ProjectDer
ProjectDer

SSRF漏洞分析与利用

http://www.91ri.org/17111.html



前言:总结了一些常见的姿势,以PHP为例,先上一张脑图,划√的是本文接下来实际操作的

0x01 漏洞产生

以curl为例,漏洞代码为ssrf.php

0x02 利用方式

首先查看curl的版本和该版本支持的协议

可以看到该版本的curl支持很多协议,其中gopher协议、dict协议、file协议、http/s协议用的比较多
ps:上面的漏洞代码ssrf.php没有屏蔽回显,所以利用姿势比较多

gopher:gopher协议支持发出GET、POST请求:可以先截获get请求包和post请求包,再构造成符合gopher协议的请求。gopher协议是ssrf利用中一个最强大的协议。
先监听本地2333端口,然后利用gopher协议访问

可以看到数据发送了。一开始感觉反弹传输数据没多大用,后来看了gopher和dict攻击redis和脆弱的内网应用的exp才明白

dict:因为ssrf.php的漏洞代码有回显,所以浏览器直接访问

即可看到redis的相关配置。

即可看到ssh的banner信息
如果ssrf.php中加上一行屏蔽回显的代码“curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);”,那么这种方式就失效了,和gopher一样,只能利用nc监听端口,反弹传输数据了。

file:因为ssrf.php的漏洞代码有回显,所以浏览器直接访问

即可看到很多不可描述的东西。同理,如果屏蔽回显,该协议就废了

http/s:主要用来探测内网服务。根据响应的状态判断内网端口及服务,可以结合java系列0day和其他各种0day使用

0x03 攻击应用

主要攻击redis、discuz、fastcgi、memcache、内网脆弱应用这几类应用,这里以redis为例,分别利用gopher协议和dict协议getshell
首先要了解redis的getshell的exp写成的bash shell:

执行命令bash shell.sh 127.0.0.1 6379,就在redis里面写了一个键值对的定时任务(利用crontab),可以反弹shell。
gopher利用:这部分三叶草的joychou师傅说的很详细,可以看ssrf in php。
这里为了构造符合gopher协议的访问请求,首先要获取bash脚本对redis发出的访问请求,要用socat进行端口转发,转发命令为:

意思是将访问4444端口的流量转发到6379端口。也就是如果我们的bash脚本请求的是4444端口,仍然访问的是6379的redis,相当于一个中转
执行命令:

socat就获取到了shell.sh对redis发出的请求(这里贴出来部分请求):

改成适配gopher协议的url:

再进行urlencode,得到payload:

最终的攻击poc为:

执行即可在/var/spool/cron/下生成一个名为root的定时任务,任务为反弹shell

dict利用:dict协议有一个功能:dict://serverip:port/name:data 向服务器的端口请求 name data,并在末尾自动补上rn(CRLF)。也就是如果我们发出dict://serverip:port/config:set:dir:/var/spool/cron/的请求,redis就执行了config set dir /var/spool/cron/ rn.用这种方式可以一步步执行redis getshell的exp,执行完就能达到和gopher一样的效果。原理一样,但是gopher只需要一个url请求即可,dict需要步步构造。
利用猪猪侠的wooyun上公开的脚本改成适配本文的脚本ssrf.py:

因为curl默认不支持302跳转,而该脚本要用到302跳转,所以需要在ssrf.php中加上一行“curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1)”来支持跳转。302.php代码为:

shell.php主要用于写入用于反弹shell的crontab的定时任务,代码为:

执行ssrf.py,即可在/var/spool/cron/下写入定时任务,反弹shell,nc等待接收shell

0x04 绕过与防御

绕过:可以使用www.ip.xip.io或者www.ip.xip.io代替ip可以绕过部分过滤
防御:限制协议为HTTP、HTTPS

禁止30x跳转

设置白名单或限制内网ip

0x05 例题

一道ctf题目,有两个文件:ssrf3.php和flag.php
题目意思是flag只能127.0.0.1访问,还进行了post验证,这就需要gopher提交post数据来绕过
curl设置了302跳转,所以可以把302.php放在自己的vps上进行跳转.
首先获取访问flag.php的post请求:

因为只有一台机器,所以我直接将Host改成了127.0.0.1,再改成符合gopher协议的请求,写入302.php。
302.php内容为

流程就是在ssrf3.php提交http://www.myvpsip.xip.io/302.php,然后漏洞机器会访问302.php,然后跳转,利用gopher协议,自己访问自己的flag.php同时提交username=admin的post数据。flag可以在ssrf3.php的页面源代码中看到。
因为都是一台机器在操作,但应该不是紫薇吧.ps:改装成符合gopher协议的get、post类型请求还是要小心的
如有错误,请务必指正。

参考

https://_thorns.gitbooks.io/sec/content/ssrf_tips.html
https://_thorns.gitbooks.io/sec/content/xiao_mi_mou_chu_ssrf_lou_6d1e28_ke_nei_wang_shell_.html
https://blog.chaitin.cn/gopher-attack-surfaces/#h5_%E6%9B%B4%E5%A4%9A%E6%94%BB%E5%87%BB%E9%9D%A2
http://vinc.top/2016/11/24/%E3%80%90ssrf%E3%80%91ssrfgopher%E6%90%9E%E5%AE%9A%E5%86%85%E7%BD%91%E6%9C%AA%E6%8E%88%E6%9D%83redis/
http://blog.feei.cn/ssrf/
http://joychou.org/index.php/web/phpssrf.html

你可能感兴趣的:(速查信息单)

