翟海飞
翟海飞

Padding Oracle攻击(POODLE)技术分析

SSLv3降级加密协议Padding Oracle攻击(POODLE)技术分析 漏洞概述:

  SSL 3.0的历史非常久远,已经有将近15年了,现今几乎所有的浏览器都支持该协议。今天该协议爆出了一个漏洞,该漏洞由谷歌公司率先发现,下面是此漏洞的大致描述。 
  攻击者可利用该漏洞获取安全连接当中某些是SSLv3加密后的明文内容。因为兼容性问题,当浏览器进行HTTPS连接失败的时候,将会尝试使用旧的协议版本,这其中就包括SSL 3.0,于是加密协议由更加安全的协议(比如:TLS 1.0)降级成SSL 3.0。 
  攻击者在此漏洞利用中扮演一种中间人的角色,比如A,C进行通信,B(攻击者)在中间作为一个代理,B截获A,C之间的通信后经过SSLv3加密后的数据包,利用SSLv3中存在的漏洞,解密得到其数据包的明文信息,而这些明文信息极有可能是用户的隐私数据,比如Cookie,这样攻击者就可以拿到这些隐私数据,进行更深层次的攻击。 
  由此可见此,黑客们可以利用此漏洞。截获用户的隐私数据,进而造成了用户隐私的泄漏,危害较大,应当引起我们的高度重视,而现今唯一解决该问题的方式就是禁用SSLv3加密协议。

漏洞细节:

以下是一个会受到Padding Oracle影响的信道: 
1、A和C沟通,其中含有敏感数据使用SSLv3加密; 
2、有一个中间人B代理A和C的通信,其中A和B采用明文传输例如http协议(但A不会发送任何敏感数据到B); 
3、B可以让A对C发出多次请求(比如通过脚本化)并且可以通过控制脚本来控制A发出的请求包的长度和敏感信息的位置(请见技术分析中阐述的一个web请求实例); 
4、B可以截获并修改A发送到C的SSL记录(如果B本身既是代理也是A的出口网关)。目标是通过Padding Oracle攻击拿到SSLv3所加密的敏感信息的明文,下面给出一个不安全的web请求场景并对其做技术分析。

(1).场景描述:

  假定A要访问C并且通过B,而B是一个基于JavaScript的代理请求引擎,B可以指定JavaScript的内容但B绝对不会收集任何敏感信息。但B的脚本可以让A使用SSL3.0发送多个HTTPS请求到C并且B可以截获并修改由A发送到C的SSL记录。在SSLv3工作在CBC(cipher­block chaining密文块串联)加密模式的情况下会受到Padding Oracle攻击方式的影响而还原加密包中的明文例如web cookie。

(2).技术分析:



  为了保证数据流按加密块粒度对齐,CBC模式下的SSLv3采用末尾填充机制,填充数据长度为1到L中的任意一个值,L为块粒度,以字节为单位,一般是8或者16。在填充数据长度为L时攻击最易于实现,其中填充数据为含有L-1个字节的任意数据加上最后一个字节其值一定为L-1。处理这样一个由n+1个密文块组成的加密请求C0C1 ... Cn(其中C0是起始块)的过程是首先依据解密算法Pi = Dk(Ci) ⊕ Ci-1(Dk是使用连接key解密的函数)算出P1 ... Pn然后检测Pn末尾字节是否为L-1,然后去除该填充验证并移除MAC(Message Authentication Code信息授权码)后接受数据。 
  问题出现在SSLv3协议只验证填充块Pn最后一个字节的值是否为填充块长度减1。在填充块大小为L时Pn[L-1]的值如果为L-1则授权通过。这为攻击者提供了一个窥探C1 ... Cn中Ci的一个明文字节即Ci[L-1]的方法那就是强行将Cn块替换为Ci然后发给目标服务器,有1/256的可能性会通过服务器的验证。只要通过服务器验证,则可以通过以下公式反推明文块中Pi[L-1]的值: 
  Pi[L-1] = (L-1) ⊕ Cn-1[L-1] ⊕ Ci-1 
  可以看到L和C0C1 ... Cn都为已知值。如此一来黑客通过发送大量请求(平均256*n个包)并且改变数据包数据的相对位置可以通过密文块逐字节推断出数据包中长度为n的明文,以上提到的基于JavaScript的网关可以实现上述攻击。

(3).构造一个SSLv3的web中间人攻击:



  如果B服务器上的JavaScript可以让A发送大量带cookie的请求,例如让A去访问一个社交网站而A本身保存有那个社交网站的cookie(根据cookie机制每次请求肯定会使用同样的cookie)。通过构造大量SSLv3请求再结合截包替换SSL数据可以做到逐字节还原cookie字段,而在这种情况下cookie作为敏感信息,地位和用户名+密码是相同的。 
下面假设填充粒度为8字节,某社交网站的cookie为abcdefgh。 
  首先JavaScript可以让用户A生成一个图中第一行所示的明文web请求包...B服务器拿到使用CBC模式下的SSLv3数据然后将最末尾块替换为左起第四个块的密文然后反复发送这个包直到解密后的Cn[7]碰巧为7(因为每次连接key都不同),收到连接成功信息。使用之前介绍的反推公式(L为8代入)可以反推出cookie字段第8字节为’h’。 
  然后通过填充请求路径字段让A生成一个图中第二行所示的“右移1字节”的请求包...同样方法可以推算出cookie字段第7字节’g’。 
  依此类推直到获取整个cookie值”abcdefg”。此时黑客通过中间人攻击已经获得用户cookie,用户隐私暴露无遗。

解决方案:

  目前解决该问题可以禁用SSL3.0,或者SSL3.0中使用的CBC模式加密,但是有可能造成兼容性问题。建议支持TLS_FALLBACK_SCSV,这可以解决重试连接失败的问题,从而防止攻击者强制浏览器使用SSL3.0。 它还可以防止降级到TLS1.2至1.1或1.0,可能有助于防止未来的攻击。

(1).Apache

(2).Nginx

(3).普通用户 1.Firefox用户:

2.Chrome用户:

●编辑/usr/share/applications/google-chrome.desktop文件 
●编辑所有Exec=的行,并在后面插入--ssl-version-min=tls1比如: 
将Exec=/usr/bin/google-chrome-stable %U修改为:Exec=/usr/bin/google-chrome-stable --ssl-version-min=tls1 %U 
●最后重启您的Chrome浏览器

3.IE浏览器用户:

Internet选项->高级->使用SSL 3.0 (去除多选框) 


原文:http://cn.ui.vmall.com/thread-1345963-1-1.html








Summary:
The SSLv2 (Secure Socket Layer version 2) and/or SSLv3 service is running.

Info:
The Secure Socket Layer (SSL) protocol allows for secure communication between a client and a server.

There are known flaws in the SSLv2 protocol. A man-in-the-middle attacker can force the communication to a less secure level and then attempt to break the weak encryption. The attacker can also truncate encrypted messages.

An attacker can exploit this vulnerability to read secure communications or maliciously modify messages.

NIST has determined SSL v3.0 is no longer acceptable for secure communications, in large part due to 2014's POODLE vulnerability. As of the date of enforcement found in PCI DSS v3.1, any version of SSL will not meet the PCI SSC's definition of "strong cryptography."

See also :

http://www.schneier.com/paper-ssl.pdf
http://support.microsoft.com/kb/187498
http://www.linux4beginners.info/node/disable-sslv2
https://www.openssl.org/~bodo/ssl-poodle.pdf
http://www.nessus.org/u?5d15ba70

General Fix:
Configure the server to disable SSLv2 and SSLv3 and enable TLS (preferably v1.2).  As usual with configuration changes, it will likely be necessary to restart the affected services once the changes are implemented.

While no official tools are provided by IBM, you can use the following openssl command to verify if an SSLv2 connection is successful (change to -ssl3 for SSLv3):

$ openssl s_client -connect : -ssl2

SMTP services will need to add the relevant STARTTLS options:

# openssl s_client -starttls smtp -connect : -ssl2

There are also websites that enable users to test servers on the Internet, such as http://foundeo.com/products/iis-weak-ssl-ciphers/test.cfm.  Server owners can also use ScanOnDemand.

NOTE:  This finding is rarely, if ever, a false positive.

IBM HTTP Server

Upgrade to the latest versions of IBM HTTP Server, which disable SSLv2 and SSLv3 by default.  If by some means they are re-enabled, add the following to each server context (every instance of “SSLEnable”):

SSLProtocolDisable SSLv3 SSLv2

For more information, see http://www-01.ibm.com/support/docview.wss?uid=swg21687172

Apache

For Apache/mod_ssl, ensure that httpd.conf or ssl.conf has the following directive for each SSL enabled server:

You can either explicitly disable both SSL versions:

SSLProtocol ALL -SSLv2 -SSLv3

Or explicitly disable everything and enable TLS versions:

SSLProtocol -ALL +TLSv1 (TLSv1.1 and TLSv1.2 are also options if available).

The old style Apache/apache_ssl is very outdated and should no longer be in use.

Apache Tomcat

For Tomcat, update the server.xml configuration to use the SSLProtocol directive:

sslProtocol="TLS" sslEnabledProtocols="TLSv1.2,TLSv1.1,TLSv1"

Websphere Edge Proxy

For Websphere Edge Proxy, edit ibmproxy.conf to include the following directive:

TLSOnly=On

For more information, see http://www-01.ibm.com/support/docview.wss?uid=swg21693751

IBM iSeries

For iSeries, configure the QSSLPCL setting as described in http://publib.boulder.ibm.com/infocenter/iseries/v6r1m0/index.jsp?topic=/rzarl/rzarlqsslpcl.htm to only use *TLSV1.

Microsoft IIS

For IIS, refer to the following Knowledgebase entry:

Microsoft Security Advisory 3009008

Lotus Domino

For Domino, refer to the following IBM reference:

http://www-01.ibm.com/support/docview.wss?uid=swg21687167

ITM - Tivoli Monitoring

Add the following lines to each agent configuration.  You can do it with the ITM mTEMS, Advanced, Edit Variables, or script it.

GSK_PROTOCOL_SSLV2=OFF
GSK_PROTOCOL_SSLV3=OFF
GSK_V3_CIPHER_SPECS="350A"

For more information, see http://www-01.ibm.com/support/docview.wss?uid=swg21691775

WebSEAL

For WebSEAL, update the disable-ssl-v2 and disable-ssl-v3 directives in webseald.conf to "yes" instead of "no."

RemotelyAnywhere

Upgrade to version 11.3.2821 or later to eliminate SSLv3 usage.

Note:  RemotelyAnywhere has some denial of service prevention capabilities that can be enabled/disabled.  When enabled, RemotelyAnywhere has been known to drop scanner traffic and cause false negatives, leading users to believe their findings have been resolved, only to have them appear again in a later scan.

Java

While the Java Control Panel general affects client-side settings, it's possible that it may also affect server instances in rare cases where the server has no fix of its own.

In the Java Control Panel,  click the Advanced tab.
Under Advanced Security Settings, uncheck SSL 3.0.
Click Apply/Okay and restart the service.  In some cases a full reboot may be necessary.

