Java曝远程代码执行漏洞

2017年02月05日 11 阅读

继本月初 Java官网曝本地文件包含（LFI）漏洞 ，可读取超过460位Oracle公司员工邮箱之后。今天Java又曝一系列安全漏洞，攻击者可在未授权的情况下在受害者的Java应用上远程执行命令， 强烈建议企业尽快更新它们的Java Runtime Environments （JREs） 和（Java Development Kits）JDKs。影响范围5、6、7、8版本的JRE/JDK均存在上述安全漏洞Java 7最后一次更新对于Java 7来说，这将是...

关于Java内部类的“内部”

2017年02月05日 12 阅读

内部类有两种情况：（1） 在类中定义一个类（私有内部类，静态内部类）（2） 在方法中定义一个类（局部内部类，匿名内部类）1、私有内部类 —— 在方法之间定义的内部类，非静态我们首先看看类中内部类的两个特点：（1） 在外部类的作用范围内可以任意创建内部类对象，即使内部类是私有的（私有内部类）。即内部类对包围它的外部类可见。//代码1：内部类对外部类可见class Outer{ //创建私有内部类对象 public Inner in=n...

多个TP-LINK产品目录遍历漏洞（CVE-2015-3035）

2017年02月05日 11 阅读

多个TP-LINK产品目录遍历漏洞（CVE-2015-3035）发布日期：2015-04-10更新日期：2015-04-20受影响系统：TP-LINK TL-WR740N TP-LINK TL-WR841N TP-LINK TL-WDR4300 TP-LINK TL-WR741ND TP-LINK TL-WR842ND TP-LINK Archer C9TP-LINK Archer C8TP-LINK Archer C7TP-LINK Archer C5T...

深入理解Java：内部类

2017年02月05日 11 阅读

什么是内部类？内部类是指在一个外部类的内部再定义一个类。内部类作为外部类的一个成员，并且依附于外部类而存在的。内部类可为静态，可用protected和private修饰（而外部类只能使用public和缺省的包访问权限）。内部类主要有以下几类：成员内部类、局部内部类、静态内部类、匿名内部类内部类的共性（1）、内部类仍然是一个独立的类，在编译之后内部类会被编译成独立的.class文件，但是前面冠以外部类的类名和$符号 。（2）、内部类不能用普通的方式访问。（3...

Google Chrome拒绝服务漏洞（CVE-2015-3336）

2017年02月05日 11 阅读

Google Chrome拒绝服务漏洞（CVE-2015-3336）发布日期：2015-04-20更新日期：2015-04-20受影响系统：Google Chrome < 42.0.2311.90描述：CVE（CAN） ID: CVE-2015-3336Google Chrome是由Google开发的一款Web浏览工具。Google Chrome 42.0.2311.90之前版本，在更改CONTENT_SETTINGS_TYPE_FULLSCREEN...

深入理解Java垃圾回收机制

2017年02月05日 11 阅读

一、垃圾回收机制的意义 Java语言中一个显著的特点就是引入了垃圾回收机制，使c++程序员最头疼的内存管理的问题迎刃而解，它使得Java程序员在编写程序的时候不再需要考虑内存管理。由于有个垃圾回收机制，Java中的对象不再有“作用域”的概念，只有对象的引用才有“作用域”。垃圾回收可以有效的防止内存泄露，有效的使用空闲的内存。 ps:内存泄露是指该内存空间使用完毕之后未回收，在不涉及复杂数据结构的一般情况下...

Google Chrome内存破坏漏洞（CVE-2015-3335）

2017年02月05日 11 阅读

Google Chrome内存破坏漏洞（CVE-2015-3335）发布日期：2015-04-20更新日期：2015-04-20受影响系统：Google Chrome < 42.0.2311.90描述：CVE（CAN） ID: CVE-2015-3335Google Chrome是由Google开发的一款Web浏览工具。Google Chrome 42.0.2311.90之前版本，components/nacl/loader/sandbox_linu...

Cisco Secure Access Control Server Dashboard页面跨站请求伪造漏洞（CVE-2015-0700）

2017年02月05日 11 阅读

Cisco Secure Access Control Server Dashboard页面跨站请求伪造漏洞（CVE-2015-0700）发布日期：2015-04-20更新日期：2015-04-20受影响系统：Cisco Secure Access Control Server描述：CVE（CAN） ID: CVE-2015-0700Cisco Secure Access Control System是访问策略控制平台。Cisco Secure Acces...

Linux Shell在while中用read从键盘输入

2017年02月05日 11 阅读

Linux系统是Ubuntu 14.04 64bit，之前曾想安装Stream来玩dota2，但最终没成功。由于Stream只有32bit，安装Stream时也安装了大量32bit的库。删除Stream后，这些库也一直没管，今天忽然心血来潮，想清理一下系统，把不必要的32bit库都干掉。dpkg -l | grep "i386"看一下，32bit库太多，一个个敲sudo apt-get purge xxx显然有点累，分析了一下输出，格式大概如下：rc li...

Oracle Solaris本地安全漏洞（CVE-2015-0471）

2017年02月05日 11 阅读

Oracle Solaris本地安全漏洞（CVE-2015-0471）发布日期：2015-04-14更新日期：2015-04-20受影响系统：Oracle Solaris 11.2Oracle Solaris 10描述：BUGTRAQ ID: 74138CVE（CAN） ID: CVE-2015-0471Solaris是Sun Microsystems研发的计算机操作系统。它被认为是UNIX操作系统的衍生版本之一。 目前Solaris属于混合开源软件。Or...

