和应用领域的扩张,网络安全问题越来越重要。相对于传统的系统安全,Web网站的安全得到了越来越多的重视。首先,越来越多的网络业务不再用专门的客户机/服务器模式开发,而是运行在Web网站上用浏览器统一访问;其次,和比较成熟的操作系统安全技术比较,Web网站的安全防护技术还不够完善,当前黑客也把大部分注意力集中在Web渗透技术的发展上,使Web网站安全总体上面临相当严峻的局面。 为了确保Web网站的安全,需要采用各种防护措施。在各种防护措施中,当前最有效的措施是先自己模拟黑客攻击,对需要评估的网站进行Web渗透测试,找到各种安全漏洞后再针对性进行修补。 本文在对Web网站渗透测试技术进行描述的基础上,配置了一个实验用Web网站,然后对此目标网站进行了各种黑客渗透攻击测试,找出需要修补的安全漏洞,从而加深了对Web安全攻防的理解,有利于以后各种实际的网络安全防护工作。 关键词: 网络安全;Web网站;渗透测试 Web site penetration testing technology research Abstract: With the expansion of the network technology development and applications, network security issues become increasingly important.Compared with the traditional system security, Web security has got more and more attention.First, more and more network applications no longer develop with specialized client / server model, but run on the Web site and accessed by browser;Secondly, operating system security technology is relatively safe, but secure Web site protection technology is still not perfect, so the most of the current hackers’ attention focused on the development of Web penetration technology, the Web site is facing serious security situation in general.To ensure the security Web site, you need to use a variety of protective measures.In a variety of protective measures, the most effective measure is to own hacking simulation, the need to assess the Web site penetration testing, to find a variety of security vulnerabilities before specific repair.Based on the Web site penetration testing techniques described, the configuration of an experimental Web site, then this target site penetration of various hacker attack test, identify areas that need patching security holes, thereby deepening of Web security offensive understanding, there is conducive to future practical network security protection work.Keywords: Network Security, Web sites, penetration testing 目录 第一章 概述................................................................................................1 1.1 网络安全概述..........................................................................................1 1.2 Web网站面临的威胁...............................................................................1 1.3 Web渗透测试概述...................................................................................2 第二章 