Apache Struts CSRF绕过漏洞（CVE-2014-7809）

2017年02月05日 11 阅读

发布日期：2014-12-10更新日期：2014-12-15受影响系统：Apache Group Struts 2.0.0－2.3.20描述：CVE（CAN） ID: CVE-2014-7809Struts是用于构建Web应用的开放源码架构。Apache Struts 2.0.0－2.3.20版本生成的令牌值可被预测，这可使远程攻击者利用此漏洞绕过CSRF保护机制。<*来源：&#197;&#129;ukasz链接：http://www...

Apple Safari跨域信息泄露漏洞（CVE-2014-4465）

2017年02月05日 11 阅读

发布日期：2014-12-03更新日期：2014-12-15受影响系统：Apple Safari < 7.1.1Apple Safari < 6.2.1描述：BUGTRAQ ID: 71439CVE（CAN） ID: CVE-2014-4465iOS是由苹果公司为移动设备所开发的操作系统，支持的设备包括iPhone、iPod touch、iPad、Apple TV。Apple Safari 6.2.1之前版本, 7.1.1之前版本, 8.0.1...

Python面向对象的继承

2017年02月05日 11 阅读

Python面向对象的继承，继承主要就是继承父类的一些方法，代码中很详细#！/usr/bin/env python #coding:utf-8class Father（object）:#新式类 def __init__（self）: self.name="Liu" self.FamilyName="Yan" def Lee（self）: print "我是父类函数Lee" def Allen（self）: prin...

MantisBT多个URI重定向漏洞（CVE-2014-6316）

2017年02月05日 11 阅读

发布日期：2014-12-03更新日期：2014-12-16受影响系统：mantisbt mantisbt < 1.2.18描述：BUGTRAQ ID: 71478CVE（CAN） ID: CVE-2014-6316MantisBT是基于Web的bug跟踪系统。MantisBT 1.2.0a3-1.2.17版本运行在web root下时，core/string_api.php没有正确归类URL，这可使远程攻击者通过login_page.php ret...

Python中的装饰器

2017年02月05日 11 阅读

什么是装饰器假设有函数A，B，C，已经全部编写完成，这时你发现A, B, C都需要同一个功能，这时该怎么办？答： 装饰器装饰器其实就是一个函数，不过这个函数的返回值是一个函数个人理解，装饰器主要就是为了完成上边的这个功能，将A, B, C 函数包裹在另一个函数D中，D函数在A函数执行之前或之后，处理一些事情#！/usr/bin/env python #coding:utf-8def SeparatorLine（）: print "############...

BMC Track-It！信息泄露漏洞（CVE-2014-8270）

2017年02月05日 11 阅读

发布日期：2014-12-09更新日期：2014-12-16受影响系统：BMC Track-It！ 11.3描述：BUGTRAQ ID: 71626CVE（CAN） ID: CVE-2014-8270BMC Track-It！是集成的IT帮助桌面和资产管理解决方案。BMC Track-It！ 11.3版本在密码重置时存在安全漏洞，远程攻击者通过创建与本地系统帐户名称匹配的帐户，利用此漏洞可获取提升的权限并执行任意代码。<*来源：Brandon Per...

Python中的反射

2017年02月05日 11 阅读

反射对于初学python可能较难理解，但反射是非常有用。试想一下，当别的程序传入给你写的这段代码一个变量（var=“math”），这个变量是一个字符串，这个字符串是一个模块或者一个模块下的某个方法，你需要通过变量来导入此模块或者方法，如何导入此模块或方法呢，如果直接执行 import var是会出错的，因为var在你的这段代码中是一个变量, 这时就需要反射， 如何使用反射呢。如果这个变量值是一个模块，可以使用MathModule=_...

IBM WebSphere DataPower XC10安全限制绕过漏洞

2017年02月05日 11 阅读

发布日期：2014-12-12更新日期：2014-12-16受影响系统：IBM WebSphere DataPower XC10 2.5IBM WebSphere DataPower XC10 2.1描述：CVE（CAN） ID: CVE-2014-6138XC10设备是强大的WebSphere DataPower硬件平台和先进的IBM分布式缓存技术的结合。IBM WebSphere DataPower XC10设备2.1及2.5在实现上存在安全漏洞，经过...

Linux kernel MDP驱动程序权限提升漏洞（CVE-2014-4323）

2017年02月05日 11 阅读

发布日期：2014-12-12更新日期：2014-12-16受影响系统：Linux kernel 3.x描述：CVE（CAN） ID: CVE-2014-4323Linux Kernel是Linux操作系统的内核。Linux kernel 3.x的MDP显示驱动程序中，drivers/video/msm/mdp.c的mdp_lut_hw_update函数没有正确验证ioctl调用内的某些起始及长度值，这可使攻击者通过构造的应用利用此漏洞获取提升的权限。受影...

Python面向对象编程

2017年02月05日 11 阅读

Python面向对象编程一个类对象中可以有下面几种数据类型1. 静态变量2. 动态变量3. 私有变量4. 静态方法5. 动态方法6. 私有方法7. 类方法8. 特性9. 专有 方法首先定义一个类：#！/usr/bin/env python #coding:utf-8class Province（object）: #静态字段 desc = "中国一级行政区" #动态字段 def __init__（self,name,capital,leader,...

