前言 这周收到外部合作同事推送的一篇文章,[漏洞通告]Apache Dubbo Provider默认反序列化远程代码执行漏洞(CVE-2020-1948)通告. 按照文章披露的漏洞影响范围,可以说是当前所有的 Dubbo 的版本都有这个问题. 无独有偶,这周在 Github 自己的仓库上推送几行改动,不一会就收到 Github 安全提示,警告当前项目存在安全漏洞CVE-2018-10237. 可以看到这两个漏洞都是利用反序列化进行执行恶意代码,可能很多同学跟我当初一样,看到这个一脸懵逼.好端端的…

ie8 background css没有显示?——都是空格惹的祸…

都是SCI惹的祸? 过去只知道地质学家需要跋山涉水寻找宝藏,最近同一位海外归来的学者谈起,方知少数其它领域的科研人员,也"跋山涉水",在内地研究机构寻找可以写好文章的研究成果,不管是否是自己的专业领域,统统帮助整理成英文文章,在SCI杂志发表,成为自己的"研究成果".尽管我非常支持科研人员之间的合作,也不反对偶然做几回挂名作者,但无法认同这种出成果的"专业"方式,更不希望由这种"制造"方式成就出什么"学术权威&quo…

今天在做采集的时候发现只取到了网页的部分内容,当时我就郁闷了,之前都用的采集都可以采集到网页的所有内容,但这次死活就取到部分内容.寻找原因才知道原来是iconv惹的祸. 发现问题时,网上搜了搜,才发现iconv原来有bug ,碰到一些生僻字就会无法转换,当然了配置第二个参数时,可以稍微弥补一下默认缺陷,不至于无法转换是截断,用法如下 iconv(“UTF-8″,”GB2312//IGNORE”,$data)  ; 这样碰到生僻字转换失败时,它就会忽略失败,继续转换下面的内容,这算解决问题的一个办…

正如我们所知道的,编程语句都有很多的基本数据类型,如char,inf,float等等,而在C和C++中还有一个特殊的类型就是无符号数,它由unsigned修饰,如unsigned int等.大家有没想过,就是因为这些不同的类型,而使大家编写的看似非常正确的程序出现了预想不到的错误呢? 一.迷惑人的有符号下无符号数的比较操作 废话不多说,马上来看一下例子,让你先来体验一下这个奇妙的旅程,源代码文件名为unsigned.c,源代码如下:   #include <stdio.h> #include…

周六下午,正在外面吃饭,运营的同事火急火燎地给我打电话,说是网站出问题了,用户登录不了,而且这种情况也不是全部,只有部分地区有问题.没办法,只能回到家里找问题,打开代码,翻来覆去地找问题,搞了整整一下午,也想不出哪里的问题.应该是环境的问题了?根据我的经验,没有程序更新,出问题一般都是环境的问题,可又找不出在哪个环节出的问题.偶然想起Session来,因为登录中用到了Session,可能是某些地区CDN服务器的Session出问题了,导致用户登录状态失效.立刻找CDN合作方确认,果然,经过验证问…

    事情由起:svn的url在excel里,我复制到txt文本下,vi做些文本处理,只提取了url,保存为url.txt.再用vi处理url.txt,加上svn checkout等词,变成可以运行的svn.sh.每一行都是svn checkout .../proj_name/trunk  proj_name/trunk...... 触发动作:bash svn.shshell回显一切正常,似乎没有问题. 有什么问题呢?问题就在与我windows下的'\r'(回车)一直带到svn.sh里了,li…

正如我们所知道的,编程语句都有很多的基本数据类型,如char,inf,float等等,而在C和C++中还有一个特殊的类型就是无符号数,它由unsigned修饰,如unsigned int等.大家有没想过,就是因为这些不同的类型,而使大家编写的看似非常正确的程序出现了预想不到的错误呢? 一.迷惑人的有符号下无符号数的比较操作 废话不多说,马上来看一下例子,让你先来体验一下这个奇妙的旅程,源代码文件名为unsigned.c,源代码如下: [cpp] view plain copy print? #i…