In Windows, the Java control panel can generally be found in the following locations:
Windows 32-bit OS: c:\Program Files\Java\jre7\bin\javacpl.exe
Windows 64-bit OS: c:\Program Files (x86)\Java\jre7\bin\javacpl.exe

Other

Other webservers may have different configuration methods.










Summary:
It is possible to obtain sensitive information from the remote host with SSL/TLS-enabled services.

Info:
The remote host is affected by a man-in-the-middle (MitM) information disclosure vulnerability known as POODLE. The vulnerability is due to the way SSL 3.0 handles padding bytes when decrypting messages encrypted using block ciphers in cipher block chaining (CBC) mode. A MitM attacker can decrypt a selected byte of a cipher text in as few as 256 tries if they are able to force a victim application to repeatedly send the same data over newly created SSL 3.0 connections.

As long as a client and service both support SSLv3, a connection can be 'rolled back' to SSLv3, even if TLSv1 or newer is supported by the client and service.

The TLS Fallback SCSV extension prevents 'version rollback' attacks without impacting legacy clients however, it can only protect connections when the client and service support the extension. Sites that cannot disable SSLv3 immediately should enable this extension.

This is a vulnerability in the SSLv3 specification, not in a particular SSL implementation. Disabling SSLv3 is the only way to completely mitigate the vulnerability.

See also :

https://www.imperialviolet.org/2014/10/14/poodle.html
https://www.openssl.org/~bodo/ssl-poodle.pdf
https://tools.ietf.org/html/draft-ietf-tls-downgrade-scsv-00

General Fix:
Disable SSLv3.

Services that must support SSLv3 should enable the TLS Fallback SCSV extension until SSLv3 can be disabled.

While no official tools are provided by IBM, you can use the following openssl command to verify if an SSLv3 connection is successful:

$ openssl s_client -connect : -ssl3

SMTP services will need to add the relevant STARTTLS options:

# openssl s_client -starttls smtp -connect : -ssl3

Server owners can also use ScanOnDemand.

IBM HTTP Server

Add the following directive to the httpd.conf file to disable SSLv3 and SSLv2 for each context that contains "SSLEnable":

SSLProtocolDisable SSLv3 SSLv2

Stop and restart IHS for the changes to take affect.

Alternatively, SSLv3 is disabled implicitly when no SSLv3 ciphers are enabled.

Use the SSLCipherSpec directive to remove any SSL ciphers:

http://publib.boulder.ibm.com/httpserv/ihsdiag/ihs_performance.html#SSL

Also, these directives must be placed in each SSL enabled container configuration (typically ).

Please refer to the following list of TLS cipher configurations which are all 128-bit or greater:

SSLCipherSpec TLS_RSA_WITH_AES_256_CBC_SHA
SSLCipherSpec TLS_RSA_WITH_AES_128_CBC_SHA

Alternative configuration using shortnames:

SSLCipherSpec 35b
SSLCipherSpec 2F

Any SSL ciphers should be removed or commented out.

For additional cipher information, visit:

http://publib.boulder.ibm.com/httpserv/ihsdiag/ssl_questions.html

Apache

For Apache/mod_ssl, ensure that httpd.conf or ssl.conf has the following directive for each SSL enabled server:

SSLProtocol -ALL +TLSv1

Alternatively:

SSLProtocol ALL -SSLv2 -SSLv3

Apache Tomcat

For Tomcat, update the server.xml configuration to use the SSLProtocol directive.  Currently, the only acceptable value is TLSv1.

Microsoft IIS

For IIS, refer to the following Knowledgebase entry:

Microsoft Knowledge Base Article - 187498

Java

While the Java Control Panel general affects client-side settings, it's possible that it may also affect server instances in rare cases where the server has no fix of its own.

In the Java Control Panel,  click the Advanced tab.
Under Advanced Security Settings, uncheck SSL 3.0.
Click Apply/Okay and restart the service.  In some cases a full reboot may be necessary.

In Windows, the Java control panel can generally be found in the following locations:
Windows 32-bit OS: c:\Program Files\Java\jre7\bin\javacpl.exe
Windows 64-bit OS: c:\Program Files (x86)\Java\jre7\bin\javacpl.exe



你可能感兴趣的:(安全)

