Apache Tomcat 重要安全修复：CVE-2013-4444

2017年02月05日 11 阅读

Apache Tomcat 发布重要安全修复：Hash：SHA1CVE-2013-4444：远程代码执行（Remote Code Execution）；安全等级：重要；影响的版本：Apache Tomcat 7.0.0 至 7.0.39描述：在非常有限的情况下，攻击者可以上传恶意的 JSP 到 Tomcat 服务器，然后触发执行 JSP。这种攻击要想成功必须满足下列条件:a） 使用 Oracle Java 1.7.0 update 25 或者更早的版本 （...

IntelliJ IDEA读取资源文件

2017年02月05日 11 阅读

官方文档以下是jetbrain官网对idea中资源文件的解释，文章最后有此文的链接。这里的资源文件包括properties文件、图片、dtd文件、xml文件。这些文件被放在项目的classpath路径下。通常可以使用以下方法来获取他们：ResourceBundle.getBundle（） //获取properties文件或者资源包（resource bundles） loadResourceAsStream（） //获取icon或者其他文件build应用时...

“心脏出血”漏洞公布之前可能已经被政府机构利用

2017年02月05日 11 阅读

“心脏出血”漏洞已经是史上影响互联网最严重的缺陷之一。但是，新的研究表明，“心脏出血”漏洞在四月爆出之前，没有证据显示“心脏出血”漏洞已经被黑客大规模使用。“心脏出血”漏洞爆出之后，互联网网站争先恐后地应用补丁。然而，一些美国大学研究学者担心，该漏洞在爆出之前，可能已经被政府机构利用进行互联网监控之用。通过分析劳伦斯伯克利国家实验室收集到2013年11月到201...

C、Shell混合编程小技巧

2017年02月05日 11 阅读

写在前面：开始工作的前两年一直都是在Windows平台下，使用的编程方式多是单一语言，全部使用C++，或全部使用C#，或者java等等等。在最近换了工作，投奔互联网之后，开发平台彻底转移到Linux平台，告别了Win7，用上了mac，哈哈。言归正传：int system（const char *）;Linux c 中的system函数的作用是在程序中调用shell。我的小技巧的思路就是将system函数的执行结果读取回来。返回的结果是字符串，不要小瞧这个字...

OpenSSL承诺出问题时提前通知开发商 送沙包堵漏洞

2017年02月05日 11 阅读

鉴于前不久冒出来的Heartbleed漏洞，OpenSSL项目决定，OpenSSL发布安全相关的修正程序时，会提前通知那些使用OpenSSL流行加密包的Linux和Unix操作系统发行商。OpenSSL项目决定，附有OpenSSL的操作系统发行商会在修正程序发布前收到通知——通过openssl-announce list电邮群收到通知，但不会提供问题的细节。尽管OpenSSL项目的维护人员决定重要的漏洞有必要尽量“暗箱&...

Python 使用python-nmap模块实现端口扫描器

2017年02月05日 11 阅读

对线上服务器进行端口扫描是一件很有用的事，可以验证你的防火墙规则，避免暴漏不需要的服务。也可以知道你机器上开了哪些服务，不用等乌云爆出来了才知道，有人黑进内网玩了好几个月。哈哈，真事，服务器被通过zabbix黑进来，开了一个socket5的进程，自由进出。反正，这玩意很有用，本着奉献精神，把代码放出来，共同学习。功能很简单，对服务器进行扫描，生成html格式的扫描结果，对扫描结果发邮件。格式方面做了点处理，定义端口白名单，正常端口显示绿色，异常端口显示红色...

Apache Tomcat任意文件上传漏洞（CVE-2013-4444）

2017年02月05日 11 阅读

发布日期：2014-09-10更新日期：2014-09-11受影响系统：Apache Group Tomcat不受影响系统：Apache Group Tomcat 7.0.0-7.0.39描述：BUGTRAQ ID: 69728CVE（CAN） ID: CVE-2013-4444Apache Tomcat是一个流行的开源JSP应用服务器程序。Tomcat 7.0.0-7.0.39版本在某些情况下，允许攻击者上传恶意JSP到Tomcat服务器，并触发执行这些...

Java简单生成二维码

2017年02月05日 11 阅读

二维码简介二维条码/二维码（2-dimensional bar code，QRCode）是用某种特定的几何图形按一定规律在平面（二维方向上）分布的黑白相间的图形记录数据符号信息的；在代码编制上巧妙地利用构成计算机内部逻辑基础的“0”、“1”比特流的概念，使用若干个与二进制相对应的几何形体来表示文字数值信息，通过图象输入设备或光电扫描设备自动识读以实现信息自动处理：它具有条码技术的一些共性：每种码制有其特定的字...

IBM Initiate Master Data Service跨站请求伪造漏洞（CVE-2014-4783）

2017年02月05日 11 阅读

发布日期：2014-09-09更新日期：2014-09-11受影响系统：IBM Initiate Master Data Service描述：BUGTRAQ ID: 69693CVE（CAN） ID: CVE-2014-4783IBM Initiate Master Data Service是主数据管理的平台。IBM Initiate Master Data Service 9.5.093013之前版本、9.7.093013之前版本、10.0.093013...

利用Java随机数计算圆周率π

2017年02月05日 11 阅读

一、理论篇1. 数学公式圆面积公式：π*r*r，其中π为圆周率，r为圆半径；正方形面积公式：s*s，其中s为边长；勾股定理：a*a + b*b = c*c，其中a/b分别为直角三角形的两个直角边，c为斜边。2. 计算方法考虑下图，边长为r的正方形内嵌了一个以r为半径的1/4圆。InsideCircle面积 = 以r为半径的圆面积 / 4 = π*r*r/4正方形面积 = r*r所以， InsideCircle面积 / 正方形面积 = （&...