  • CVPR2023 Highlight | ECON:最新单图穿衣人三维重建SOTA算法 3D视觉工坊 3D视觉从入门到精通算法SLAM自动驾驶3D视觉
    作者:宁了个宁|来源:计算机视觉工坊在公众号「3D视觉工坊」后台,回复「原论文」可获取论文pdf。添加微信:dddvisiona,备注:三维重建,拉你入群。文末附行业细分群。图1所示。从彩色图像进行人体数字化。ECON结合了自由形式隐式表示的最佳方面,以及明确的拟人化正则化,以推断高保真度的3D人类,即使是宽松的衣服或具有挑战性的姿势。0.笔者个人体会这篇文章讨论了单图像的穿着人类重建问题。隐式方
  • 一文读懂遥感技术在农险服务全流程的应用与价值 珈和info 遥感
    农业保险作为分散农业风险、提高农业生产积极性、保障农民收入稳定的重要金融政策工具,其效能直接关系到农业生产的稳定与农村经济的繁荣。然而,传统农业保险业务在信息获取、风险评估等方面的局限性日益凸显。转型之际,科技手段应如何精准地介入到农险业务的发展中来?承保、理赔、风险评估等关键业务环节能否实现从重经验到重数据的转变?已实现商业化应用的遥感技术是否能突破局限,在成本、精度、算法等维度更贴合农险业务的
  • 中华人民共和国网络安全笔记 _DT9825 笔记
    《中华人民共和国网络安全法》的考试要点总结一、基础信息1.立法时间-2016年11月7日通过,2017年6月1日起施行。2.立法目的-保障网络安全,维护网络空间主权、国家安全和社会公共利益,保护公民、法人合法权益。3.适用范围-在中国境内建设、运营、维护和使用网络,以及网络安全的监督管理。二、重点章节与核心内容第一章总则1.基本原则-网络安全与信息化发展并重,坚持积极利用、科学发展、依法管理、确保
  • Git 从入门到进阶 (只有干货,没有废话) 2401_84153158 程序员gitelasticsearch大数据
    《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》,点击传送门,即可获取!1.2.2已有的项目gitstash保存当前修改gitpull拉取远程最新代码与本地合并gitstashpop取出当前最新修改gitadd文件列表追踪文件gitcommit-m提交信息向仓库提交代码gitpushorigin分支名称推送至远程仓库具体的分支二、Git进阶操作=============
  • 知识管理成功:关键指标和策略,研究信息的投资回报率 清风徐徐de来 其他
    信息过载会影响生产力。没有人工智能的帮助,信息过载会影响生产力。大量的可用信息,知识工作者不仅仅是超负荷工作;他们感到不知所措,他们倾向于浪费时间(和脑细胞)来应付他们被大量的数据抛向他们,挣扎着试图筛选出重要的信息数据来自一堆不重要和重复的数据。这是一场失败的战斗。计算投资回报率(ROI)是一个公认的商业方法ROI是一种用于确定可行性的方法一项新事业或对既定流程的重大改变。从本质上讲,投资回报率
  • 跟我一起学Python数据处理(六十八):用图表让数据可视化 lilye66 信息可视化python开发语言pandas
    跟我一起学Python数据处理(六十八):用图表让数据可视化大家好!在数据处理的学习道路上,我一直希望能和大家携手共进、共同成长。今天咱们继续深入学习Python数据处理中的重要内容——数据可视化。学会用合适的图表展示数据,不仅能让数据变得直观易懂,还能帮助我们发现数据背后隐藏的信息和规律。话不多说,咱们马上开始今天的学习之旅!一、不同图表的特点与应用场景在数据可视化的世界里,有各种各样的图表,每
  • ib网络状态探测 大隐隐于野 #网络专栏ib运维
    在InfiniBand网络中,HostChannelAdapter(HCA)是关键组件,了解其状态和配置对于网络管理和故障排查至关重要。以下是一些常用的命令,用于查询和管理HCA的状态和配置。常用命令ibstat功能:显示HCA的基本状态信息,包括设备状态、端口状态、链路速度等。用法:ibstat输出:包括HCA的名称、固件版本、端口状态(如PORT_ACTIVE)、最大和活动MTU等。ibsta
  • 安全面试1 白初& 面试题目总结安全面试网络
    目录渗透的流程信息收集如何处理子域名爆破的泛解析问题泛解析判断泛解析的存在处理泛解析的策略如何绕过CDN查找真实ipphpinfo中常见的敏感信息权限维持Windows权限维持Linux权限维持技术跨平台权限维持技术检测和防御输出到href的XSS如何防御samesite防御CSRF的原理SameSite的工作原理CSRF防御json格式的CSRF如何防御浏览器解析顺序和解码顺序解析顺序解码顺序过
  • 设计模式—责任链模式 Luo_xguan 设计模式责任链模式
    目录1.概述2.结构3.案例4.优缺点5.源码解析1.概述在现实生活中,常常会出现这样的事例:一个请求有多个对象可以处理,但每个对象的处理条件或权限不同。例如,公司员工请假,可批假的领导有部门负责人、副总经理、总经理等,但每个领导能批准的天数不同,员工必须根据自己要请假的天数去找不同的领导签名,也就是说员工必须记住每个领导的姓名、电话和地址等信息,这增加了难度。这样的例子还有很多,如找领导出差报销
  • 2025 民营企业座谈会重要讲话:为民营经济发展注入强劲动力 莱歌数字 #数智科学研究#职场经验职场经验产品经理智能制造经验分享人工智能