Web渗透测试方案设计...................................................................4 2.1 渗透测试网站创建..................................................................................4 2.2 渗透测试工具选择..................................................................................4 2.3渗透测试方法...........................................................................................5 第三章 Web渗透测试过程...........................................................................6 3.1 扫描测试Web网站..................................................................................6 3.2 寻找Web安全漏洞..................................................................................7 3.3 SQL注入攻击测试...................................................................................9 3.4 XSS跨站攻击测试.................................................................................13 3.5 网马上传攻击测试................................................................................17 第四章 Web网站防护.................................................................................23 4.1 网站代码修复........................................................................................23 4.2 其它防护措施........................................................................................24 总 结.........................................................................................................25 参考文献.....................................................................................................25 第一章 概述 1.1 网络安全概述 随着网络技术的发展,网络已经越来越多地渗透到当前社会生活的方方面面,网上电子商务、电子政务、电子金融等业务日益普及,网络上的敏感数据也越来越多,自然对网络安全提出了更高的要求。 根据一般的定义,网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。要做到这一点,必须保证网络系统软件、应用软件、数据库系统具有一定的安全保护功能,并保证网络部件,如终端、调制解调器、数据链路的功能仅仅能被那些被授权的人访问。 在现实世界中,由于网络相关的各种软硬件安装、配置、管理上面基本不可能做到没有任何缺陷和漏洞,所以可以说不存在绝对的网络安全。尤其在当下网络技术逐渐普及扩散的情境下,防范各种形式的黑客攻击是网络资源管理者必须严肃考虑的问题。 根据黑客攻击的类型,大致可以分为两种,一种是直接针对操作系统本身或应用软件的安全漏洞进行的攻击,传统的注入端口扫描、弱口令爆破、缓冲器溢出都属于这种类型的攻击,如果攻击成功往往可以直接远程控制目标系统,因此一旦出问题危害极大,但针对这种攻击的防范技术也比较成熟,采用最新的安全操作系统、强大的防火墙和IDS入侵检测系统可以将绝大部分入侵企图拒之门外。另外一种就是针对动态Web网站进行的攻击,它不像针对系统的攻击那样直接,成功后能在目标系统上进行的操作有限,往往还需要进行提权等后续工作,但目前Web网站本身设计上的安全防护水平普遍不高,针对Web网站的防范措施目前也还不够成熟,所以有安全问题的Web网站非常多,Web网站的攻防也是现在安全技术领域的研究热点。 1.2 Web网站面临的威胁 传统上,网络应用业务采用C/S(客户机和服务器)模式,即开发出安装在普通客户计算机上的递交申请业务模块和安装在高性能服务器上的响应请求业务模块,这样做的好处是性能高,响应速度快,但缺点是需要为每个业务专门开发不同的服务端和客户端,开发和学习的成本也高,所以现在的趋势是将所有的服务模块都放到Web网站上,而客户机统一使用浏览器去访问Web网站去实现业务功能。 