Veritas NetBackup 任意RPC调用漏洞（CVE-2015-6552）

2017年02月05日 10 阅读

Veritas NetBackup 任意RPC调用漏洞（CVE-2015-6552）发布日期：2016-05-07更新日期：2016-05-10受影响系统：Veritas Backup Exec 7.x - 7.5.0.7Veritas Backup Exec 7.7.x < 7.7.2Veritas Backup Exec 7.6.1.x - 7.6.1.2Veritas Backup Exec 7.6.0.x - 7.6.0.4Veritas N...

【Simple Java】Java数组在内存中是如何存放的

2017年02月05日 12 阅读

Java中有两种类型的数组：基本数据类型数组；对象数组；当一个对象使用关键字“new”创建时，会在堆上分配内存空间，然后返回对象的引用，这对数组来说也是一样的，因为数组也是一个对象；一维数组int[] arr = new int[3];在以上代码中，arr变量存放了数组对象的引用；如果你创建了空间大小为10的整形数组，情况是一样的，一个数组对象所占的空间在堆上被分配，然后返回其引用；二维数组那么二维数组是如何存储的呢？事实上，在Ja...

Veritas NetBackup bpcd任意命令执行漏洞（CVE-2015-6550）

2017年02月05日 10 阅读

Veritas NetBackup bpcd任意命令执行漏洞（CVE-2015-6550）发布日期：2016-05-07更新日期：2016-05-09受影响系统：Veritas Backup Exec 7.x - 7.5.0.7Veritas Backup Exec 7.7.x < 7.7.2Veritas Backup Exec 7.6.1.x - 7.6.1.2Veritas Backup Exec 7.6.0.x - 7.6.0.4Verita...

Java方法区和运行时常量池溢出问题分析

2017年02月05日 10 阅读

运行时常量池是方法区的一部分，方法区用于存放Class的相关信息，如类名、访问修饰符、常量池、字段描述、方法描述等。String.intern（）是一个native方法，它的作用是：如果字符串常量池中已经包含了一个等于此String对象的字符串，则返回代表池中这个字符串的String对象；否则，将此String对象包含的字符串添加到常量池中，并返回此String对象的引用。在JDK1.6及之前版本中，由于常量池分配在永久代中（即方法区），我们可以通过-XX...

Veritas NetBackup 信息泄露漏洞（CVE-2015-6551）

2017年02月05日 10 阅读

Veritas NetBackup 信息泄露漏洞（CVE-2015-6551）发布日期：2016-05-07更新日期：2016-05-10受影响系统：Veritas Backup Exec 7.x - 7.5.0.7Veritas Backup Exec 7.6.0.x - 7.6.0.4Veritas NetBackup Appliance <= 2.5.4Veritas NetBackup Appliance 2.6.0.x <= 2.6....

Java内存模型与垃圾回收

2017年02月05日 10 阅读

1、Java内存模型 Java虚拟机在执行程序时把它管理的内存分为若干数据区域，这些数据区域分布情况如下图所示：程序计数器：一块较小内存区域，指向当前所执行的字节码。如果线程正在执行一个Java方法，这个计数器记录正在执行的虚拟机字节码指令的地址，如果执行的是Native方法，这个计算器值为空。Java虚拟机栈：线程私有的，其生命周期和线程一致，每个方法执行时都会创建一个栈帧用于存储局部变量表、操作数栈、动态链接、方法出口等信息。本地方法栈：与虚拟机栈功...

ANDROID Qualcomm Wi-Fi Driver权限提升漏洞（CVE-2015-0569）

2017年02月05日 10 阅读

Android Qualcomm Wi-Fi Driver权限提升漏洞（CVE-2015-0569）发布日期：2016-05-09更新日期：2016-05-10受影响系统：Android Android描述：CVE（CAN） ID: CVE-2015-0569Android是基于Linux开放性内核的手机操作系统。Nexus系列产品是Google公司研发的以原生Android为操作系统的智能手机、平板电脑等电子数码产品。Qualcomm Wi-Fi dri...

Spring学习：编写第一个Hello World程序

2017年02月05日 10 阅读

Spring是一个开源框架，Spring是于2003 年兴起的一个轻量级的Java 开发框架，由Rod Johnson 在其著作Expert One-On-One J2EE Development and Design中阐述的部分理念和原型衍生而来。它是为了解决企业应用开发的复杂性而创建的。框架的主要优势之一就是其分层架构，分层架构允许使用者选择使用哪一个组件，同时为 J2EE 应用程序开发提供集成的框架。Spring使用基本的JavaBean来完成以前只...

Apache Cordova iOS 安全限制绕过及资源加载漏洞（CVE-2015-5207）

2017年02月05日 10 阅读

Apache Cordova iOS 安全限制绕过及资源加载漏洞（CVE-2015-5207）发布日期：2016-05-09更新日期：2016-05-10受影响系统：Apache Group Cordova iOS < 4.0.0描述：CVE（CAN） ID: CVE-2015-5207Apache Cordova是用于创建本地移动应用的库。Apache Cordova iOS 4.0.0之前版本存在安全漏洞，可使攻击者绕过应用内URL白名单保护机制...

专门针对科学家工程师的僵尸网络

2017年02月05日 11 阅读

Forcepoint Security Labs的安全研究人员报告了一个主要针对的科学家、工程师和学者的僵尸网络。他们将该僵尸网络取名为Jaku（pdf）——以星球大战中的一颗星球名字命名，因为恶意程序代码中提到了星球大战。攻击者被认为有朝鲜语/韩语背景，利用BT网站的假动画种子文件感染受害者。研究人员发现，在大约1.9万感染恶意程序的受害者中，42%来自韩国、31%来自日本，9%来自中国，6%来自美国。感染Jaku的Windows...