    作者简介:科技自媒体优质创作者个人主页:莱歌数字-CSDN博客公众号:莱歌数字个人微信:yanshanYH211、985硕士,职场15年+从事结构设计、热设计、售前、产品设计、项目管理等工作,涉足消费电子、新能源、医疗设备、制药信息化、核工业等领域涵盖新能源车载与非车载系统、医疗设备软硬件、智能工厂等业务,带领团队进行多个0-1的产品开发,并推广到多个企业客户现场落地实施。专题课程Flotherm
  • 华为云obs sdk 开发,在windows下使用ObsClient obs=new ObsClient(AK,SK,ENDPOINT);表现正常,同样的代码编译后放在linux中运行,报错 阳光正好2024 vue相关开发若依框架使用华为云
    obssdk开发,在windows下使用ObsClientobs=newObsClient(AK,SK,ENDPOINT);表现正常,同样的代码编译后放在linux中运行,报错,内存溢出,有什么东西循环了。报错信息:转移文件耗时:114:23:22.836[http-nio-19999-exec-28]ERRORc.r.f.w.e.GlobalExceptionHandler-[handleExc
  • 什么是插值?(通俗解释) MO__YE 计算机视觉人工智能
    什么是插值?(通俗解释)想象一下,你有一本100页的书,现在你想把它缩小到50页或放大到200页,但是你不想丢失重要的信息。你会怎么做?缩小(Downsampling):你可以挑选关键的内容,把不重要的部分去掉。放大(Upsampling):你可以在两页之间补充一些额外的内容,使它们读起来更连贯。在图像处理中,插值(Interpolation)就是如何在缩放图片时,生成新的像素点,让图片看起来更自
  • 华为云OBS配置方法 芊言凝语 数据库网络服务器
    华为云对象存储服务(ObjectStorageService,OBS)是一种海量、安全、低成本、高可靠的云存储服务。以下是华为云OBS配置的详细步骤及相关说明:创建OBS桶登录华为云控制台后,在搜索框中输入“对象存储服务”,选择对应的服务进入OBS管理页面。点击“创建桶”按钮,进入创建桶的配置页面。基本信息桶名称:输入一个全局唯一的桶名称,例如可以采用项目名称或业务名称相关的命名方式,方便识别和管
  • 启动pip或ipython提示Fatal error in launcher: Unable to create process的解决方法 simple_whu pythonpipipythonpython
    错误以及原因分析有时,运行python的pip或ipython组件会报错:Fatalerrorinlauncher:Unabletocreateprocessusing'"C:\third_party\Python\3.9\win64-msvc-14.2\python.exe"错误信息最后这一串路径在我们的电脑上很可能并不存在!然而,启动pip或ipython时又会尝试运行这个路径的python.
  • 6种最新算法(小龙虾优化算法COA、螳螂搜索算法MSA、红尾鹰算法RTH、新雀优化算法NOA、鳑鲏鱼优化算法BFO、蜘蛛蜂优化算法SWO)求解机器人路径规划(提供MATLAB代码) IT猿手 机器人路径规划优化算法无人机路径规划算法机器人matlab宽度优先开发语言人工智能前端
    一、机器人路径规划介绍移动机器人(Mobilerobot,MR)的路径规划是移动机器人研究的重要分支之,是对其进行控制的基础。根据环境信息的已知程度不同,路径规划分为基于环境信息已知的全局路径规划和基于环境信息未知或局部已知的局部路径规划。随着科技的快速发展以及机器人的大量应用,人们对机器人的要求也越来越高,尤其表现在对机器人的智能化方面的要求,而机器人自主路径规划是实现机器人智能化的重要步骤,路
  • Cesium高级开发教程之四十:分层分户单体化 CesiumMaster Cesium开发教程前端javascriptCesiumhtml
    一、效果图1、单体化定义:将三维场景中的对象从整体中分离出来,使其能够单独进行操作、查询、显示等,比如将一个小区中的每栋楼、每一层、每个房间都作为独立的个体进行处理。实现方式通过数据内部属性单体化:利用3DTiles数据本身包含的属性信息,对数据进行分类和筛选,来实现单体化效果。例如在Cesium官网案例中,可通过对3DTiles的某个属性进行分段达到分类目的。矢量面叠加单体化:先添加3DTile
  • pip升级ValueError: Unable to find resource t64.exe in package pip._vendor.distlib报错解决办法 AI小鸭学院 livingbodypaddle安装与错误解析
    pip升级报错解决办法pip升级频率很高,不升级经常会遇到这样哪样的异常。有一种异常,我相信你一定遇到,话不多说,上错误信息。1.错误现象(paddle2)D:\github\PGL>python.exe-mpipinstall--upgradepipLookinginindexes:https://pypi.tuna.tsinghua.edu.cn/simpleCollectingpipUsin
  • selenium实现chrome多开 0x8g1T9E pythonchrome前端python
    selenium实现chrome多开有时候为了避开登录验证所带来的麻烦,先登录后用selenium预加载之前的用户配置及cookie信息会极大便利自动化目标的实现,但受限于selenium及chrome的用户配置文件加锁机制,每次只能有一个进程操作大大限制了自动化目标的实施。所幸可以通过chrome的多用户可以完成selenium多任务同时加载cookie信息1、添加多个chrome用户2、分别用