用Web网站形式开发网络业务有不少优点,首先是客户端统一为浏览器、降低了这方面的学习成本,另一方面,Web网站的主流开发语言(ASP、PHP、JSP等)是动态脚本语 言,比起用C/C++、Java等语言开发C/S程序,难度有所降低,有利于快速开发出所需的项目。但是从安全方面考虑,由于Web网站牵涉到的一些网络协议先天的不足,以及由于网络技术发展太快,网站复杂程度随着需求扩展不断膨胀,而网站开发程序员的水平和安全意识往往没有跟上,导致Web网站非常容易出现各种安全漏洞,使黑客能够对其进行各种形式的攻击,常见的Web安全漏洞主要有SQL注入和XSS跨站攻击等。SQL注入 SQL注入(SQL injection)是发生在Web应用程序和后台数据库之间的一种安全漏洞攻击,它的基本原理是:攻击者精心构建一个包含了SQL指令的输入数据,然后作为参数传递给应用程序,在应用程序没有对输入数据做足够的检查的情况下,数据库服务器就会被欺骗,将本来只能作为普通数据的输入当成了SQL指令并执行。 数据库是动态网站的核心,包含了很多网站相关的敏感数据,例如管理员的账号和密码等,所以一旦数据库的信息被SQL注入非法查询,这些敏感信息就会被泄露,导致严重后果。此外,SQL注入还可能被用于网页篡改、网页挂马,更为严重的是,有些数据库管理系统支持SQL指令调用一些操作系统功能模块,一旦被SQL注入攻击甚至存在服务器被远程控制安装后门的风险。XSS跨站攻击 简单地说,XSS也是由于Web应用程序对用户的输入过滤不严而产生,攻击者利用XSS漏洞可以将恶意的脚本代码(主要包括html代码和JavaScript脚本)注入到网页中,当其他用户浏览这些网页时,就会触发其中的恶意脚本代码,对受害者进行诸如Cookie信息窃取、会话劫持、网络钓鱼等各种攻击。 与主动攻击Web服务器端的SQL注入攻击不同,XSS攻击发生在浏览器客户端,对服务器一般没有直接危害,而且总体上属于等待对方上钩的被动攻击,因此XSS这种安全漏洞虽很早就被发现,其危害性却曾经受到普遍忽视,但随着网络攻击者挖掘出了原来越多的XSS漏洞利用方式,加上Web2.0的流行、Ajax等技术的普及,使得黑客有了更多机会发动XSS攻击,导致近年来XSS攻击的安全事件层出不穷,对XSS攻防方面研究的重视程度明显提高。 当然,Web网站面临的安全威胁还有很多,并且随着网络技术和网络业务的发展而不断更新,例如CSRF跨站请求伪造、界面操作劫持等。 1.3 Web渗透测试概述 由于各种安全漏洞,因特网上的Web网站面临黑客攻击的风险,因此必须采取措施进行防护工作。传统防火墙因为必须放行Web服务的端口(一般是80端口),所以对SQL注 2 入、XSS跨站攻击之类入侵手段没有防护效果,现在也出现了一些专门用于保护Web网站的安全设备,例如WAF防火墙、安全狗等,但这些设备并不是万能的,往往容易被高水平的入侵者绕过。最有效的措施还是进行Web渗透测试。 渗透测试时安全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做深入的探测,发现系统最脆弱的环节。渗透测试能够直观的让管理人员知道自己网络所面临的问题。 Web渗透测试主要是对Web应用程序和相应的软硬件设备配置的安全性进行测试。进行Web渗透测试的安全人员必须遵循一定的渗透测试准则,不能对被测系统进行破坏活动。Web安全渗透测试一般是经过客户授权的,采取可控制、非控制性质的方法和手段发现目标服务器、Web应用程序和网络配置中存在的弱点。 通过Web渗透测试后,即可有针对性地对Web网站上的安全漏洞进行修补,最大程度地加固系统,确保安全。 第二章 Web渗透测试方案设计 2.1 渗透测试网站创建 为了研究Web渗透测试技术,我们需要一个测试用的Web网站,由于法律的限制,我们不能直接去攻击互联网上的Web网站,所以需要自己创建一个实验测试用Web网站,这样不但合法,而且还有利于测试完成后做修补加固和代码审核工作。 测试Web网站可以创建在本地,也可以创建到自己购买的虚拟空间或云主机上,为了方便起见,这里选择在云平台上的一台Windows 2003虚拟机系统上创建Web网站。 ASP、ASP.NET、PHP和JSP网站需要不同的环境,包括选用Apache、IIS、Nginx或者Weblogic中哪个Web服务器,数据库也有Access、Microsoft SQL Server、MySQL以及Oracle等多种选择。至于网站的源代码,可以自己开发,但一般更常见是到互联网上去搜寻开源的Web项目下载,例如中国站长网等,可以根据需求自己对网站源代码进行适当的裁剪修改,也更好达到渗透测试目的。 如图2-1所示,这里选用了IIS+ASP方案创建了一个测试用Web网站。 图2-1 创建Web网站 2.2 渗透测试工具选择 对Web网站进行渗透测试的工作是在一台能访问Web网站的攻击机上实施的,这些测试工作有些可以直接用手工操作,不过如果有适当的工具帮助,往往可以大幅度地提高渗 4 透测试的成功率和效率,因此选择一套渗透测试用的工具软件是必备的工作,这些工具一般包括端口扫描器、网站目录扫描器、网站后台扫描器、网站漏洞扫描器、SQL注入工具、XSS利用工具、转码工具、加解密工具等等。 