使用二级指针在多线程进行刷新操作

2017年02月05日 11 阅读

多线程程序中，我们经常会遇到这种情况，主线程启动时加载一些参数到内存中的某个对象或者数据结构中，将这个对象或数据结构作为参数传入各个子线程中，为了避免对象的复制与拷贝，往往传入的是指针，子线程启动，进行业务逻辑处理，需要根据key值获取hashtable中的value，value = m_pParam->get（key），代码如下所示//用hashtable保存程序运行所需的参数hashtable<key, value> hashPara...

HTTPS 漏洞导致 1500 项 iOS 应用存在安全隐患

2017年02月05日 11 阅读

应用分析服务公司SourceDNA周一发布报告称，约1500项iOS应用存在“HTTPS-crippling”漏洞。该漏洞允许黑客截获用户的加密信息，如密码、银行账号或其他高度敏感信息。SourceDNA预计，有200多万用户安装了这些存在安全隐患的应用，如Citrix OpenVoice Audio Conferencing、阿里巴巴（Alibaba.com）的移动应用、KYBankAgent 3.0和Revo Restauran...

赋值操作符的异常实现方式

2017年02月05日 11 阅读

在类的定义中，我们通常会重载赋值操作符，来替代编译器合成的版本，实现中会对每个类的成员变量进行具体的操作，比如下面的代码：class Sales_Item{public: Sales_Item& operator=（const Sales_Item & rhs）;//other mebers and functionsprivate: char *pIsbn; int units_sold; double revenue;};Sal...

多个Panda安全产品身份验证绕过漏洞

2017年02月05日 11 阅读

多个Panda安全产品身份验证绕过漏洞发布日期：2015-04-15更新日期：2015-04-22受影响系统：Panda Security描述：BUGTRAQ ID: 74156Panda Security是计算机安全厂商，产品主要是防病毒软件、防火墙、反垃圾邮件等安全产品。多个Panda产品在实现上存在身份验证绕过漏洞，攻击者利用此漏洞可绕过身份验证机制，执行未授权操作。<*来源：Matthias Deeg *>建议：厂商补丁：Panda--...

Ruby探针的基本实现原理

2017年02月05日 11 阅读

语言本身Ruby语言支持语法级别的系统，框架，甚至语言本身的方法复写，一般叫做元编程（meta programming）， 此基础之上还有一些术语为mixin，方法的动态定义，运行时类改写等等，这些技术和机制可以让语言本身就能实 现其他语言需要字节码才能实现的功能，例如探针需要hook HttpRequest中的request方法，就可以通过下面的方式实现：class HttpRequestdef request_newputs "before reque...

多个D-Link产品HNAP命令远程权限提升漏洞

2017年02月05日 11 阅读

多个D-Link产品HNAP命令远程权限提升漏洞发布日期：2015-04-10更新日期：2015-04-22受影响系统：D-Link Wireless Router描述：BUGTRAQ ID: 74051D-link专注于无线网络和以太网路硬件产品的设计开发。多个D-Link产品在HNAP命令的实现上存在远程权限提升漏洞，经过身份验证的远程攻击者利用此漏洞可获取提升的权限。<*来源：Zhang Wei （Qihoo360 ADLAB） *>建议...

Node.js异常处理uncaughtException篇

2017年02月05日 11 阅读

很多 NodeJS 的开发者在抱怨异常处理太麻烦，我们会通过一些列博客梳理一下NodeJS中常见的异常处理的手段。和大多数编程语言一样，在 NodeJS 里可以通过throw抛出一个异常：throw new Error（"Catch me"）;为了捕获这个异常需要把代码包在Try Catch中：try{throw new Error（"Catch me"）;}catch（e）{// error captured}然而，由于 NodeJS 的异步特性，上述代...

Cisco Unified MeetingPlace Server跨站请求伪造漏洞

2017年02月05日 11 阅读

Cisco Unified MeetingPlace Server跨站请求伪造漏洞发布日期：2015-04-15更新日期：2015-04-22受影响系统：Cisco Unified MeetingPlace 8.6（1.9）描述：CVE（CAN） ID: CVE-2015-0704Cisco Unified MeetingPlace会议解决方案允许组织承办集成语音、视频和web会议。Cisco Unified MeetingPlace 8.6（1.9）版本...

提高Python运行效率的六个窍门

2017年02月05日 11 阅读

Python是一门优秀的语言，它能让你在短时间内通过极少量代码就能完成许多操作。不仅如此，它还轻松支持多任务处理，比如多进程。不喜欢Python的人经常会吐嘈Python运行太慢。但是，事实并非如此。尝试以下六个窍门，来为你的Python应用提速。窍门一：关键代码使用外部功能包Python简化了许多编程任务，但是对于一些时间敏感的任务，它的表现经常不尽人意。使用C/C++或机器语言的外部功能包处理时间敏感任务，可以有效提高应用的运行效率。这些功能包往往依附...

Cisco Unified MeetingPlace Web服务目录跨站请求伪造漏洞

2017年02月05日 11 阅读

Cisco Unified MeetingPlace Web服务目录跨站请求伪造漏洞发布日期：2015-04-15更新日期：2015-04-22受影响系统：Cisco Unified MeetingPlace 8.6（1.9）描述：CVE（CAN） ID: CVE-2015-0705Cisco Unified MeetingPlace会议解决方案允许组织承办集成语音、视频和web会议。Cisco Unified MeetingPlace 8.6（1.9）版...