  • 程序员常用Linux命令 小柒v Linuxlinux
    收录实际开发中常用的命令ifconfig查看系统的网卡相关信息suxxxx切换当前系统的账户(root账户可以直接切换到其他账户,其他账户切换到root账户需要密码)pwd打印当前的所处路径cd相对路径/绝对路径进入指定的文件夹(目录)~表示Home路径…表示上一级目录.表示当前目录ls&ll打印当前目录下的所有文件和子目录clear清空命令行2.文件夹的相关操作mkdirxxx创建文件夹(目录)
  • 网络工程师 (43)IP数据报 IT 青年 软考网络工程师软考网络工程师
    前言IP数据报是互联网传输控制协议(InternetProtocol,IP)的数据报格式,由首部和数据两部分组成。一、首部IP数据报的首部是控制部分,包含了数据报传输和处理所需的各种信息。首部可以分为固定部分和可变部分。固定部分:版本:占4位,指IP协议的版本。目前广泛使用的协议版本号为4(即IPv4)。通信双方的协议版本必须一致。首部长度:占4位,表示数据报首部的长度。因首部长度可表示的最大数值
  • a2,3-唾液酸转移酶|a2,3- sialyltransferase (PmST1) 陕西星贝爱科 网络网络协议udp
    a2,3-唾液酸转移酶是一种重要的酶类,以下是对其的详细介绍:一、基本信息a2,3-唾液酸转移酶,通常被称为PmST1,是一种催化唾液酸在α2,3-键从其激活形式(如胞苷单磷酸N-乙酰神经氨酸,CMP-Neu5Ac)转移到糖蛋白或糖脂的末端半乳糖残基的酶。这种酶在生物体内广泛存在,包括细菌在内的某些生物体中都有其身影,并在唾液化糖缀合物的生物合成中发挥关键作用。二、生理功能a2,3-唾液酸转移酶的
  • html5+ push-消息推送 代码简单说 html5+h5+muijs推送打包app
    push-消息推送Push模块管理推送消息功能,可以实现在线、离线的消息推送,通过plus.push可获取推送消息管理对象。方法:addEventListener:添加推送消息事件监听器clear:清空所有推送消息createMessage:创建本地消息getAllMessage:获取所有推送消息getClientInfo:获取客户端推送标识信息setAutoNotification:设置程序是否
  • 云原生后端 周盛欢 后端
    一、什么是云原生后端?先来说说“云原生”这个词。想象一下,你有个小摊位,每次进货、出货都要自己搬来搬去,特别麻烦。但如果把摊位搬到一个现代化的商场里,商场帮你搞定水电、物流、安保,你只需要专心卖货就行。云原生就是这样的“现代化商场”,它把服务器、存储、网络这些复杂的基础设施都打包好,让你的程序(也就是你的“货物”)能轻松运行。“后端”呢,就是我们看不见的程序部分,比如处理用户数据、保存信息、做复杂
  • springboot学生宿舍信息的系统(11574) codercode2022 springboot后端java开发语言springgulp前端框架
    有需要的同学,源代码和配套文档领取,加文章最下方的名片哦一、项目演示项目演示视频二、资料介绍完整源代码(前后端源代码+SQL脚本)配套文档(LW+PPT+开题报告)远程调试控屏包运行三、技术介绍Java语言SSM框架SpringBoot框架Vue框架JSP页面Mysql数据库IDEA/Eclipse开发四、项目截图有需要的同学,源代码和配套文档领取,加文章最下方的名片哦!
  • 基于AI的养老服务信息平台毕业设计:技术实现与论文分析(含程序,论文) 码农Q103237121Q 人工智能课程设计
    图1摘要:随着人口老龄化的不断加剧,养老服务需求日益增长,传统的养老服务模式已难以满足当前社会的需求。为此,本文设计并实现了一个基于AI的养老服务信息平台,旨在为老年人提供更加智能化、个性化的养老服务。本文首先深入分析了老年人的生活需求,明确了系统的功能需求,包括健康监测、紧急救援、生活辅助、社交娱乐及养老院挑选与入住服务等多个方面。在系统设计方面,采用模块化设计思想,将系统划分为多个功能模块,并
  • ffmpeg源码分析:avformat_open_input() 风雨兼程8023 ffmpegffmpeg
    目录一、avformat_alloc_context()二、init_input()2.1av_probe_input_format2()2.2av_probe_input_buffer2()2.3io_open三、read_header()本文简单分析FFmpeg中一个常用的函数:avformat_open_input()。该函数用于打开多媒体数据并且获得一些相关的信息。它的声明位于libavf
  • FFMpeg 源码分析 (3)avformat_open_input() 雷霆小屁熊 FFmpegffmpeg
    这个函数主要用来打开媒体资源。完成媒体格式的探测和获取相关的媒体信息的工作。函数完成定义如下:intavformat_open_input(AVFormatContext**ps,constchar*filename,AVInputFormat*fmt,AVDictionary**options){AVFormatContext*s=*ps;inti,ret=0;AVDictionary*tmp=
  • 如何查看自己电脑是什么架构 F—— 运维学习运维安全