如图2-2所示,在本地攻击机上安装了一些常用的渗透测试工具。 图2-2 渗透测试工具 2.3渗透测试方法 准备好测试用Web网站和渗透测试工具后,即可在攻击机上开始进行Web渗透测试工作,方法是模拟真正黑客的入侵过程,综合利用各种工具和手段,获取目标Web网站甚至网站所在服务器上的权限,从而挖掘出网站的各种安全漏洞,为后面的安全加固提供依据。当然,这需要很高的技术水平和熟练的操作,没有多年的经验积累是很难在各种情景下都能完成任务的,在下一章,我们就以一个比较简单的,漏洞比较明显的Web网站为例演示一下比较典型的Web渗透测试过程。 第三章 Web渗透测试过程 3.1 扫描测试Web网站 如图3-1所示,渗透测试首先应该先用Nmap之类的端口扫描工具扫描一下目标网站所在的服务器,了解开放的端口服务,目标可能的操作系统类型等信息。这里可以看到,目标服务器的80号端口是开放的,所以Web服务应该是正常的。 图3-1 端口扫描 然后用浏览器打开网站验证,如图3-2所示: 图3-2 Web网站浏览 3.2 寻找Web安全漏洞 我们可以用一些自动化的网站扫描工具去检测网站的常见漏洞,也可以用纯手工的方式进行检测,如图3-3和3-4所示,在网页URL后面添加“and 1=1”和“and 1=2”,发现网站返回的情况不同!说明这里存在着SQL注入漏洞。 图3-3 SQL注入测试 图3-4 SQL注入测试 如图3-5所示,在地址栏后面添加“ “> ”,弹窗窗口出现,证明这里存在反射型XSS漏洞。 图3-5 反射型XSS 如图3- 6、3-7和3-8所示,在留言板里发表包含“ ”的帖子内容,弹窗窗口出现,证明这里存在存储型XSS漏洞。 图3-6 留言板 图3-7 XSS留言 图3-8 存储型XSS 3.3 SQL注入攻击测试 在上一节已经找到Web网站的SQL注入漏洞的基础上,我们利用此漏洞去猜解网站后台数据库中的账号和密码,既可以用工具也可以用手工方式,这里为方便起见选用注入工具,如图3-9和3-10所示,很快猜解出账号和密码。 图3-9 工具扫描SQL注入漏洞 图3-10 注入找到后台账号密码 从密码的形式可以看出不是明文而是原始密码的MD5散列码,MD5是单向散列函数,本来是不能破解的,不过如果密码原文比较简单,也可能用暴力破解的方式找到原密码,如图3- 11、3-12和3-13所示。 图3-11 破解MD5 图3-12 破解成功 图3-13 破解出密码原文 有了账号和密码后,扫描网站的管理后台地址,如图3-14所示。 图3-14 扫描出管理后台 如图3-15和3-16所示,用前面注入猜解和破解获取的账号和密码登录,成功进入Web网站的管理后台界面。 图3-15 登录管理后台 图3-16 进入管理后台 3.4 XSS跨站攻击测试 前面已经通过手工方式探测到网站存在XSS漏洞,XSS漏洞属于一种比较被动的安全漏洞,不能用来直接攻击服务器,而是一部用来攻击其他客户端,具体利用的方法和形式很多,下面是利用XSS漏洞窃取管理员cookie的步骤。 图3-17 XSS利用平台网站 如图3-17所示,XSS漏洞攻击者自己创建一个具有XSS漏洞利用功能的网站,然后为自己创建一个项目,生成具有窃取cookie功能的代码,如图3-18所示: 图3-18 XSS利用代码 现在攻击者可以设法利用各种欺骗手段让其他Web网站用户执行XSS代码,这里利用存储型XSS漏洞,由攻击者在留言板上发表包含XSS利用代码的内容插入网站数据库,如图3-19所示。 图3-19 将代码插入目标Web网站 如图3-20所示,一旦Web网站的管理员在登录状态下查看了留言板,XSS利用代码就 14 在后台隐蔽执行了。 图3-20 管理员被攻击 此时攻击者回到XSS网站,会发现自己的项目中返回了数据,如图3-21所示。 图3-21 攻击者收到cookie 如图3-22所示,攻击者窃取到了Web网站管理员的cookie信息。 图3-22 窃取到的cookie值 如图3-23和3-24所示,有了窃取到的cookie信息,再借助一些cookie修改工具,可以不输入密码直接进入管理后台界面。 图3-23 cookie修改工具 图3-24 窃取cookie进入管理界面 3.5 网马上传攻击测试 前面利用SQL注入漏洞拿到管理账户和密码后可以非法进入后台管理界面,但到这来一般并不能做多少事,用后台权限篡改新闻挂黑页是很无聊的事情,常见的做法是想办法将网页木马上传到网站获取Webshell得到网站所在服务器的某些权限,然后有需要和可能再设法提权。 如图3-25所示,在Web网站管理后台里找到一个能够上传自己图片的地方,然后选择上传文件,如图3-26和3-27所示,直接上传asp格式的网马是通不过检查的,所以上传一个伪装成图片文件的小马,结果成功上传,并被自动重命名,如图3-28和3-29所示。 图3-25 上传图片 图3-26 选择文件 图3-27 上传网马图片 图3-28 上传成功 图3-29 上传文件位置和名称 现在网马内容上传上去了,但文件后缀名不对,所以不能访问执行,所以需要再利用类似如图3-30所示的备份漏洞,将上传的文件的后缀名成功改回asp。 图3-30 备份改名 现在可以直接访问上传成功的网马,如图3-31所示是小马的效果,利用它在上传一个功能齐全的大马,如图3-32和3-33所示。 