Android之如何混淆代码和相关配置

2017年02月05日 11 阅读

客户想看一下目前项目开发到什么程度了，于是需要将项目签名打包成apk，结果打包的时候出错了，吃惊，什么情况。等成功打包以后，安装起来发现部分功能又报错了，囧，所幸最后还是解决了。在这里记录一下遇到的错误和解决方法。1.如何混淆将代码混淆起来，这样可以防止在apk被人反编译后而被别人直接看到源码，混淆方法很简单，当我们创建好项目时，已经自动为我们生成了混淆文件，老版的ADT生成的是proguard.cfg文件，而新版的ADT则是以proguard-proje...

攻击者开始利用ImageMagick漏洞攻击网站

2017年02月05日 11 阅读

安全研究人员称，攻击者没有浪费一点时间，开始利用刚刚曝出的ImageMagick高危漏洞去执行恶意代码以控制网站的Web服务器。ImageMagick是一个广泛使用的图像处理库，它的一个高危漏洞允许远程代码执行，攻击者上传植入恶意代码的图像，Web服务器在处理时能被利用执行攻击者选择的代码。开发者尚未释出修正漏洞的补丁。CloudFlare的研究员 John Graham-Cumming在官方博客上称，攻击者正在利用该漏洞攻击网站。相关阅读：利用Image...

Spring MVC返回json数据给Android端

2017年02月05日 11 阅读

原先做Android项目时，服务端接口一直是别人写的，自己拿来调用一下，但下个项目，接口也要自己搞定了，我想用Spring MVC框架来提供接口，这两天便抽空浅学了一下该框架以及该框架如何返回json数据。在这里边介绍两种个人觉得比较方便的两种方法（PS:其实是我现在只会这两种）。1.直接PrintWriter输出json数据使用该方法时，可以自己拼凑json字符串，不过我并不赞同使用该方法，毕竟太容易出错了。所以这里我是先构建jsonobject对象，在...

SS7攻击绕过WhatsApp和Telegram加密

2017年02月05日 11 阅读

早在2014年，研究人员就发现【注1】七号信令系统（SS7，Signaling System Number 7）上存在安全漏洞，允许攻击者监听私人手机通话和拦截短信。安全公司Positive Technologies的移动网络专家上周演示了利用SS7漏洞冒充用户接收短信。概念验证攻击演示使用了一台运行Linux的笔记本电脑和一个能与SS7协议交互的SDK。新的攻击能欺骗移动网络节点，拦截加密移动通信应用用户之间在初始阶段的聊天。原因是加密应用使用短信验证身...

Android之获取本地图片并压缩方法

2017年02月05日 11 阅读

这两天在做项目时，做到上传图片功能一块时，碰到两个问题，一个是如何获取所选图片的路径，一个是如何压缩图片，在查了一些资料和看了别人写的后总算折腾出来了，在此记录一下。首先既然要选择图片，我们就先要获取本地所有的图片，Android已经为我们封装好了该意图。1 Intent intent = new Intent（Intent.ACTION_PICK, null）;//从列表中选择某项并返回所有数据2 intent.setDataAndType（3Media...

Adobe ColdFusion跨站脚本漏洞（CVE-2016-1113）（APSB16-16）

2017年02月05日 11 阅读

Adobe ColdFusion跨站脚本漏洞（CVE-2016-1113）（APSB16-16）发布日期：2016-05-10更新日期：2016-05-11受影响系统：Adobe ColdFusion < 2016 Update 1Adobe ColdFusion < 11 Update 8Adobe ColdFusion < 10 Update 19描述：CVE（CAN） ID: CVE-2016-1113Adobe ColdFusio...

Android之提交数据到服务端方法简单封装

2017年02月05日 12 阅读

在Android应用中，除了单机版的应用，其余的应用免不了需要频繁地与服务端进行数据交互，如果每一种方法都独立写一段代码，那会造成代码大量重复，冗余，这不是我们所希望的，所以我们可以对其进行一些封装，这样不但可以提高代码质量，最重要的是我们自己用起来也爽啊。首先，我们先建立个webservice文件夹，再在里面新建3各类:HttpUtils.java ;Webservice.java ;WebserviceHelp.java。先介绍WebserviceH...

ANDROID Qualcomm TrustZone权限提升漏洞（CVE-2016-2432）

2017年02月05日 11 阅读

Android Qualcomm TrustZone权限提升漏洞（CVE-2016-2432）发布日期：2016-05-09更新日期：2016-05-11受影响系统：Android Android < 2016-05-01Android Android描述：CVE（CAN） ID: CVE-2016-2432Android是基于Linux开放性内核的手机操作系统。Nexus 6, Android One设备上，Android 2016-05-01之前...

ANDROID NVIDIA Video Driver权限提升漏洞（CVE-2016-2434）

2017年02月05日 11 阅读

Android NVIDIA Video Driver权限提升漏洞（CVE-2016-2434）发布日期：2016-05-09更新日期：2016-05-11受影响系统：Android Android < 2016-05-01Android Android描述：CVE（CAN） ID: CVE-2016-2434Android是基于Linux开放性内核的手机操作系统。Android 2016-05-01版本，NVIDIA Video Driver存在权...

Log4j简单配置

2017年02月05日 11 阅读

Log4j是一组强大的日志组件，在项目中时常需要用它提供一些信息，这两天学习了一下它的简单配置。第一步，我们需要导入log4j-1.2.14.jar到lib目录下第二步，在src下建立log4j.properties文件。添加如下内容log4j.propertieslog4j.rootLogger =INFO,stdoutlog4j.logger.sedion=INFO,dblog4j.logger.W=WARN,Wlog4j.logger.E=ERROR...