使用JMeter连接oracle数据库,访问JDBC 请求,执行结果提示:ORA-00911: ??Ч??? 意思为无效的字符错误 说明了在执行的的SQL语句中出现了无效字符,所以在AQL语句无法通过语法分析过程导致了错误结果. 可能出现的原因有:1.错误地输入了全角字符,比如输入了全角逗号2.如果使用C++.Java.C#等编程时,总会习惯在语句最后加分号,而这个符号在SQL中是无效字符.3.实际语句和列类型不匹配,比如将数值列赋值为字符串. 解决的方法:去掉了SQL语句末尾的分号,再次执行,…

之前说过了关于vector的insert()方法,把vector B的元素插入到vector A中.vector A中的结果我们可想而知,可是vector B中的元素还会怎样? 看看之前写过的程序: #include <iostream> #include <vector> int main () { std::vector<int> myvector (3,100); std::vector<int>::iterator it; it = myvector…

前言 JBoss是一个基于J2EE的开放源代码应用服务器,代码遵循LGPL许可,可以在任何商业应用中免费使用:JBoss也是一个管理EJB的容器和服务器,支持EJB 1.1.EJB 2.0和EJB3规范.但JBoss核心服务不包括支持servlet/JSP的WEB容器,一般与Tomcat或Jetty绑定使用.在J2EE应用服务器领域,JBoss是发展最为迅速的应用服务器.由于JBoss遵循商业友好的LGPL授权分发,并且由开源社区开发,这使得JBoss广为流行. 0×01 JBoss优点 JBo…

升级OpenSSL修复高危漏洞Heartbleed 背景:          OpenSSL全称为Secure Socket Layer.是Netscape所研发.利用数据加密(Encryption)作技术保障在Internet上传输数据的安全.可确保数据在网络上的传输不会被窃听及截取. 当然,OpenSSL是一个强大的password库,我们在使用SSL协议的时候不一定非得採用OpenSSL,只是眼下基本上都是用的OpenSSL,由于它更安全.使用起来也更简单. 在最近互联网安全协议OpenS…

最近使用HUB工具检查到maven工程中存在高危险漏洞,虽然定位到具体的引用包了,但是在pom文件中却没有发现该依赖包.此时,我们就需要用到这条命令mvn dependency:tree,该命令会将maven工程所依赖的包按照树形格式展示出来,我们可以将输出内容导入到一个文本中,例如:mvn dependency:tree > jar.txt  ,输出信息类似于下图所示: 从上图的示例中可以看到该工程直接依赖了两个jar包,分别是com.alibaba:fastjson:jar:1.2.51和o…

导语 12 月 9 日晚间,Apache Log4j 2 发现了远程代码执行漏洞,恶意使用者可以通过该漏洞在目标服务器上执行任意代码,危害极大. 腾讯安全第一时间将该漏洞收录至腾讯安全漏洞特征库中,CODING 制品扫描基于该漏洞特征库,对引用了受影响版本的 Log4j 2 制品进行了精准定位,并给出修复建议,同时可禁止下载含有该安全漏洞的制品,最大限度的减少漏洞蔓延. Apache Log4j 2 漏洞详情 Apache Log4j 2 是一个基于 Java 的日志记录工具.该工具重写了 Lo…

版本:v1.1更新时间:2013-05-25更新内容:优化性能功能说明: 可以有效防护XSS,sql注射,代码执行,文件包含等多种高危漏洞. 使用方法: 将waf.php传到要包含的文件的目录 在页面中加入防护,有两种做法,根据情况二选一即可: a).在所需要防护的页面加入代码就可以做到页面防注入.跨站 复制代码 require_once('waf.php'); 如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php,来调用本代码.常用php系统添加文件 PHPC…