    1.win+R打开运行,输入msinfo32,回车。2.弹出系统信息面板,“系统类型”显示架构类型;如果显示“基于x64的电脑”,则你的操作系统是64位的,通常对应的是AMD架构;如果显示“基于ARM的电脑”,则你的操作系统是ARM架构的。
  • 银河麒麟V10安装docker和docker-compose lj907722644 DockerLinuxdocker容器运维
    1.说明系统镜像使用的是Kylin-Server-V10-SP3-2403-Release-20240426-x86_64.iso如果是在VMware中安装这个系统,需选择Ubuntu,如果选Centos会有问题。尝试使用在线方式安装docker,报了很多错误,比较麻烦,建议使用离线方式安装。下面是离线包下载路径,根据服务器架构信息下载对应的安装包。本文将介绍离线安装的方式。docker安装包下载
  • ssm毕业设计基于SSM框架的中医养生系统设计与实现[文档+开题+PPT IT实战课堂 课程设计
    选题推荐——以防找不到我们,点击上方订阅专栏✌✌\Java毕设实战项目Python毕设项目源代码asp.net毕业设计项目Uniapp安卓毕业设计项目node.js毕业设计项目python毕业设计微信小程序毕业设计项目php毕业设计文末获取源码联系一、项目介绍1.1研究背景现在大家正处于互联网加的时代,这个时代它就是一个信息内容无比丰富,信息处理与管理变得越加高效的网络化的时代,这个时代让大家的生
  • java短路运算符和逻辑运算符的区别 3213213333332132 java基础
    /* * 逻辑运算符——不论是什么条件都要执行左右两边代码 * 短路运算符——我认为在底层就是利用物理电路的“并联”和“串联”实现的 * 原理很简单,并联电路代表短路或(||),串联电路代表短路与(&&)。 * * 并联电路两个开关只要有一个开关闭合,电路就会通。 * 类似于短路或(||),只要有其中一个为true(开关闭合)是
  • Java异常那些不得不说的事 白糖_ javaexception
    一、在finally块中做数据回收操作 比如数据库连接都是很宝贵的,所以最好在finally中关闭连接。 JDBCAgent jdbc = new JDBCAgent(); try{ jdbc.excute("select * from ctp_log"); }catch(SQLException e){ ... }finally{ jdbc.close();
  • utf-8与utf-8(无BOM)的区别 dcj3sjt126com PHP
    BOM——Byte Order Mark,就是字节序标记   在UCS 编码中有一个叫做"ZERO WIDTH NO-BREAK SPACE"的字符,它的编码是FEFF。而FFFE在UCS中是不存在的字符,所以不应该出现在实际传输中。UCS规范建议我们在传输字节流前,先传输 字符"ZERO WIDTH NO-BREAK SPACE"。这样如
  • JAVA Annotation之定义篇 周凡杨 java注解annotation入门注释
        Annotation: 译为注释或注解 An annotation, in the Java computer programming language, is a form of syntactic metadata that can be added to Java source code. Classes, methods, variables, pa
  • tomcat的多域名、虚拟主机配置 g21121 tomcat
    众所周知apache可以配置多域名和虚拟主机,而且配置起来比较简单,但是项目用到的是tomcat,配来配去总是不成功。查了些资料才总算可以,下面就跟大家分享下经验。 很多朋友搜索的内容基本是告诉我们这么配置: 在Engine标签下增面积Host标签,如下: <Host name="www.site1.com" appBase="webapps"
  • Linux SSH 错误解析(Capistrano 的cap 访问错误 Permission ) 510888780 linuxcapistrano
    1.ssh -v [email protected] 出现 Permission denied (publickey,gssapi-keyex,gssapi-with-mic,password). 错误 运行状况如下: OpenSSH_5.3p1, OpenSSL 1.0.1e-fips 11 Feb 2013 debug1: Reading configuratio
  • log4j的用法 Harry642 javalog4j
    一、前言:     log4j 是一个开放源码项目,是广泛使用的以Java编写的日志记录包。由于log4j出色的表现,     当时在log4j完成时,log4j开发组织曾建议sun在jdk1.4中用log4j取代jdk1.4 的日志工具类,但当时jdk1.4已接近完成,所以sun拒绝使用log4j,当在java开发中
  • mysql、sqlserver、oracle分页,java分页统一接口实现 aijuans oraclejave
    定义:pageStart 起始页,pageEnd 终止页,pageSize页面容量 oracle分页:     select * from ( select mytable.*,rownum num from (实际传的SQL) where rownum<=pageEnd) where num>=pageStart sqlServer分页:  
