WordPress wp_get_attachment_link跨站脚本漏洞（CVE-2016-5834）

2017年02月05日 14 阅读

WordPress wp_get_attachment_link跨站脚本漏洞（CVE-2016-5834）发布日期：2016-06-28更新日期：2016-06-30受影响系统：WordPress WordPress <= 4.5.2描述：CVE（CAN） ID: CVE-2016-5834WordPress是一种使用PHP语言开发的博客平台。WordPress 4.5.3之前版本wp-includes/post-template.php/wp_ge...

为什么Android开发者应该使用FlatBuffers替代JSON？

2017年02月05日 12 阅读

你可能会问，既然我们已经有很标准的JSON以及转换库比如GSON和Jackson，为什么还要使用新的工具呢？不妨先试一下FlatBuffers，然后你就会发现它比JSON快得多。FlatBuffers是什么？FlatBuffers是一个高效的跨平台序列化类库，可以在C++、C#、C、Go、Java、JavaScript、PHP和Python中使用。是Google开发的，是为了应用在游戏开发，以及其他注重性能的应用上。为什么要使用FlatBuffers？不需...

Linux kernel nfsd绕过文件权限限制漏洞（CVE-2016-1237）

2017年02月05日 11 阅读

Linux kernel nfsd绕过文件权限限制漏洞（CVE-2016-1237）发布日期：2016-06-28更新日期：2016-06-30受影响系统：Linux kernel <= 4.6.3描述：CVE（CAN） ID: CVE-2016-1237Linux Kernel是Linux操作系统的内核。Linux kernel 4.6.3及之前版本nfsd实现中存在安全漏洞。本地用户设置POSIX ACL，即可绕过目标文件权限限制。<*来源...

Spring的事务操作

2017年02月05日 11 阅读

我们项目一期已经差不多结束了，所以一些细节也被拿了出来，出现最多的就是事务的操作了。因为自己负责的是一个模块（因为是另外一个项目的负责人），所以组员经常会遇到事务的问题，会出现很多奇葩的用法，各种乱用，估计他们就知道在方法上面注解@Transactional，但是其中的很多细节都不知道。所以经常会出现一个情况，就是一大坨代码出现了事务的问题，然后我就去各种改。所以今天也对事务做一个总结吧。以后忘记了可以回来看看。一般我们使用事务最主要注重的是三个方面:1....

Linux kernel snd_compr_allocate_buffer整数溢出漏洞（CVE-2012-6703）

2017年02月05日 12 阅读

Linux kernel snd_compr_allocate_buffer整数溢出漏洞（CVE-2012-6703）发布日期：2016-06-28更新日期：2016-06-30受影响系统：Linux kernel < 3.6-rc6-next-20120917描述：CVE（CAN） ID: CVE-2012-6703Linux Kernel是Linux操作系统的内核。Linux kernel 3.6-rc6-next-20120917之前版本，AL...

OpenCV人脸识别Eigen算法源码分析

2017年02月05日 12 阅读

1 理论基础学习Eigen人脸识别算法需要了解一下它用到的几个理论基础，现总结如下：1.1 协方差矩阵首先需要了解一下公式：共公式可以看出：均值描述的是样本集合的平均值，而标准差描述的则是样本集合的各个样本点到均值的距离之平均。以一个国家国民收入为例，均值反映了平均收入，而均方差/方差则反映了贫富差距，如果两个国家国民收入均值相等，则标准差越大说明国家的国民收入越不均衡，贫富差距较大。以上公式都是用来描述一维数据量的，把方差公式推广到二维，则可得到协方差公...

赛门铁克/诺顿安全产品发现类蠕虫高危漏洞

2017年02月05日 13 阅读

Google Project Zero研究员Tavis Ormandy在官方博客上报告了赛门铁克/诺顿安全产品发现的可远程利用的类蠕虫高危漏洞。漏洞让数以百万计的消费者、小企业和大型机构面临自我复制攻击。根据赛门铁克公布的安全公告，受影响的产品多达25款，其中赛门铁克企业级产品17款，诺顿消费者和小企业级产品8款。Ormandy警告称，漏洞非常容易利用，能在目标网络内甚至互联网范围内病毒式扩散，它具有了蠕虫病毒的特性。漏洞与赛门铁克产品使用的解包器相关，在...

Struts2基础——自定义拦截器

2017年02月05日 11 阅读

一、自定义拦截器默认的拦截器能实现的功能是有限的，Struts2 支持自定义拦截器。二、拦截器类1.实现 Interceptor 接口2.继承 AbstractInterceptor 抽象类，需要实现 public String intercept（ActionInvocation actionInvocation） 方法，其中通过 actionInvocation.invoke（） 继续调用后续拦截器 和 Action 方法。Struts2 会自动跳转到...

Cisco Prime Infrastructure及Evolved Programmable Network Manager API漏洞（CVE-2016-1

2017年02月05日 12 阅读

Cisco Prime Infrastructure及Evolved Programmable Network Manager API漏洞（CVE-2016-1发布日期：2016-06-28更新日期：2016-07-01受影响系统：Cisco Prime Infrastructure 1.2 - 3.0Cisco Prime Infrastructure Cisco Evolved Programmable Network Manager （EPNM） 1...

libreoffice RTF解析器任意代码执行漏洞（CVE-2016-4324）

2017年02月05日 12 阅读

libreoffice RTF解析器任意代码执行漏洞（CVE-2016-4324）发布日期：2016-06-28更新日期：2016-07-01受影响系统：libreoffice libreoffice < 5.1.4描述：CVE（CAN） ID: CVE-2016-4324LibreOffice是可在各种平台上执行的、与其他主要办公室软体兼容的套件。libreoffice RTF解析器未进入输入过滤，可导致攻击者通过畸形文档，执行任意代码。<*...