  • 大公司生产环境是不是都用jdk 17, 而不能用jdk 18 yzpyzp javagradle
    deepseek回答:大公司生产环境中通常优先选择JDK17而非JDK18,主要原因如下:1.‌长期支持(LTS)版本是企业首选‌JDK17是官方长期支持版本(LTS),维护周期长达8年(至2029年),提供持续的安全补丁和稳定性更新‌45。而JDK18是非LTS版本,仅提供6个月的技术支持,到期后需强制升级,无法满足企业对生产环境长期稳定性的需求‌46。2.‌兼容性与生态适配更成熟‌‌框架支持‌
  • 全面的学生成绩管理系统设计与实现 柴木头 B2B电商
    本文还有配套的精品资源,点击获取简介:学生成绩管理系统是一个教育管理工具,利用QT平台和C++语言开发,支持高校和教育机构进行学生成绩的记录、统计和分析。系统包含用户管理、课程管理、成绩录入与查询、统计分析、数据备份与恢复以及安全权限控制等核心模块。开发者需遵循良好的编程规范,进行单元测试和集成测试,确保系统的稳定性和可靠性。1.学生成绩管理系统概述系统的定义与功能学生成绩管理系统是为了简化教师和
  • 零基础搭建免费IP代理池:从原理到实战的保姆级指南 傻啦嘿哟 关于代理IP那些事儿tcp/ip网络协议网络
    目录一、代理池的核心价值与底层原理二、环境搭建全流程详解2.1开发环境准备2.2核心组件安装三、核心配置深度解析3.1配置文件精要(setting.py)3.2自定义代理源开发四、核心模块实现原理4.1调度系统架构4.2代理验证算法五、运维实战技巧5.1性能优化策略5.2故障排查手册六、安全加固方案七、扩展升级路径八、典型问题解决方案九、性能基准测试十、合规使用指南一、代理池的核心价值与底层原理在
  • 1.3温柔 拍照的小财猫
    图片发自App今天深圳的阳光️真是温暖,但这些都不及晚饭时候,若兮看我一边头发挡住视线,帮我把头发轻轻夹到耳后的那一抹温柔。今天发现一件很️意思的事,女儿的情商是不是和爸爸有关?比如说假设这个爸爸是能和女儿互动的非常好的,那么女儿的情商就会比较高,并且安全感很好。晚上和一舟师兄讨论“缘起性️”,她说我潜意识里本能的在抗拒和她交流,这会想想似乎真有那么一点,原因是什么呢?就是她每次都会问我一些猝不及
  • kotlin 泛型 luoj_616 Kotlinkotlinandroidjava
    一、泛型使用泛型,即"参数化类型",将类型参数化,可以用在类,接口,函数上。与Java一样,Kotlin也提供泛型,为类型安全提供保证,消除类型强转的烦恼。1.1泛型的优点类型安全:通用允许仅保留单一类型的对象。泛型不允许存储其他对象。不需要类型转换:不需要对对象进行类型转换。编译时间检查:在编译时检查泛型代码,以便在运行时避免任何问题。1.2泛型类TFood类指定的泛型参数由放在一对(item:
  • Kotlin集合与空值
    我们已经学习了Kotlin中的空安全(nullsafety)。在本节中,我们将讨论如何处理集合中的空值(null),因为集合比其他数据类型更复杂。我们还将讨论如何处理可空元素时常用的便利方法。集合与空值可空集合和具有可空元素的非空集合是同一枚硬币的两面。此外,我们还需要认识到空集合和可空集合之间的区别。让我们看看四种情况:vallist=listOf()varnullableList:List?=
  • 用户系统的架构设计与实现策略(二) sp42a 用户管理权限RBAC
    一个用户系统除了基本的用户业务功能,还应囊括用户的权限设计及其实现。这本文中我们将探讨一下关于用户权限的设计与实现方法论。简介在构建现代应用系统的过程中,很少有设计决策会像访问控制机制那样,对安全性、可扩展性和用户体验产生如此深远的影响。很多开发团队最初会选择一个简单的RBAC(基于角色的访问控制)模型,并将授权逻辑直接写入应用代码中。然而,随着业务需求不断演进,通常需要融合RBAC、ABAC和R
  • mysql笔记17视图 程宇寒 mysql笔记视图
    mysql笔记17视图一、含义mysql5.1版本出现的新特性,本身是一个虚拟表,它的数据来自于表,通过执行时动态生成。好处:1、简化sql语句2、提高了sql的重用性3、保护基表的数据,提高了安全性二、创建createview视图名as查询语句;三、修改方式一:createorreplaceview视图名as查询语句;方式二:alterview视图名as查询语句四、删除dropview视图1,视
  • 《问心》赵又廷和毛晓彤竟然是兄妹 青瑶说
    《问心》是由黎志导演周艺飞编剧的医疗题材的剧,这部剧主要讲述了周筱风,方筱然林逸三位心脏科医生从最开始的相互不服气和看不惯到后来的相互欣赏,一起并肩作战的故事。01作为一部医疗题材的剧这部剧更加聚焦的矛盾在于,医院的规章制度和病人生命安全之间的度量衡,不同品性医生在相互合作中意见不合的处境。最典型的就是张雨熙的案例,正在工作的她突然倒下,被紧急送往医院。当时林逸判断是A型主动脉夹层,但是还需要拍片
  • 戴尔R750XS服务器Windows Server 2012 R2 管理员密码忘记,如何解决? bug菌¹ 全栈Bug调优(实战版)服务器windows运维
    本文收录于《全栈Bug调优(实战版)》专栏,主要记录项目实战过程中所遇到的Bug或因后果及提供真实有效的解决方案,希望能够助你一臂之力,帮你早日登顶实现财富自由;同时,欢迎大家关注&&收藏&&订阅!持续更新中,up!up!up!!备注:部分问题/疑难杂症搜集于互联网。全文目录:问题描述解决方案(请知悉:如下方案不保证一定适配你的问题)1.**通过“安全模式”重置管理员密码**2.**使用Windo
  • Node.js特训专栏-实战进阶:16. RBAC权限模型设计 爱分享的程序员 Node.jsnode.js安全算法前端
    欢迎来到Node.js实战专栏!在这里,每一行代码都是解锁高性能应用的钥匙,让我们一起开启Node.js的奇妙开发之旅!Node.js特训专栏主页专栏内容规划详情我将从RBAC权限模型的基础概念、核心组件讲起,详细阐述其设计原则、数据库模型设计,还会结合代码示例展示在实际开发中的实现方式,以及探讨模型的扩展与优化。RBAC权限模型设计:从理论到实战的完整方案在现代应用系统中,权限管理是保障数据安全
  • iOS如何查看电池容量?理解系统限制与开发者级能耗调试方法 2501_91590906 ios小程序uni-appiphoneandroidwebviewhttps