图3-31 访问网马 图3-32 上传大马 图3-33 访问大马 现在可以直接访问大马网页文件,如图3-34所示,登录成功后即得到类似图3-35所示的Webshell界面,根据权限可以对Web网站所在的服务器进行操作,如果有其他系统和软件漏洞,还可以设法提权,获取对服务器的完全控制权。 图3-34 网马登录 图3-35 获取Webshell 第四章 Web网站防护 4.1 网站代码修复 经过Web渗透测试,我们发现了网站的安全漏洞及其严重后果,下一步自然就是部署安全防护措施,堵塞漏洞。 对Web网站后台代码进行阅读审核后,可知正是因为网站查询数据库的SQL语句缺少必要的过滤措施才导致了SQL注入、XSS等安全漏洞。修补漏洞的最好办法是用安全编码方式彻底重写所有相关代码,如果没有这个条件,添加一些过滤代码也是比较好的办法,例如图4-1所示,在数据库连接文档中添加了对用户提交值中非法参数的检测。 图4-1 过滤代码 添加过滤代码后,黑客如果再企图对Web网站进行诸如SQL注入之类的攻击,就会被拦截而归于失败,如图4-2所示。 图4-2 SQL注入被拦截 需要注意的是,黑名单式的过滤代码并不是万能的,往往会被更高水平的黑客攻击绕过,所以还应根据攻防技术的发展及时更新,并结合其他安全防范措施。 4.2 其它防护措施 因为现在的Web网站功能越来越多,也越来越复杂,相应的黑客攻击技术也在不断发展,所以往往不是单一的安全防护措施就能有效抵御各种渗透攻击,而需要综合采用各种措施,一方面尽可能将所有的安全漏洞堵住,另一方面可以争取做到即使黑客攻破了某个安全措施,也会被其他安全措施拦截,将损失降低到最小。 目前比较常用的Web安全防范措施有:尽量选用高版本的操作系统Web服务器,设置高强度的密码,给网站目录设置最小的必要权限,加装Web防火墙和杀毒软件监控网页木马等。 最后需要指出,Web渗透和防护技术还处在快速发展阶段,所以没有一劳永逸的安全,必须不断学习,与时俱进。 总 结 网络安全是当前的一个技术研究热点,Web安全又是网络安全中的一个核心问题。Web渗透测试则是强化Web网站安全的重要技术手段,它是在获得授权的情况下,模拟真实的黑客攻击手段对目标Web站点进行入侵测试,因此能够最大程度挖掘出Web网站的安全漏洞,为Web安全防护提供有效依据。 本文是在真实网络环境里自己搭建了一个Web网站,然后自己对其进行渗透测试,研究Web安全相关攻防技术。限于水平,创建的Web网站和攻防所用的技术都比较简单,没有涉及当前最新的Web网站漏洞测试,但仍然比较完整地展示了Web网站渗透测试和防护的过程,为以后进一步学习和工作打下良好基础。 参考文献 [1] 陈小兵,范渊,孙立伟.Web渗透技术及实战案例解析 [M].北京:电子工业出版社,2012.4 [2] 王文君,李建蒙.Web应用安全威胁与防治 [M].北京:电子工业出版社,2013.1 [3] 吴翰清.白帽子讲Web安全 [M].北京:电子工业出版社,2012.3 [4] 鲍洪生.信息安全技术教程 [M].北京:电子工程出版社,2014.3 25 Web网站的设计、管理与维护 如果你在因特网上发现一个对你的工作有帮助或有参考价值的网站,你一定会将其网址告诉你的同事;如果找到你的朋友需要的信息,你同样记下网址告诉你的朋友;要是在网上冲浪时偶然遇到特别有兴趣的网站,你肯定加入到自己浏览器的书签中,每一个上网者都会这样做的。有许多人员设计过网站和个人主页,这在技术实现上已十分容易,有许多几乎不用编程的所见即所得的工具软件可以利用。但是让人们从浩如烟海的站点中,访问浏览你的站点甚至为你宣传,就不是那么简单,因为鼠标和键盘是永远掌握在上网者手中的。设计者如何设计出达到预期效果的站点和网页,是需要深刻理解用户的需求并对人们上网时的心理进行认真的分析研究。 因特网正在改变世界,它促成了网络经济雏形的形成,特别是电子商务正由新概念走向实用化。由于因特网具有传播信息容量极大、形态多样、迅速方便、全球覆盖、自由和交互的特点,已经发展成为新的传播媒体,所以全球几乎各个企业、机构纷纷建立自己的Web站点。并且由此产生了一个新的工作岗位——网站设计者(Website Designer)和网站管理者(WebMaster)。如何设计出达到用户目的的网站,吸引尽可能多的人参观访问是一个值得研究的课题。吸引大量的网民访问你的站点只是成功的一半,以独特的内容和服务使网民再来访问,或向他的朋友介绍网址才是真正的成功。 Web站点是向用户或潜在客户提供信息(包括产品和服务)的一种方式。其文档所包含的内容是由被称为超文本(HyperText)的文本、图形图象、声音,甚至电影等组成。使这些超文本能够有机地关联并可使浏览器识别,是通过HTML语言(HyperText Markup Language超文本标记语言)实现的。同时CGI(Common Gateway Interface公共网关接口)能使Web具有交互功能。Web站点指引用户浏览该站点或其他站点上的分页信息,可以通过表格和电子邮件的连接提供双向交互方式。站点建立后,你的企业就在国内、甚至在国际上有了一席之地,有了每周7天、每天24小时的“虚拟门市部”。网站是未来企业开展电子商务的基础设施和信息平台,它是“知识经济”的制高点,企业的网址犹如企业的商标和品牌一样,是反映企业形象和文化的巨大的无形资产。 本文总结归纳了Web网站的设计、管理与维护的十二项要点,与大家一起探讨。 一、目标明确、定位正确 Web站点的设计是企业或机构发展战略的重要组成部分。