Struts2 昨天爆出高危漏洞,黑客利用这个漏洞可以执行任意命令(包括恶意的jsp代码),轻松绕过您的验证系统,登陆您的网站后台,使您的网站后台密码形同虚设!! 目前Struts2官方已经发布了一个补丁(补丁版本为: Struts 2.3.15.1) 具体请见: http://struts.apache.org/download.cgi#struts23151…

OpenSSL团队于北京时间6月5号晚8点左右发布了5个安全补丁,这次的更新涉及多处高危漏洞,连接:http://www.openssl.org/news/ 受影响的版本包括: OpenSSL 1.0.1 through 1.0.1g OpenSSL 1.0.0 through 1.0.0l all versions before OpenSSL 0.9.8y 未影响版本: OpenSSL 1.0.1h OpenSSL 1.0.0m OpenSSL 0.9.8za 相关漏洞详情: http://…

/** * 通用漏洞防护补丁 * 功能说明:防护XSS,SQL,代码执行,文件包含等多种高危漏洞 * Class CheckRequestServer */ class CheckRequestServer { /** * 过滤提交数据正则 * @var array */ protected static $filterUrl = [ 'xss' => "\\=\\+\\/v(?:8|9|\\+|\\/)|\\%0acontent\\-(?:id|location|type|transfe…

http://bbs.aliyun.com/read/137391.html <?php /** * 云体检通用漏洞防护补丁v1.1 * 更新时间:2013-05-25 * 功能说明:防护XSS,SQL,代码执行,文件包含等多种高危漏洞 */ $url_arr = array( 'xss' => "\\=\\+\\/v(?:8|9|\\+|\\/)|\\%0acontent\\-(?:id|location|type|transfer\\-encoding)", ); $a…

[2017.5.4更新] 昨天曝出了两个比较热门的漏洞,一个是CVE-2016-10033,另一个则为CVE-2017-8295.从描述来看,前者是WordPress Core 4.6一个未经授权的RCE漏洞.不过实际上,这就是去年12月份FreeBuf已经报道的漏洞,因此我们在原文基础上进行更新. 这次漏洞公告就是PHPMailer漏洞利用细节在WordPress核心中的实现.未经授权的攻击者利用漏洞就能实现远程代码执行,针对目标服务器实现即时访问,最终导致目标应用服务器的完全陷落.无需插件或…

"织梦"CMS注入高危漏洞情况 作者:    时间:2014-04-17   "织梦"CMS是由上海卓卓网络科技有限公司研发的一款网站建站系统软件,又称"DEDE内容管理系统",在国内应用较为广泛.2014年2月25日,该软件被披露存在一个高危漏洞,由于页面参数未进行严格过滤,存在SQL注入漏洞.受漏洞影响的织梦CMS 版本包括V 5.7 SP1及以下版本.至2月28日,针对该漏洞的攻击利用代码和相关利用工具在互联网上已经被公开传播.攻击者可利用…

花了两天时间,特此记录 一:背景: 2018年8月22日,Apache Strust2发布最新安全公告,Apache Struts2存在远程代码执行的高危漏洞. 二:漏洞产生原理: 1.需要知道对应跳转请求的action名称 2.Struts2框架中的属性设置为: 1) struts.mapper.alwaysSelectFullNamespace = true 2) type = “redirectAction”或 type = “chain” 三:恶意代码运行过程: 1. struts2-c…

自从著名J2EE框架Apache Struts2被曝出可被远程攻击者利用的执行漏洞后,关于Struts2的安全性便广受关注.近日,安全研究人员则再次发现了Struts2存在远程代码执行的漏洞,Struts2官方已经确认该漏洞(S2-045),并定级为高危漏洞. 编号为CVE-2017-5638的该漏洞,是基于Jakarta plugin插件的Struts远程代码执行漏洞.据悉,该漏洞会造成RCE远程代码执行,恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,…