    在很多Android设备中,查看电池的容量、温度、电压甚至充放电速度,几乎不需要任何操作。但在iOS设备上,这些信息却要么不可见,要么非常隐晦。对用户来说,“电池最大容量87%”是一句看似清晰却又缺乏上下文的信息;对开发者来说,更需要知道的是:“我的App是否在某些设备上引发了异常耗电?”这篇文章不只是告诉你如何查电池容量,更是帮助你理解iOS的能耗监测边界,和如何在苹果生态内构建安全、有效的电池
  • iOS 抓包工具选择与配置指南 从零基础到高效调试的完整流程 HTTPwise ios小程序uni-appiphoneandroidwebviewhttps
    iOS抓包:复杂网络调试的必要技能随着移动端应用越来越依赖网络交互,iOS抓包作为核心调试工具之一,变得尤为重要。无论是调试App与后端的接口通信、排查HTTPS请求加密问题,还是定位网络连接超时、请求异常,抓包都能在关键时刻提供有效支持。然而,iOS系统的封闭性与安全机制,往往让开发者在调试过程中碰壁:证书无法安装:系统严格的证书信任机制使得常规抓包工具很难直接抓取HTTPS请求。无法配置代理:
  • 【iOS】源码阅读(六)——方法交换 名字不要太长 像我这样就好 ioscocoamacos开发语言objective-c
    文章目录方法交换什么是Method-Swizzling方法交换核心API**1.获取方法对象****2.添加/替换方法实现****3.交换方法实现****4.获取方法信息****5.修改方法实现****使用示例:完整的Method-Swizzling流程****注意事项**使用方法交换注意事项线程安全方法交换的影响范围方法交换什么是Method-Swizzling  Method-Swizzlin
  • 密码管理安全防御
    密码管理是信息安全的核心环节,其目标是通过规范密码的生成、存储、传输、验证和生命周期管理,防止未授权访问,保护用户账号和系统资源的安全。以下从核心原则、技术实践、常见问题及解决方案等方面详细说明:一、密码管理的核心原则密码管理需遵循“安全性”与“可用性”的平衡,核心原则包括:复杂性原则密码需足够复杂以抵御暴力破解(如字典攻击、brute-force攻击)。通常要求:长度至少10-12位(越长越安全
  • 博客摘录「 华为云平台-FusionSphere OpenStack 8.2.1 系统加固」2025年7月15日
    编号加固项"风险等级"加固原理/Rationale审计方法/Audit期望结果/ExpectResults加固方法/Remediation1OpenSSH加固配置1.1OpenSSH加固配置1.1.1SSH使用的版本H"OpenSSHV2版本在安全性能、方便性上有所提高,默认使用V2版本。如果用户根据实际需要采用V1版本,可登录主机将数值修改为“1”。"查看/etc/ssh/sshd_config
  • 婚姻本质上讲,就是一场合作关系 一只神奇的做设计小姐姐
    其实婚姻本质上讲,就是一场合作关系。就如《奇葩说》里的经济学家薛兆丰所讲:“结婚,就是双方拿出自己的资源,一起办家庭企业,签的是终身批发的期货合同。也许每个人的资源不一样,作用不一样,功效不一样,但一定是互相出力,实现双赢。”尤其对女性而言,想要靠结婚,得到一份终生依靠,得到一辈子的安全感,得到精神的依附,这是一件绝对不可能的事。有几句话很扎心,但很实在。那就是:其实你的另一半,也嫌你穷。其实男人
  • 工业喷涂机器人的革新:艾利特协作机器人引领人机交互新纪元 lingling009 人工智能运维大数据
    将复杂技术转化为实际价值,赋能全球产业生态在工业自动化浪潮中,喷涂作业作为关键制造环节,长期面临效率低下、质量波动和安全隐患等痛点。艾利特机器人,作为专注新一代人机交互协作场景的制造商和迅速成长的国际协作机器人龙头企业之一,致力于通过一站式解决方案,深度升级汽车、3C、新能源等行业生态。本文将基于“工业喷涂机器人”这一核心场景,剖析其痛点、转化技术参数为可感知价值,并植入真实案例,构建“基础功能→
  • eVTOL分布式电推进(DEP)适航审定探究 北京航通天下科技有限公司 低空经济eVTOL测试配套分布式
    从适航认证的角度来看,eVTOL动力系统采用分布式电推进(DEP)技术进行测试具有以下显著优势:一、提升系统冗余性与故障容限分布式电推进系统通过多个独立电机协同工作,即使部分电机失效,剩余电机仍能维持推力,保障飞行安全。这种冗余设计是适航认证中对关键系统可靠性要求的核心指标之一。例如,测试平台可模拟单个或多个电机故障场景,验证系统能否通过动态推力分配维持稳定飞行,从而满足适航对“故障安全”原则的要
  • 2个网卡配置相同ip 华为交换机_网络工程师必会知识点(上篇):华为交换机绑定客户端IP+MAC+端口... 882看看 2个网卡配置相同ip华为交换机
    交换机绑定客户端IP+MAC+端口,主要是为了防止别人没有授权的条件下,随意加入到网络当中操作,为了防止这种不安全的行为的出现,为了我们网络的安全,可以绑定授权的IP以及MAC,这样一来就不会出现IP地址被盗用出现网络安全威胁的情况。DHCPSnooping是DHCP的一种安全特性,主要应用在交换机上,作用是屏蔽接入网络中的非法的DHCP服务器。即开启DHCPSnooping功能后,网络中的客户端
  • 对象存储和文件存储之间的区别?
    数据信息存储功能对于企业来说是十分重要的,企业会将业务中的数据存放在一个安全的位置,避免其受到网络攻击或损坏,给企业造成一定的经济损失,而在存储方面有文件存储、对象存储和块存储等多种方式,本文就来为大家介绍一下对象存储和文件存储之间的区别!对象存储是被称为基于对象的存储技术,主要是针对离散单元的处理和解决方式,其中对象可以是指任何形式的数据信息,比如文件信息和视频图片等,能够通过唯一ID访问数据对
  • 灰度发布实战:在生产环境中安全迭代功能 荣华富贵8 程序员的知识储备2程序员的知识储备3consul服务发现算法网络wpf
    摘要随着互联网服务规模的不断扩大,如何在保证系统稳定性和用户体验的前提下快速迭代新功能,已经成为大型分布式系统运维和开发团队面临的核心挑战。灰度发布(GreyRelease或CanaryRelease)作为一种渐进式发布策略,通过对少量用户或流量进行新版本试运行,实时监控关键指标、收集用户反馈,从而在生产环境中实现安全的功能迭代和风险管控。本文以某大型电商平台灰度发布实战为例,深入探讨技术原理、系