  • Hessian 简单例子 antlove javaWebservicehessian
    hello.hessian.MyCar.java package hessian.pojo; import java.io.Serializable; public class MyCar implements Serializable { private static final long serialVersionUID = 473690540190845543
  • 数据库对象的同义词和序列 百合不是茶 sql序列同义词ORACLE权限
    回顾简单的数据库权限等命令; 解锁用户和锁定用户 alter user scott account lock/unlock; //system下查看系统中的用户 select * dba_users; //创建用户名和密码 create user wj identified by wj; identified by //授予连接权和建表权 grant connect to
  • 使用Powermock和mockito测试静态方法 bijian1013 持续集成单元测试mockitoPowermock
            实例: package com.bijian.study; import static org.junit.Assert.assertEquals; import java.io.IOException; import org.junit.Before; import org.junit.Test; import or
  • 精通Oracle10编程SQL(6)访问ORACLE bijian1013 oracle数据库plsql
    /* *访问ORACLE */ --检索单行数据 --使用标量变量接收数据 DECLARE v_ename emp.ename%TYPE; v_sal emp.sal%TYPE; BEGIN select ename,sal into v_ename,v_sal from emp where empno=&no; dbms_output.pu
  • 【Nginx四】Nginx作为HTTP负载均衡服务器 bit1129 nginx
     Nginx的另一个常用的功能是作为负载均衡服务器。一个典型的web应用系统,通过负载均衡服务器,可以使得应用有多台后端服务器来响应客户端的请求。一个应用配置多台后端服务器,可以带来很多好处:   负载均衡的好处 增加可用资源 增加吞吐量 加快响应速度,降低延时 出错的重试验机制 Nginx主要支持三种均衡算法: round-robin l
  • jquery-validation备忘 白糖_ jquerycssF#Firebug
    留点学习jquery validation总结的代码:   function checkForm(){ validator = $("#commentForm").validate({// #formId为需要进行验证的表单ID errorElement :"span",// 使用"div"标签标记错误, 默认:&
  • solr限制admin界面访问(端口限制和http授权限制) ronin47 限定Ip访问
    solr的管理界面可以帮助我们做很多事情,但是把solr程序放到公网之后就要限制对admin的访问了。 可以通过tomcat的http基本授权来做限制,也可以通过iptables防火墙来限制。 我们先看如何通过tomcat配置http授权限制。 第一步: 在tomcat的conf/tomcat-users.xml文件中添加管理用户,比如: <userusername="ad
  • 多线程-用JAVA写一个多线程程序,写四个线程,其中二个对一个变量加1,另外二个对一个变量减1 bylijinnan java多线程
    public class IncDecThread { private int j=10; /* * 题目:用JAVA写一个多线程程序,写四个线程,其中二个对一个变量加1,另外二个对一个变量减1 * 两个问题: * 1、线程同步--synchronized * 2、线程之间如何共享同一个j变量--内部类 */ public static
  • 买房历程 cfyme
        2015-06-21: 万科未来城,看房子   2015-06-26: 办理贷款手续,贷款73万,贷款利率5.65=5.3675   2015-06-27: 房子首付,签完合同   2015-06-28,央行宣布降息 0.25,就2天的时间差啊,没赶上。   首付,老婆找他的小姐妹接了5万,另外几个朋友借了1-
  • [军事与科技]制造大型太空战舰的前奏 comsci 制造
           天气热了........空调和电扇要准备好..........        最近,世界形势日趋复杂化,战争的阴影开始覆盖全世界..........        所以,我们不得不关
  • dateformat dai_lm DateFormat
    "Symbol Meaning Presentation Ex." "------ ------- ------------ ----" "G era designator (Text) AD" "y year