IBM WebSphere DataPower XC10跨站请求伪造漏洞（CVE-2014-3058）

2017年02月05日 11 阅读

发布日期：2014-12-09更新日期：2014-12-17受影响系统：IBM WebSphere DataPower XC10 2.5IBM WebSphere DataPower XC10 2.1描述：CVE（CAN） ID: CVE-2014-3058XC10设备是强大的WebSphere DataPower硬件平台和先进的IBM分布式缓存技术的结合。IBM WebSphere DataPower XC10设备2.1及2.5在实现上存在跨站请求伪造漏...

Python的@符号

2017年02月05日 11 阅读

Python一直都属于用，没有去系统学习过，在一次代码review中见到了@符号，回来看了下，这个符号用于装饰器中，用于修饰一个函数，把被修饰的函数作为参数传递给装饰器，下面举几个例子：1. @classmethod和@staticmethod这两个含义很明显，在定义方法的时候@classmethod表示该方法是类方法,类方法必须有一个参数为cls,表示类本身，实例方法的第一个参数是self.@staticmethod修饰的方法基本上和一个全局函数相同。这...

Intrexx任意文件上传漏洞（CVE-2014-2025）

2017年02月05日 11 阅读

发布日期：2014-12-14更新日期：2014-12-17受影响系统：Intrexx Intrexx Professional 6.0Intrexx Intrexx Professional 5.2描述：BUGTRAQ ID: 71672CVE（CAN） ID: CVE-2014-2025Intrexx是集成的跨平台开发环境，可以创建并操作基于Web的应用、企业门户及内部系统。Intrexx Professional 6.0及5.2版本在实现上存在任意文...

Ekahau Real-Time Location System多个安全漏洞（CVE-2014-2716）

2017年02月05日 11 阅读

发布日期：2014-12-15更新日期：2014-12-17受影响系统：Ekahau Ekahau Real-Time Location System 6.0.5-FINAL描述：BUGTRAQ ID: 71674CVE（CAN） ID: CVE-2014-2716Ekahau Real-Time Location System是基于Wi-Fi的实时定位系统解决方案。Ekahau Real-Time Location System使用的信息加密机制（基于预...

FBI利用开源黑客工具追踪匿名Tor用户

2017年02月05日 11 阅读

《连线》报道，FBI是利用流行的开源黑客工具Metasploit追踪匿名的Tor用户。美国联邦执法机构在2012年展开了名为Operation Torpedo的行动，目标是访问三家暗网（基于Tor隐藏服务）儿童色情网站的用户。Operation Torpedo使用的工具是现已停止开发的Metasploit Decloaking Engine，Decloaking Engine使用了五种不同的方法破解匿名系统，其中一种方法是与终端用户建立直接连接的 Adob...

HTML5-炫丽的时钟效果Canvas绘图与动画基础练习

2017年02月05日 11 阅读

HTML5-炫丽的时钟效果Canvas绘图与动画基础练习效果如下：http://www.linuxidc.com/yanshi/2015/03/Canvas/index.html全部代码：<！DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"><html ...

Trihedral VTScada整数溢出漏洞

2017年02月05日 11 阅读

发布日期：2014-12-09更新日期：2014-12-18受影响系统：Trihedral VTScada < 11.1.07Trihedral VTScada < 10.2.22Trihedral VTScada 6.5－9.1.20描述：CVE（CAN） ID: CVE-2014-9192VTScada是基于Windows的SCADA系统，带有Web接口选项。Trihedral Engineering VTScada （之前为VTS） 6....

ICANN遭黑客钓鱼攻击 员工帐号信息泄露

2017年02月05日 12 阅读

北京时间12月18日早间消息，互联网域名管理机构ICANN周三在一份公告中表示，身份不明的攻击者通过鱼叉式钓鱼攻击攻破了该机构的敏感系统。这些攻击者因此获得了员工电子邮件帐号，以及与ICANN有业务往来的人士的个人信息。ICANN还表示，在此次攻击中，黑客获得了保存在该机构中央区域数据系统的所有文件的管理员权限，以及该系统账号所有者的姓名、邮政地址、电 子邮件地址、传真和电话号码、用户名，以及经过加密处理的密码。域名注册服务通常使用这一数据库，协助管理目前...

Java开发熟手该当心的11个错误

2017年02月05日 11 阅读

生产过程中出现的问题正逐渐得到中层和最高管理层的重视。不管是身为开发人员还是架构师，下列的事项都应该得到你足够的重视以避免陷入未来的尴尬境地。你也可以把它作为排查问题的便签。 #1、不在属性文件或 XML 文件中外化配置属性。比如，没有把批处理使用的线程数设置成可在属性文件中配置。你的批处理程序无论在 DEV 环境中，还是 UAT（用户验收测试）环境中，都可以顺畅无阻地运行，但是一旦部署在 PROD 上，把它作为多线程程序处理更大的数据集时，就会抛出 I...

Git客户端发现漏洞，影响Windows和OS X版本

2017年02月05日 11 阅读

Git项目发布了Git v2.2.1，修正了一个影响Windows和Mac OS X客户端的安全漏洞。Linux虽然不受影响，但如果Linux主机服务有Windows和OS X使用者，那么为保护用户最好还是升级到最新版本。问题涉及到大小写不敏感的文件系统，以Windows的NTFS系统为例，文件名Xxxx.txt与xxxx.txt是相同的，xxx.git和xxx.Git也是相等的。在大小写不敏感的文件系统上运行Git客户端，该漏洞可能引起如.git/con...