  • ARM芯片的侧信道攻击防御:从理论到代码实践
    引言在物联网(IoT)、智能卡和工业控制系统中,ARM芯片因其高性能和低功耗被广泛应用。然而,这些设备的安全性常常面临一个隐形威胁:侧信道攻击(Side-ChannelAttack,SCA)。攻击者无需侵入芯片内部,仅通过分析功耗、电磁辐射或执行时间等物理信号,即可窃取敏感数据(如加密密钥)。本文将深入解析侧信道攻击的原理,并结合ARM芯片特性,从理论到代码实践,提供一套可落地的防御方案。一、侧信
  • Linux五大网络IO模型 Acto
    一、须知对于操作系统来说,空间会分为用户空间与内核空间用户空间:用户程序的运行空间。为了安全,它们是隔离的,即使用户的程序崩溃,内核也不会受到影响。只能执行简单的运算,不能直接调用系统资源,必须通过系统接口(systemcall),才能向内核发出指令。内核空间:这是Linux内核的运行空间,可以执行任意命令,调用系统的一切资源通过用户空间访问系统空间并让其帮助我们完成我们所需要执行的操作或者任务二
  • 《用上位机控制无人机:Python+MAVLink协议飞行实验》 欧振芳 python
    1.实验目标-通过Python编写的上位机程序,基于MAVLink协议控制无人机(如PX4/ArduPilot固件的无人机)。-实现基础飞行指令:解锁、起飞、悬停、降落。-探索MAVLink消息的构造与解析机制。2.实验环境准备硬件-无人机硬件:支持MAVLink协议的飞控(如Pixhawk系列)。-通信链路:USB直连、数传电台(3DRRadio)或WiFi(如通过UDP)。-安全环境:空旷无干
  • 经典人生语录,为了自己想过的生活,勇于放弃一些东西 然若一
    为了自己想过的生活,勇于放弃一些东西。这个世界没有公正之处,你也永远得不到两全之计。若要自由,就得牺牲安全。若要闲散,就不能获得别人评价中的成就。若要愉悦,就无需计较身边人给予的态度。若要前行,就得离开你现在停留的地方。多微笑,做一个开朗热忱的女人;多打扮,做一个美丽优雅的女人;多倾听,做一个温柔善意的女人,多看书,做一个淡定内涵的女人;多思考,做一个聪慧冷静的女人。记住为自己而进步,而不是为了满
  • 21天【财富自由挑战赛】 南一弯弯
    我理解的财富自由是什么?我理解的财富自由,并不是天天啥都不干,躺着收钱,而是做着自己热爱并喜欢的工作,赚钱养活自己,让自己和家人过上体面的生活。我为什么发起财富自由挑战赛?那你为什么还在忍受这份并不太喜欢的工作?通勤时间长、工作压力大、老板脾气暴躁……不喜欢工作,不想上班。但你之所以还没有勇气放弃,是因为“恐惧”,恐惧没有稳定的收入,恐惧没有安全感。我发觉很多人恐惧的源头都或多或少与“钱”有关系。
  • 前端安全指南:防御XSS与CSRF攻击 天天进步2015 前端开发前端安全xss
    引言随着互联网的快速发展,Web应用安全问题日益突出。作为前端开发者,了解常见的安全威胁及其防御措施至关重要。本文将重点介绍两种最常见的前端安全威胁:跨站脚本攻击(XSS)和跨站请求伪造(CSRF),并提供实用的防御策略。XSS攻击解析什么是XSS攻击?XSS(Cross-SiteScripting,跨站脚本)攻击是一种注入类型的攻击,攻击者通过在目标网站上注入恶意脚本代码,当用户浏览该页面时,恶
  • openGauss数据库源码解析 | openGauss简介(七) openGauss小助手 数据库openGauss
    1.5.5数据库安全1.访问控制管理用户对数据库的访问控制权限涵盖数据库系统权限和对象权限。openGauss数据库支持基于角色的访问控制机制(role-basedaccesscontrol,RBAC),将角色和权限关联起来,通过将权限赋予给对应的角色,再将角色授予给用户,可实现用户访问控制权限管理。其中登录访问控制通过用户标识和认证技术来共同实现,而对象访问控制则基于用户在对象上的权限,通过对象
  • 【设计模式&C#】享元模式(用于解决多次创建对象而导致的性能问题) 大飞pkz 设计模式C#设计模式享元模式C#开发语言
    一种结构型设计模式。特点是通过共享内部状态来减少对象的数量,从而降低内存使用和提高性能。优点:大幅减少对象的数量,减少了内存的使用,提高了性能;支持更多颗粒度对象,而不会导致内存溢出;可以与对象池技术结合,进一步提高对象池的复用效率。缺点:为了实现享元模式,需要将对象的状态分为内部状态和外部状态,提高了系统的复杂性;享元对象被多个线程共享,可能会导致性能安全问题;适用场景:需要管理大量颗粒度对象;
  • linux系统服务器下jsp传参数乱码 3213213333332132 javajsplinuxwindowsxml
    在一次解决乱码问题中, 发现jsp在windows下用js原生的方法进行编码没有问题,但是到了linux下就有问题, escape,encodeURI,encodeURIComponent等都解决不了问题 但是我想了下既然原生的方法不行,我用el标签的方式对中文参数进行加密解密总该可以吧。于是用了java的java.net.URLDecoder,结果还是乱码,最后在绝望之际,用了下面的方法解决了
  • Spring 注解区别以及应用 BlueSkator spring
    1. @Autowired @Autowired是根据类型进行自动装配的。如果当Spring上下文中存在不止一个UserDao类型的bean,或者不存在UserDao类型的bean,会抛出 BeanCreationException异常,这时可以通过在该属性上再加一个@Qualifier注解来声明唯一的id解决问题。   2. @Qualifier 当spring中存在至少一个匹
  • printf和sprintf的应用 dcj3sjt126com PHPsprintfprintf
    <?php printf('b: %b <br>c: %c <br>d: %d <bf>f: %f', 80,80, 80, 80); echo '<br />'; printf('%0.2f <br>%+d <br>%0.2f <br>', 8, 8, 1235.456); printf('th
  • config.getInitParameter 171815164 parameter