要将企业站点作为在因特网--这个新媒体上展示企业形象、企业文化的信息空间,领导一定要给予足够的重视,明确设计站点的目的和用户需求,从而作出切实可行的计划。 挑选与锤炼企业的关键信息,利用一个逻辑结构有序地组织起来,开发一个页面设计原型,选择用户代表来进行测试,并逐步精炼这个原型,形成创意。 分析有些网站的效果不如预想的好,主要原因是对用户的需求理解有偏差,缺少用户的检验造成的。设计者常常将企业的市场营销和商业目标放在首位,而对用户和潜在的用户的真正需求了解不多。所以,企业或机构应清楚地了解本网站的受众群体的基本情况,如受教育程度、收入水平、需要信息的范围及深度等,从而能够有的放矢。 二、主题鲜明、富有特色 在目标明确的基础上,完成网站的构思创意即总体设计方案。对网站的整体风格和特色作出定位,规划网站的组织结构。 Web站点应针对所服务对象(机构或人)不同而具有不同的形式。有些站点只提供简洁文本信息;有些则采用多媒体表现手法,提供华丽的图像、闪烁的灯光、复杂的页面布置,甚至可以下载声音和录像片段。最好的Web站点将把图形图像表现手法与有效的组织与通信结合起来。 要做到主题鲜明突出,力求简洁,要点明确,以简单明确的语言和画面告诉大家本站点的主题,吸引对本站点有需求的人的视线,对无关的人员也能留下一定的印象。对于一些行业标志和公司的标志应充分加以利用。 调动一切手段充分表现网站的个性和情趣,突出个性,办出网站的特色。 Web站点主页应具备的基本成分包括: 页头:准确无误地标识你的站点和企业标志; E-mail地址:用来接收用户垂询; 联系信息:如普通邮件地址或电话; 版权信息。 注意重复利用已有信息,如客户手册、公共关系文档、技术手册和数据库等可以轻而易举地用到企业的Web站点中。 三、版式编排布局合理 网页设计作为一种视觉语言,当然要讲究编排和布局,虽然主页的设计不等同于平面设计,但它们有许多相近之处,应充分加以利用和借鉴。 版式设计通过文字图形的空间组合,表达出和谐与美。版式设计通过视觉要素的理性分析,和严格的形式构成训练,培养对整体画面的把握能力和审美能力。一个优秀的网页设计者也应该知道哪一段文字图形该落于何处,才能使整个网页生辉。 努力做到整体布局合理化、有序化、整体化。优秀之作,善于以巧妙、合理的视觉方式使一些语言无法表达的思想得以阐述,做到丰富多样而又简洁明了。 多页面站点页面的编排设计要求把页面之间的有机联系反映出来,这里主要的问题是页面之间和页面内的秩序与内容的关系。为了达到最佳的视觉表现效果,应讲究整体布局的合理性。特别是关系十分紧密的有上下文关系的页面,一定设计有向前和向后的按钮,便于浏览者仔细研读。 站点设计简单有序,主次关系分明,将零乱页面的组织过程混杂的内容依整体布局的需要进行分组归纳,经过进行具有内在联系的组织排列,反复推敲文字、图形与空间的关系,使浏览者有一个流畅的视觉体验。 四、色彩和谐重点突出 色调及黑、白、灰的三色空间关系不论在设计还是在绘画方面都起着重要的作用。在页面上一定得明确调性,而其它有色或无色的内容均属黑、白、灰的三色空间关系,从而构成它们的空间层次。 色彩是艺术表现的要素之一,它是光刺激眼睛再传导到大脑中枢而产生的一种感觉。在网页设计中,根据和谐、均衡和重点突出的原则,将不同的色彩进行组合、搭配来构成美丽的页面。 利用色彩对人们心理的影响的成果,合理地加以运用。按照色彩的记忆性原则,一般暖色较冷色的记忆性强。色彩还具有联想与象征的特质,如:红色象征火、血、太阳;蓝色象征大海、天空和水面等。所以设计出售冷食的虚拟店面,应使用消极而沉静的颜色,使人心理上感觉凉爽一些。 在色彩的运用过程中,还应注意的一个问题是:由于国家和种族的不同,宗教和信仰的不同,生活的地理位置、文化修养的差异,不同的人群对色彩的喜恶程度有着很大差异。如:儿童喜欢对比强烈、个性鲜明的纯颜色;生活在草原上的人喜欢红色;生活在闹市中的人喜欢淡雅的颜色;生活在沙漠中的人喜欢绿色。在设计中要考虑主要读者群的背景和构成。 五、形式内容和谐统一 形式服务于内容,内容又为目的服务,形式与内容的统一是设计网页的基本原则之一。 画面的组织原则中,将丰富的意义和多样的形式组织在一个统一的结构里,形式语言必须符合页面的内容,体现内容的丰富含义。 运用对比与调和,对称与平衡,节奏与韵律以及留白等手段,如通过空间、文字、图形之间的相互关系建立整体的均衡状态,产生和谐的美感。如对称原则在页面设计中,它的均衡有时会使页面显得呆板,但如果加入一些动感的的文字、图案,或采用夸张的手法来表现内容往往会达到比较好的效果。 点、线、面是视觉语言中的基本元素,使用点、线、面的互相穿插、互相衬托、互相补充构成最佳的页面效果。 点是所有空间形态中最简洁的元素,也可以说是最活跃、最不安分的元素。设计中,一个点就可以包罗万象,体现设计者的无限心思,网页中的图标,单个图片,按钮或一团文字等都可以说是点。点是灵活多变的,我们可以将一排文字视为一个点,将一个图形视为一个点。在网页设计中的点,由于大小、形态、位置的不同而给人不同的心理感受。 线是点移动的轨迹,线在编排设计中有强调、分割、导线,视觉线的作用。线会因方向、形态的不同而产生不同的视觉感受,例如垂直的线给人平稳、挺立的感觉,弧线使人感到流畅、轻盈;曲线使人跳动、不安。