10 2014 档案
Discuz! 7.1 & 7.2 远程代码执行漏洞
摘要:受影响产品:Discuz! 7.1 & 7.2漏洞描述:产生漏洞的$scriptlang数组在安装插件后已经初始化Discuz!新版本7.1与7.2版本中的showmessage函数中eval中执行的参数未初始化,可以任意提交,从而可以执行任意PHP命令。下面来分析下这个远程代码执行漏洞,这个问题真...
阅读全文
Discuz! 6.x/7.x 全局变量防御绕过漏洞
摘要:受影响产品:Discuz! 6.x/7.x 漏洞描述:由于php5.3.x版本里php.ini的设置里request_order默认值为GP,导致Discuz! 6.x/7.x 全局变量防御绕过漏洞include/global.func.php代码里:function daddslashes($st...
阅读全文
JAVA之异常
摘要:/*** JAVA之异常处理*/package com.test;import java.io.FileNotFoundException;import java.io.FileReader;import java.net.Socket;import java.net.UnknownHostExce...
阅读全文
JAVA之泛型
摘要:/*** 泛型讲解*/package com.test;import java.lang.reflect.Method;import java.util.ArrayList;public class test9 { /** * @param args */ public static void ...
阅读全文
JAVA之HashMap集合
摘要:/*** HashMap集合讲解* HashMap集合不允许集合元素的Key重复*/package com.test;import java.util.*;public class test8 { /** * @param args */ public static void main(Stri...
阅读全文
JAVA之ArrayList集合
摘要:/*** ArrayList集合讲解* 集合的添加、遍历、删除*/package com.test;import java.util.*;public class test7 { /** * @param args */ public static void main(String[] args...
阅读全文
JAVA之数组
摘要:/*** 功能:数组的定义*/package com.test;import java.io.BufferedReader;import java.io.InputStreamReader;public class test6 { /** * @param args */ public stat...
阅读全文
JAVA之接口与抽象类区别
摘要:1.概述一个软件设计的好坏,我想很大程度上取决于它的整体架构,而这个整体架构其实就是你对整个宏观商业业务的抽象框架,当代表业务逻辑的高层抽象层结构 合理时,你底层的具体实现需要考虑的就仅仅是一些算法和一些具体的业务实现了。当你需要再开发另一个相近的项目时,你以前的抽象层说不定还可以再次利用 。面对对...
阅读全文
JAVA之接口与实现
摘要:/*** * 功能:接口与实现* 接口也体现了多态性*/package com.test;public class test5 { /** * @param args */ public static void main(String[] args) { // TODO Auto-genera...
阅读全文
JAVA之抽象类与抽象方法
摘要:抽象方法:在类中没有方法体的方法,就是抽象方法。抽象类:含有抽象方法的类就叫抽象类。|||||||||抽象类不能被实例化(new)为什么要使用抽象方法?(以下是个人观点)因为在面向对象的编程的思想中,任何事物都可以看做是一个类。例如:每个动物都需要休息,都要睡觉(sleep),而不同的动物有不同的睡...
阅读全文
JAVA之多态性
摘要:package com.test;//多态性public class test4 { /** * @param args */ public static void main(String[] args) { // TODO Auto-generated method stub Anima...
阅读全文
JAVA之方法的重写
摘要:package com.test;//方法重写(overwrite)public class test3 { /** * @param args */ public static void main(String[] args) { // TODO Auto-generated method ...
阅读全文
JAVA之方法的重载
摘要:package com.test;//方法重载(overload)定义://1.方法名称相同//2.方法的参数类型、个数、顺序至少有一项不同//3.方法的返回类型可以不同//4.方法的修饰符可以不同//overload的概念:就是类的同一种功能的多种实现,具体采用哪种方式,取决于调用者给出的参数pu...
阅读全文
JAVA之继承的必要性
摘要://说明继承的必要性package com.test;public class test { /** * @param args */ public static void main(String[] args) { // TODO Auto-generated method stub ...
阅读全文
JAVA中几种常见集合的使用实例
摘要:Java.util.ArrayList(类):*;importjava.util.*;publicclassCollectionTest{//List是一个能包含重复元素的已排序的Collection,有时list也称为序列,List第一个元素的下标为0publicStringcolors[]={"...
阅读全文
Java防止SQL注入的几个途径
摘要:java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用 PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为 PreparedStatement不允许在不同的...
阅读全文
Java防止SQL注入
摘要:SQL 注入简介: SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入: 比如在一个登陆界面,要求用户输入用户名和密码: 用户名: ' or 1=1 -- 密 码: 点登陆,如若没...
阅读全文
WEB-INF目录与META-INF目录的作用
摘要:/WEB-INF/web.xmlWeb应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。/WEB-INF/classes/包含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中。/WEB-INF/...