Google Chrome多个安全漏洞（CVE-2014-3179）

2017年02月05日 11 阅读

发布日期：2014-09-09更新日期：2014-09-11受影响系统：Google Chrome < 37.0.2062.94描述：BUGTRAQ ID: 69710CVE（CAN） ID: CVE-2014-3179Google Chrome是由Google开发的一款Web浏览工具。Google Chrome 37.0.2062.120之前版本存在多个漏洞，目前细节未知。<*来源：Google链接：http://secunia.com/ad...

Spring Security异常之You must provide a configuration attribute

2017年02月05日 11 阅读

案情描述： 在使用Spring Security框架进行开发的时候，跑出了 “You must provide a configuration attribute”这样的异常，异常详细信息如下：org.springframework.beans.factory.BeanCreationException : Error creating bean with name "favSecurityMetadataSource" defin...

JBPM 6.0 Final使用心得笔记

2017年02月05日 11 阅读

JBPM6与之前的版本不同之处主要是控制台的功能更加强大了，使得6.0几乎可以涵盖BPM业务层面的内容，当然了，需要专业人士来使用，不适合普通的非技术型的admin来操作。先讲一讲JBPM6的大致结构吧。这里我用到13年11月21号的final版。A.容器,JBPM6原生的容器使用jboss GA，当然了jboss非常强大，提供非常多的可用模块，但是对于想要一直jbpm6的同学，则成为了负担。特别是JBPM6.0使用的JAAS&JAAC的模式与jb...

C++基本语法笔记

2017年02月05日 11 阅读

第七章函数在调用前要先声明。new和delete可以用来分配内存和释放。虽然malloc和free也保留了，但不推荐使用。delete运算符使用的一般格式为delete [] 指针变量有时需要使几种不同类型的变量存放到同一段内存单元中，应使用union。声明的一般形式为：union 类型名{ 成员表列};枚举类型：enum weekday{sun,mon,tue,....}声明了枚举类型之后，可以用它来定义变量。如 weekday workday, wee...

Adobe Flash Player及AIR堆缓冲区溢出漏洞（CVE-2014-0556）

2017年02月05日 11 阅读

发布日期：2014-09-09更新日期：2014-09-11受影响系统：Adobe Flash Player Adobe AIR描述：BUGTRAQ ID: 69696CVE（CAN） ID: CVE-2014-0556Adobe Flash Player是一个集成的多媒体播放器。Adobe AIR是针对网络与桌面应用的结合所开发出来的技术，可以不必经由浏览器而对网络上的云端程式做控制。Adobe Flash Player 13.0.0.244之前版本、1...

JFinal开发8个常见问题

2017年02月05日 11 阅读

2014年的时候，学过一段时间的JFinal，当时主要是了解这个框架，研究了下源码，看懂了部分。今天，2015年2月7日，弄了一下午的JFinal，把未来要上线的一个官网项目，迁移到了JFinal。下面是8个最常见的问题总结。1.Can not create instance of class: demo.DemoConfig.觉得应该是你的路径有问题， 打开你项目的java build path面板， 然后找到default output folder,...

Google Chrome释放后重利用远程代码执行漏洞（CVE-2014-3178）

2017年02月05日 11 阅读

发布日期：2014-09-09更新日期：2014-09-11受影响系统：Google Chrome < 37.0.2062.94描述：BUGTRAQ ID: 69709CVE（CAN） ID: CVE-2014-3178Google Chrome是由Google开发的一款Web浏览工具。Google Chrome 37.0.2062.120之前版本存在远程代码执行漏洞，攻击者可利用此漏洞在受影响应用上下文中执行任意代码。<*来源：miaubiz...

MySQL MyISAM不安全临时文件创建漏洞

2017年02月05日 11 阅读

发布日期：2014-08-04更新日期：2014-09-12受影响系统：mysql MyISAM描述：BUGTRAQ ID: 69732CVE（CAN） ID: CVE-2014-4274MySQL MyISAM是MySQL关系型数据管理系统5.5之前版本的默认存储引擎。MySQL MyISAM在实现上存在临时文件创建漏洞，攻击者可利用此漏洞在MySQL服务器上下文中执行任意代码。<*来源：vendor*>建议：厂商补丁：mysql-----目...

C++构造函数

2017年02月05日 11 阅读

C++构造函数的工作是保证每个对象的数据成员具有合适的初始值。一、构造函数的定义（1）构造函数可以被重载。可以为一个类声明的构造函数的数量没有限制，只要每个构造函数的形参表是唯一的。（2）实参决定使用哪个构造函数。（3）构造函数自动执行。只要创建该类型的一个对象，编译器就运行一个构造函数。（4）构造函数不能声明为const。创建类类型的const对象时，运行一个普通构造函数来初始化该const对象。构造函数的工作是初始化该对象，不管对象是否为const，都...

PowerDNS Recursor畸形数据包序列拒绝服务漏洞

2017年02月05日 11 阅读

发布日期：2014-09-10更新日期：2014-09-12受影响系统：PowerDNS PowerDNS Recursor 3.6.0描述：CVE（CAN） ID: CVE-2014-3614PowerDNS Recursive Server是高端名称解析服务器。PowerDNS Recursor 3.6.0版本在处理数据包时存在错误，攻击者通过发送一系列构造的畸形数据包到受影响服务器，利用此漏洞可造成崩溃。<*来源：PowerDNS*>建议...