    web.xml <servlet> <servlet-name>servlet1</servlet-name> <jsp-file>/index.jsp</jsp-file> <init-param> <param-name>str</param-name>
  • Ant标签详解--基础操作 g21121 ant
            Ant的一些核心概念:         build.xml:构建文件是以XML 文件来描述的,默认构建文件名为build.xml。        project:每个构建文
  • [简单]代码片段_数据合并 53873039oycg 代码
            合并规则:删除家长phone为空的记录,若一个家长对应多个孩子,保留一条家长记录,家长id修改为phone,对应关系也要修改。         代码如下:        
  • java 通信技术 云端月影 Java 远程通信技术
    在分布式服务框架中,一个最基础的问题就是远程服务是怎么通讯的,在Java领域中有很多可实现远程通讯的技术,例如:RMI、MINA、ESB、Burlap、Hessian、SOAP、EJB和JMS等,这些名词之间到底是些什么关系呢,它们背后到底是基于什么原理实现的呢,了解这些是实现分布式服务框架的基础知识,而如果在性能上有高的要求的话,那深入了解这些技术背后的机制就是必须的了,在这篇blog中我们将来
  • string与StringBuilder 性能差距到底有多大 aijuans
              之前也看过一些对string与StringBuilder的性能分析,总感觉这个应该对整体性能不会产生多大的影响,所以就一直没有关注这块!         由于学程序初期最先接触的string拼接,所以就一直没改变过自己的习惯!        
  • 今天碰到 java.util.ConcurrentModificationException 异常 antonyup_2006 java多线程工作IBM
    今天改bug,其中有个实现是要对map进行循环,然后有删除操作,代码如下: Iterator<ListItem> iter = ItemMap.keySet.iterator(); while(iter.hasNext()){ ListItem it = iter.next(); //...一些逻辑操作 ItemMap.remove(it); } 结果运行报Con
  • PL/SQL的类型和JDBC操作数据库 百合不是茶 PL/SQL表标量类型游标PL/SQL记录
    PL/SQL的标量类型:    字符,数字,时间,布尔,%type五中类型的 --标量:数据库中预定义类型的变量 --定义一个变长字符串 v_ename varchar2(10); --定义一个小数,范围 -9999.99~9999.99 v_sal number(6,2); --定义一个小数并给一个初始值为5.4 :=是pl/sql的赋值号
  • Mockito:一个强大的用于 Java 开发的模拟测试框架实例 bijian1013 mockito单元测试
    Mockito框架:         Mockito是一个基于MIT协议的开源java测试框架。         Mockito区别于其他模拟框架的地方主要是允许开发者在没有建立“预期”时验证被测系统的行为。对于mock对象的一个评价是测试系统的测
  • 精通Oracle10编程SQL(10)处理例外 bijian1013 oracle数据库plsql
    /* *处理例外 */ --例外简介 --处理例外-传递例外 declare v_ename emp.ename%TYPE; begin SELECT ename INTO v_ename FROM emp where empno=&no; dbms_output.put_line('雇员名:'||v_ename); exceptio
  • 【Java】Java执行远程机器上Linux命令 bit1129 linux命令
    Java使用ethz通过ssh2执行远程机器Linux上命令,   封装定义Linux机器的环境信息   package com.tom; import java.io.File; public class Env { private String hostaddr; //Linux机器的IP地址 private Integer po
  • java通信之Socket通信基础 白糖_ javasocket网络协议
    正处于网络环境下的两个程序,它们之间通过一个交互的连接来实现数据通信。每一个连接的通信端叫做一个Socket。一个完整的Socket通信程序应该包含以下几个步骤: ①创建Socket; ②打开连接到Socket的输入输出流; ④按照一定的协议对Socket进行读写操作; ④关闭Socket。   Socket通信分两部分:服务器端和客户端。服务器端必须优先启动,然后等待soc
  • angular.bind boyitech AngularJSangular.bindAngularJS APIbind
    angular.bind 描述:         上下文,函数以及参数动态绑定,返回值为绑定之后的函数. 其中args是可选的动态参数,self在fn中使用this调用。 使用方法:          angular.bind(se
  • java-13个坏人和13个好人站成一圈,数到7就从圈里面踢出一个来,要求把所有坏人都给踢出来,所有好人都留在圈里。请找出初始时坏人站的位置。 bylijinnan java
    import java.util.ArrayList; import java.util.List; public class KickOutBadGuys { /** * 题目:13个坏人和13个好人站成一圈,数到7就从圈里面踢出一个来,要求把所有坏人都给踢出来,所有好人都留在圈里。请找出初始时坏人站的位置。 * Maybe you can find out
  • Redis.conf配置文件及相关项说明(自查备用) Kai_Ge redis