  • Hadoop如何实现关联计算 datamachine mapreducehadoop关联计算
        选择Hadoop,低成本和高扩展性是主要原因,但但它的开发效率实在无法让人满意。     以关联计算为例。     假设:HDFS上有2个文件,分别是客户信息和订单信息,customerID是它们之间的关联字段。如何进行关联计算,以便将客户名称添加到订单列表中?   &nbs
  • 用户模型中修改用户信息时,密码是如何处理的 dcj3sjt126com yii
    当我添加或修改用户记录的时候对于处理确认密码我遇到了一些麻烦,所有我想分享一下我是怎么处理的。 场景是使用的基本的那些(系统自带),你需要有一个数据表(user)并且表中有一个密码字段(password),它使用 sha1、md5或其他加密方式加密用户密码。 面是它的工作流程: 当创建用户的时候密码需要加密并且保存,但当修改用户记录时如果使用同样的场景我们最终就会把用户加密过的密码再次加密,这
  • 中文 iOS/Mac 开发博客列表 dcj3sjt126com Blog
      本博客列表会不断更新维护,如果有推荐的博客,请到此处提交博客信息。 本博客列表涉及的文章内容支持 定制化Google搜索,特别感谢 JeOam 提供并帮助更新。 本博客列表也提供同步更新的OPML文件(下载OPML文件),可供导入到例如feedly等第三方定阅工具中,特别感谢 lcepy 提供自动转换脚本。这里有导入教程。
  • js去除空格,去除左右两端的空格 蕃薯耀 去除左右两端的空格js去掉所有空格js去除空格
    js去除空格,去除左右两端的空格 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>&g
  • SpringMVC4零配置--web.xml hanqunfeng springmvc4
    servlet3.0+规范后,允许servlet,filter,listener不必声明在web.xml中,而是以硬编码的方式存在,实现容器的零配置。 ServletContainerInitializer:启动容器时负责加载相关配置 package javax.servlet; import java.util.Set; public interface ServletContainer
  • 《开源框架那些事儿21》:巧借力与借巧力 j2eetop 框架UI
    同样做前端UI,为什么有人花了一点力气,就可以做好?而有的人费尽全力,仍然错误百出?我们可以先看看几个故事。 故事1:巧借力,乌鸦也可以吃核桃 有一个盛产核桃的村子,每年秋末冬初,成群的乌鸦总会来到这里,到果园里捡拾那些被果农们遗落的核桃。 核桃仁虽然美味,但是外壳那么坚硬,乌鸦怎么才能吃到呢?原来乌鸦先把核桃叼起,然后飞到高高的树枝上,再将核桃摔下去,核桃落到坚硬的地面上,被撞破了,于是,
  • JQuery EasyUI 验证扩展 可怜的猫 jqueryeasyui验证
      最近项目中用到了前端框架-- EasyUI,在做校验的时候会涉及到很多需要自定义的内容,现把常用的验证方式总结出来,留待后用。   以下内容只需要在公用js中添加即可。   使用类似于如下: <input class="easyui-textbox" name="mobile" id="mobile&
  • 架构师之httpurlconnection----------读取和发送(流读取效率通用类) nannan408
    1.前言.    如题. 2.代码. /* * Copyright (c) 2015, S.F. Express Inc. All rights reserved. */ package com.test.test.test.send; import java.io.IOException; import java.io.InputStream
  • Jquery性能优化 r361251 JavaScriptjquery
    一、注意定义jQuery变量的时候添加var关键字 这个不仅仅是jQuery,所有javascript开发过程中,都需要注意,请一定不要定义成如下: $loading = $('#loading'); //这个是全局定义,不知道哪里位置倒霉引用了相同的变量名,就会郁闷至死的 二、请使用一个var来定义变量 如果你使用多个变量的话,请如下方式定义: . 代码如下: var page
  • 在eclipse项目中使用maven管理依赖 tjj006 eclipsemaven
    概览: 如何导入maven项目至eclipse中 建立自有Maven  Java类库服务器 建立符合maven代码库标准的自定义类库 Maven在管理Java类库方面有巨大的优势,像白衣所说就是非常“环保”。 我们平时用IDE开发都是把所需要的类库一股脑的全丢到项目目录下,然后全部添加到ide的构建路径中,如果用了SVN/CVS,这样会很容易就 把
  • 中国天气网省市级联页面 x125858805 级联
    1、页面及级联js <%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%> <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN"> &l
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他