阅读全文
WEB-INF有关的目录路径问题总结
摘要:1、资源文件只能放在WebContent下面,如 CSS,JS,image等.放在WEB-INF下引用不了.2、页面放在WEB-INF目录下面,这样可以限制访问,提高安全性.如JSP,html3、只能用转向方式来访问WEB-INF目录下的JSP,不能采用重定向的方式请求该目录里面的任何资源.如图:i...
阅读全文
Eclipse下的java工程目录
摘要:对新手来讲,一个Java工程内部的多个文件夹经常会让大家困惑。更可恶的是莫名其妙的路径问题,在Eclipse编写Java程序中,出现频率最高的错误很可能就是路径问题。这些问题原因其实都是一个,就是关于Java工程内的文件结构理解不清,虽然我也不是老手,但有一些经验,拿来和大家分享: eclipse的...
阅读全文
Delphi之过程与函数
摘要:过程以保留字procedure开始,没有返回值;函数以保留字function开始,有返回值。参数位于括号里面,多个参数之间以分号分隔,例如:procedure SetDate(Year: Integer; Month: Integer; Day: Integer);也可以将相同类型的参数组合在一起,...
阅读全文
BAT文件使程序具有以系统权限运行的效果
摘要:@echo off if "%1" == "h" goto begin mshta vbscript:createobject("wscript.shell").run("%~nx0 h",0)(window.close)&&exit :begin//前面的代码是后面的代码后台运行的关键@echo ...
阅读全文
谷歌“信息安全公主”:我是一名好黑客
摘要:据国外媒体报道,信息安全界流传着这样一个段子。如果你想成为某大公司的首席信息安全工程师,那么你有两条路可走:第一条就是从名校毕业,然后从最基础的级别干起,每五年升一个职称,也许20年后你会成为这家公司的首席信息安全工程师;另外一条路就是直接黑了那家公司的系统,然后告诉他们的CEO这是你干的。而今天介...
阅读全文
C#拦截系统消息
摘要:看到个软件蛮好玩的,叫做ULOGON,它可以让你只有插入了正确的U盘系统才能工作。其实我们也可以简单的用C#来实现这个功能,本文首先来讨论如何拦截系统的U盘插入消息。以前写EFFECTIVEKEY软件的时候就要拦截系统键盘按键消息,但是那时是直接网上拉过来用了,没有仔细研究。今天期末考完了就好好...
阅读全文
C#拦截系统消息的方法-Application.AddMessageFilter
摘要:C#拦截系统消息的方法Application.AddMessageFilter Application.AddMessageFilter这个方法可以接收系统发出的消息: 首先定义一个类,继承IMessageFilter接口代码如下:internal class MyMessager : IMessa...
阅读全文
C#实现在Form上截取消息的两种方法
摘要:比较常用的是重载Form的DefWndProc方法,例如截取鼠标按下的消息:protected override void DefWndProc(ref Message m) { if ( m.Msg == 0x0201 ) { MessageBox.Show...
阅读全文
Geek改变世界
摘要:在10月24号的GeekPwn到来前,主办方 — 来自Keen Team的创始人大牛蛙希望我能为GeekPwn写点东西。作为GeekPwn的顾问,我也非常乐意为这次首秀做一点事情。正如之前提到过的,大牛蛙第一次找我聊GeekPwn的想法时,我就被他打动了。之前大牛蛙创办的Keen Team参加过两次...
阅读全文
中国黑客传说:游走在黑暗中的精灵
摘要:声明:本文内容禁止讲给16岁以下的小朋友听,以免吓坏小朋友。出于保护当事人的原因,禁止任何人在任何时候以任何理由向我打听其人其事,我不会做出任何回复。我不对本文的真实性负责。本文禁止任何媒体转载,但允许个人转载至微博或个人博客!本文中所有的人物都将匿名,请不要去猜测他是谁,也请不要试图寻找他,这只会...
阅读全文
撞库攻击:一场需要用户参与的持久战
摘要:一,背景:用户数据泄露一直是如今互联网世界的一个焦点,从最近的京东撞库抹黑事件,到之前的CSDN,如家用户数据的泄露,服务商和黑客之间在用户数据这个舞台上一直在进行着旷日持久的攻防战。对于大多数用户而言,撞库可能是一个很专业的名词,但是理解起来却比较简单,撞库是黑客无聊的“恶作剧”,黑客通过收集互联...
阅读全文
HackPorts – Mac OS X 渗透测试框架与工具
摘要:HackPorts是一个OS X 下的一个渗透框架。HackPorts是一个“超级工程”,充分利用现有的代码移植工作,安全专业人员现在可以使用数以百计的渗透工具在Mac系统中,而不需要虚拟机。工具列表:0trace3proxyAir – Automated Image InstallerAndroi...
阅读全文