在页面中内容较多时,就需进行版面分割,通过线的分割保证页面良好的视觉秩序,页面在直线的分割下,产生和谐统一的美感;通过不同比例的空间分割,有时会产生空间层次韵律感。 面的形态除了规则的几何形体外,还有其它一些不规则的形态,可以说表现形式是多种多样的。面在平面设计中是点的扩大,线的重复形成的。面状给人以整体美感,使空间层次丰富,使单一的空间多元化,在表达较含蓄。 网页设计中点、线、面的运用并不是孤立的,很多时候都需要将它们结合起来,表达完美的设计意境。 六、三维空间指置有方 网络上的三维空间是一个假想空间,这种空间关系需借助动静变化、图像的比例关系等空间因素表现出来。 在页面中图片、文字位置前后叠压,或位置疏密或页面上、左、右、中、下位置所产生的视觉效果都各不相同。在网页上,图片、文字前后叠压所构成的空间层次目前还不多见,网上更多的是一些设计得比较规范化、简明化的页面,这种叠压排列能产生强节奏的空间层次,视觉效果强烈。网页上常见的是页面上、左、右、下、中位置所产生的空间关系,以及疏密的位置关系所产生的空间层次,这两种位置关系使视觉流程生动而清晰,视觉注目程度高。疏密的位置关系使产生的空间层次富有弹性,同时也让人产生轻松或紧迫的心理感受。 需指出,随着Web的普及和计算机技术的迅猛发展,人们对Web语言的要求也日益增长。人们已不满足于HTML语言编制的二维Web页面,三维世界的诱惑开始吸引更多的人,虚拟现实要在Web网上展示其迷人的风采,于是VRML语言出现了。VRML是一种面向对象一种语言,它类似Web超级链接所使用的HTML语言,也是一种基于文本的语言,并可以运行在多种平台之上,只不过能够更多的为虚拟现实环境服务。VRML只是一种语言,对于三维环境的艺术设计仍需要理论和实践指导。 七、多媒体功能的利用 最大资源优势在于多媒体功能,因而要尽一切努力挖掘它,吸引浏览者保持注意力。因而画面的内容应当有一定的实用性,如产品的介绍甚至可以用三维动画来表现。 这里需要注意的问题是,由于网络带宽的限制,在使用多媒体的形式表现网页的内容时应考虑客户端的传输速度,或者说将多媒体的内容控制在用户可接收的下载时间内是十分必要的。 八、相关站点引导链接 一个好的网站的基本要素是用户进入后,与本网站相关的信息都可以方便快捷地找到,其中要借助于相关的站点,所以做好导引是一项重要的工作。超文本这种结构使全球所有联上因特网的计算机成为超大规模的信息库,链接到其它网站轻而易举。 在设计网页的导引组织时,应该给出多个相关网站的链接,使得用户感到想得到的信息就在鼠标马上就可以点击的地方。 九、网站测试必不可少 为什么精心设计的网站是经得起推敲的,就是因为它经过认真细致的测试。测试实际上就是模拟用户访问网站的过程,得以发现问题改进设计。 由于一般网站设计都是一些专业人员设计的,他们对计算机和网络有较深的理解,但要考虑到访问网站的大部分人只是使用计算机和网络,应切实满足他们的需要。所以有许多成功的经验表明,让对计算机不是很熟悉的人来参加网站的测试工作效果非常好,这些人会提出许多专业人员没有顾及到的问题或一些好的建议。 十、及时更新认真回复 企业Web站点建立后,要不断更新内容,利用这个新媒体宣传本企业的企业文化、企业理念、企业新产品。站点信息的不断更新和新产品的不断推出,让浏览者感到企业的实力和发展,同时也会使企业更加有信心。 在企业的Web站点上,要认真回复用户的电子邮件和传统的联系方式如信件、电话垂询和传真,做到有问必答。最好将用户进行分类,如:售前一般了解、销售、售后服务等,由相关部门处理,使网站访问者感受到企业的真实存在,产生信任感。 注意不要许诺你实现不了的东西,在你真正有能力处理回复之前,不要恳求用户输入信息或罗列一大堆自己不能及时答复的电话号码。 如果要求访问者自愿提供其个人信息,应公布并认真履行一个个人隐私保护承诺,如不向第三方提供此信息等。 十一、合理地运用新技术 因特网是IT界发展最快的领域,其中新的网页制作技术几乎每天都会出现,如果不是介绍网络技术的专业站点,一定要合理地运用网页制作的新技术,切忌将网站变为一个制作网页的技术展台,永远记住用户方便快捷地得到所需要的信息是最重要的。 但对于网站设计者来说,必须学习跟踪掌握网页设计的新技术,如Java、DHTML、XML等,根据网站的内容和形式的需要合理地应用到设计中。 十二、推广站点的方法 广泛散布你的Web地址 网站已经建好,下面的工作是欢迎大家访问浏览。那么如何让人们知道你的网址呢? 利用传统的媒体(如印刷广告公关文档及促售宣传等),欢迎所有人参观是一种十分有效的方法; 对待公司的网址象对待其商标一样,印制在商品的包装和宣传品上; 与其他网站交换链接或购买其他网站的图标广告; 向因特网上的导航台提交本站点的网址和关键词,在页面的原码中,可使用META标签加入主题词,以便于搜索引擎识别检索,使你的站点易于被用户查询到。注意向访问率较高的导航台,如Yahoo、Excite、AltaVista、Infoseek、HotBot注册; 通过在网站上设立有奖竞赛的方式,让浏览者填写如年龄、行业、需求、光顾本站点的频度等信息,从而得到访问者的统计资料,这些可是一笔财富,以供调整网站设计和内容更新时参考。 总之,在每天不断增长的Web站点中,如何独树一帜、鹤立鸡群是对网站设计者综合能力的考验和挑战。 