转载请注明出处:http://blog.csdn.net/qq_26093511/article/category/6094215 最近在调试08接口的LED显示屏,使用的是自己做的STM32板子. 调试的时候,突然发现显示屏,怎么都不亮,我就开始怀疑人生了........ 难道是程序问题? 吧啦吧啦的查询时序图,修改修改,加延时....然而并没有什么卵用!唉,都让我怀疑是不是引脚接错了,反复测量后发现引脚确实是对的 难道是硬件问题? 我把不需要的程序全部注释掉! 只让STM32相应的08接口的…

2019年7月09日,阿里云应急响应中心监测到有安全研究人员披露Redis 4.x/5.x 远程命令执行高危漏洞利用代码工具.针对未授权或弱口令的Redis服务,攻击者通过构造特定请求,成功利用漏洞可在目标服务器上执行任意命令,风险极大. 漏洞描述 在Reids 4.x之后,Redis新增了模块功能特性,通过外部拓展,可以实现新的Redis命令,通过写c语言并编译出.so文件,可实现代码执行漏洞.阿里云应急响应中心提醒Redis用户尽快采取安全措施阻止漏洞攻击. 影响版本 Redis 4.x R…

IE浏览器远程代码执行高危漏洞(CVE-2019-1367)加固遇到的问题 一.背景介绍 Internet Explorer,是微软公司推出的一款网页浏览器.用户量极大.9月23日微软紧急发布安全更新,修复了一个影响IE浏览器的远程代码执行漏洞.由谷歌威胁分析小组发现此漏洞,据称该漏洞已遭在野利用. 二.漏洞描述 此漏洞是由InternetExplorer脚本引擎中处理内存对象的方式中的内存损坏引起的.要利用此漏洞,攻击者必须引导用户打开已经托管漏洞的恶意网站. 利用此漏洞可以导致攻击者获得用户…

摘要:我是管理员账号,怎么还没有权限?当小伙伴询问的时候,我第一时间就会想到都是用户同名Schema惹的祸 本文分享自华为云社区<你应该知道的数仓安全--都是同名Schema惹的祸>,作者: zhangkunhn . 典型场景 经常遇到小伙伴问到: 我是管理员账号,怎么还没有权限? 管理员给我赋权了啊,怎么还没有权限? 当小伙伴询问的时候,我第一时间就会想到都是用户同名Schema惹的祸. 同名Schema是私有Schema 我们知道,CREATE USER语法在创建用户的同时会在当前数据库中…

偶然发现 最近在公司日志平台 总是可以看到很多关于php curl的错误信息 Operation timed out after 0 milliseconds with 0 out of 0 bytes received Resolving timed out after 5514 milliseconds 非常奇怪,以前都是好的,使用wget获取也非常慢,从下面的结果可以看出来 dns解析比较慢 wget www.domain.com --2016-11-19 22:17:30--  http…

在我们使用VPN的时候,最讨厌的就是无故的断线了,可能正在和好基友一起副本,或者正在视频热聊中,还或者youtube视频看的正起劲,突然windows一个对话框弹出 - “连接已经断开”.实在是太影响体验了,断开之后,我们肯定会在心里咒骂VPN商家一翻,很多VPN商家其实也注意到了这个问题,做了很多的检修,甚至看遍了所有的日志,有时候也没有一个很好的解决方案.其实,今天我们要说的就是,VPN突然断线,有时候不是VPN商家的问题,而是我们的“猫”惹的祸! VPN在使用的过程中突然断开 我们很多家庭…

2013-07-25 18:12:06 最近要用到windows的telnet功能,本来是很简单的事情,因为管理员权限的问题,花了不少时间,才发现是管理员权限惹的祸,更滑稽的是,自己一直以来都不是管理员,是普通用户,想到之前安装软件时,也有类似的问题,当时也还是花了好大力气的,好多如果载管理员账号下登陆,就能很简单的解决了. 下面是我在开启telnet服务时的艰辛历程,遇到的问题,以及解决方法,记录下来,方便自己以后查找,也方便遇到同样问题的朋友. 我的是win7 32 位旗舰版,可做参考.其他…