Struts2基础——modelDriven

2017年02月05日 12 阅读

一、属性驱动在目标 Action 类中，通过 setXxx（） 方法来接收请求参数。二、模型驱动1.ParametersInterceptor 拦截器工作原理ParametersInterceptor 会将请求参数赋值给值栈中栈顶的对象。默认情况下，栈顶对象是目标 Action 类。2.modelDriven 拦截器工作原理获取目标 Action 对象，判断是否实现了 ModelDriven 接口，若实现，则调用目标 Action 的 getModel（）...

Cisco Firepower System静态凭证漏洞（CVE-2016-1394）

2017年02月05日 12 阅读

Cisco Firepower System静态凭证漏洞（CVE-2016-1394）发布日期：2016-06-28更新日期：2016-07-01受影响系统：Cisco FireSIGHT System Software >= 6.0描述：CVE（CAN） ID: CVE-2016-1394Cisco Firepower是高级防火墙系列产品。Cisco Firepower System Software用户帐户密码是默认的静态形式，攻击者本地或远程连...

Struts2 声明式异常处理

2017年02月05日 11 阅读

1.通过配置的方式捕获指定类型异常，由 ExceptionMappingInterceptor 拦截器将异常信息（ExceptionHolder：exceptionStack，exception）压入栈顶，然后通过 OGNL 表达式在页面中获取异常信息。2.Action 级别，只对当前 Action 对应类型的异常起作用，在 struts2 配置文件 action 节点内部使用 exception-mapping 来映射异常。如：<action na...

Symantec Endpoint Protection Manager跨站脚本漏洞（CVE-2016-5305）

2017年02月05日 11 阅读

Symantec Endpoint Protection Manager跨站脚本漏洞（CVE-2016-5305）发布日期：2016-06-30更新日期：2016-07-01受影响系统：Symantec Endpoint Protection Manager < 12.1 RU6 MP5描述：BUGTRAQ ID: 91448CVE（CAN） ID: CVE-2016-5305Symantec Endpoint Protection （SEP）是由S...

Struts2基础——标签

2017年02月05日 10 阅读

一、通用标签1.s:property （读取值栈中对象的属性值）属性：value:指定OGNL表达式；default:OGNL表达式返回为 null 时，使用默认值；escape：是否对 HTML 特殊字符进行转义e1:读取对象栈中对象的属性值<s:property value="[1].userName"/>e2:访问Map栈，读取Session域中对象的属性值<s:property value="#session.sessionKey...

Symantec Endpoint Protection竞争条件安全机制绕过漏洞（CVE-2015-8801）

2017年02月05日 10 阅读

Symantec Endpoint Protection竞争条件安全机制绕过漏洞（CVE-2015-8801）发布日期：2016-06-30更新日期：2016-07-02受影响系统：Symantec Endpoint Protection Manager < 12.1 RU6 MP5描述：BUGTRAQ ID: 91446CVE（CAN） ID: CVE-2015-8801Symantec Endpoint Protection （SEP）是由Sym...

Symantec Endpoint Protection Manager信息泄露漏洞（CVE-2016-5306）

2017年02月05日 10 阅读

Symantec Endpoint Protection Manager信息泄露漏洞（CVE-2016-5306）发布日期：2016-06-30更新日期：2016-07-01受影响系统：Symantec Endpoint Protection Manager < 12.1 RU6 MP5描述：BUGTRAQ ID: 91449CVE（CAN） ID: CVE-2016-5306Symantec Endpoint Protection （SEP）是由S...

Struts2基础——ValueStack和OGNL

2017年02月05日 11 阅读

一、值栈（ValueStack）1.实现类：OGNLValueStack2.对象栈：CompoundRoot（针对的是类级别的）（1）继承自 ArrayList —— 先进后出（2）提供了栈的几个操作：peek（） 返回栈顶对象，pop（） 弹出栈顶对象，push（） 将对象压入栈顶（3）默认情况下，会将当前 Action 对象压入栈顶。通过这个 Action 对象，可以访问到该 Action 的所有属性以及错误信息。（4）获取方式...

Swagger参数注入远程代码执行漏洞（CVE-2016-5641）

2017年02月05日 10 阅读

Swagger参数注入远程代码执行漏洞（CVE-2016-5641）发布日期：2016-06-30更新日期：2016-07-04受影响系统：Swagger Swagger描述：CVE（CAN） ID: CVE-2016-5641Swagger是广泛使用的开源RESTful API框架。Swagger Code Generator包含一个模板驱动引擎，可以多种语言基于Swagger Resource Declaration生成客户端代码。Swagger Co...

使用C/C++写Python模块

2017年02月05日 10 阅读

最近看开源项目时学习了一下用C/C++写python模块，顺便把学习进行一下总结，废话少说直接开始：环境：Windows、python2.78、VS2010或MingW1 创建VC工程（1） 打开VC6.0或VS2008，然后File-->New-->Project-->Win32 DLL Project。建立一个Empty Project，比如testClass，一路确定。（2） 之后向工程添加python头文件目录及库文件目录，如头文...