【网站源代码】 旅游系统数据库部分代码: Static conn = DriverManager.getConnection(“jdbc:odbc:sql:sqlserver://localhost:1433/travel?useUnicode=true&characterEncoding =gb2312”, “ ”, “ ”);String password=“";Connection conn= DriverManager.getConnection(url,user,password);Statement stmt=conn.createStatement();executeQuery()方法对数据库进行查询操作。 sql=”SELECT count(*)c FROM `hotpoint` where `id`=0 and `hotelID`=“+hotel_Id;rs=stmt.executeQuery(sql);while(rs.next()){ count1 = rs.getInt(”c“);} 模块中关键代码(实现表单的验证并提交到数据库的代码): sql=”select ID from Users where UserName='“+username+”'“;ResultSet rs=statement.executeQuery(sql);if(rs.next()){ err+=”该用户名己经存在,请更换用户名!“;valid=false;} else{ String id=”select max(ID)as xxx from Users“;ResultSet a=statement.executeQuery(id);next();sql=”insertintoUsers(UserName,Password,Email,Sex,Phone,Address,Age,PostNumber, Rank,Face)values('“+username+”','“+password1+”','“+email+”','“+sex+”', '“+phone+”','“+address+”','“+age+”', '“+postnumber+”','“+rank+”','“+face+”')“; 用 exe 传递所要执行的操作: if(exe.equals(”write“)){ if(reid!=0){ rs.close();sql=”select ReplyNum from Articles where ID=“+reid;rs=statement.executeQuery(sql);rs.next();renum=rs.getInt(”ReplyNum“);renum++;//可以将上面的值进行自增 rs.close();//注意 close 的位置 sql=”updateArticlessetReplyNum='“+renum+”'whereID=“+reid;statement.executeUpdate(sql);} //此用户的 PostNumber 加一 sql=”selectPostNumberfromUserswhereUserName='“+username+”'“;rs=statement.executeQuery(sql);rs.next();int postnum=rs.getInt(”PostNumber“);System.out.println(postnum);postnum++;rs.close(); sql=”updateUserssetPostNumber='“+postnum+”'whereUserName='“+username+”'“;statement.executeUpdate(sql);//将文章信息存入数据库 renum=0;//在 上 面 的 内 容 中 可 以 得 到 authorid,title,content,bid,reid,posttime,emotion,renum sql=”insert into Articles(AuthorID,Title,Content,BoardID,ReplyID,Posttime,Emotion, ReplyNum)values('“+authorid+”','“+title+”','“+content+”','“+bid+”','“+ reid+”', '“+posttime+”','“+emotion+”','“+renum+”')“;} else if(exe.equals(”modify“)){ String id=request.getParameter(”id“);sql=”updateArticlessetPostTime='“+posttime+”',Content='“+content+”'whe re ID=“+id;} 网站页面HTML代码: 第三篇:Web网站渗透测试论文
第四篇:Web网站的设计、管理与维护(xiexiebang推荐)
第五篇:基于JAVA WEB技术的旅行社网站系统设计(含源文件)
name=description>
content=XX旅游,XX旅游,旅游网,旅行社,国内旅游,出境旅游,旅游,周边游,休闲,会议,度假,自由人,签证,机票,出差,酒店,订房,在线预定,特色旅游,专题旅游,夕阳红旅游,红色旅游
name=keywords>
onload=”MM_preloadImages('5555.jpg')“ marginheight=”0“ marginwidth=”0“>