       Redis.conf配置文件及相关项说明 # Redis configuration file example # Note on units: when memory size is needed, it is possible to specifiy # it in the usual form of 1k 5GB 4M and so forth: #
  • [强人工智能]实现大规模拓扑分析是实现强人工智能的前奏 comsci 人工智能
         真不好意思,各位朋友...博客再次更新...      节点数量太少,网络的分析和处理能力肯定不足,在面对机器人控制的需求方面,显得力不从心....      但是,节点数太多,对拓扑数据处理的要求又很高,设计目标也很高,实现起来难度颇大...
  • 记录一些常用的函数 dai_lm java
    public static String convertInputStreamToString(InputStream is) { StringBuilder result = new StringBuilder(); if (is != null) try { InputStreamReader inputReader = new InputStreamRead
  • Hadoop中小规模集群的并行计算缺陷 datamachine mapreducehadoop并行计算
    注:写这篇文章的初衷是因为Hadoop炒得有点太热,很多用户现有数据规模并不适用于Hadoop,但迫于扩容压力和去IOE(Hadoop的廉价扩展的确非常有吸引力)而尝试。尝试永远是件正确的事儿,但有时候不用太突进,可以调优或调需求,发挥现有系统的最大效用为上策。 -----------------------------------------------------------------
  • 小学4年级英语单词背诵第二课 dcj3sjt126com englishword
    egg  蛋 twenty 二十 any 任何 well 健康的,好   twelve 十二 farm 农场 every 每一个 back 向后,回   fast 快速的 whose 谁的 much 许多 flower 花   watch 手表 very 非常,很 sport 运动 Chinese 中国的  
  • 自己实践了github的webhooks, linux上面的权限需要注意 dcj3sjt126com githubwebhook
    环境, 阿里云服务器   1. 本地创建项目, push到github服务器上面   2. 生成www用户的密钥 sudo -u www ssh-keygen -t rsa -C "[email protected]"     3. 将密钥添加到github帐号的SSH_KEYS里面   3. 用www用户执行克隆, 源使
  • Java冒泡排序 蕃薯耀 冒泡排序Java冒泡排序Java排序
    冒泡排序 >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> 蕃薯耀 2015年6月23日 10:40:14 星期二 http://fanshuyao.iteye.com/
  • Excle读取数据转换为实体List【基于apache-poi】 hanqunfeng apache
    1.依赖apache-poi   2.支持xls和xlsx   3.支持按属性名称绑定数据值   4.支持从指定行、列开始读取   5.支持同时读取多个sheet   6.具体使用方式参见org.cpframework.utils.excelreader.CP_ExcelReaderUtilTest.java 比如: Str
  • 3个处于草稿阶段的Javascript API介绍 jackyrong JavaScript
    原文: http://www.sitepoint.com/3-new-javascript-apis-may-want-follow/?utm_source=html5weekly&utm_medium=email   本文中,介绍3个仍然处于草稿阶段,但应该值得关注的Javascript API. 1) Web Alarm API   &
  • 6个创建Web应用程序的高效PHP框架 lampcy Web框架PHP
    以下是创建Web应用程序的PHP框架,有coder bay网站整理推荐: 1. CakePHP CakePHP是一个PHP快速开发框架,它提供了一个用于开发、维护和部署应用程序的可扩展体系。CakePHP使用了众所周知的设计模式,如MVC和ORM,降低了开发成本,并减少了开发人员写代码的工作量。 2. CodeIgniter CodeIgniter是一个非常小且功能强大的PHP框架,适合需
  • 评"救市后中国股市新乱象泛起"谣言 nannan408
    首先来看百度百家一位易姓作者的新闻: 三个多星期来股市持续暴跌,跌得投资者及上市公司都处于极度的恐慌和焦虑中,都要寻找自保及规避风险的方式。面对股市之危机,政府突然进入市场救市,希望以此来重建市场信心,以此来扭转股市持续暴跌的预期。而政府进入市场后,由于市场运作方式发生了巨大变化,投资者及上市公司为了自保及为了应对这种变化,中国股市新的乱象也自然产生。 首先,中国股市这两天
  • 页面全屏遮罩的实现 方式 Rainbow702 htmlcss遮罩mask
    之前做了一个页面,在点击了某个按钮之后,要求页面出现一个全屏遮罩,一开始使用了position:absolute来实现的。当时因为画面大小是固定的,不可以resize的,所以,没有发现问题。 最近用了同样的做法做了一个遮罩,但是画面是可以进行resize的,所以就发现了一个问题,当画面被reisze到浏览器出现了滚动条的时候,就发现,用absolute 的做法是有问题的。后来改成fixed定位就
  • 关于angularjs的点滴 tntxia AngularJS
      angular是一个新兴的JS框架,和以往的框架不同的事,Angularjs更注重于js的建模,管理,同时也提供大量的组件帮助用户组建商业化程序,是一种值得研究的JS框架。   Angularjs使我们可以使用MVC的模式来写JS。Angularjs现在由谷歌来维护。   这里我们来简单的探讨一下它的应用。   首先使用Angularjs我
  • Nutz--->>反复新建ioc容器的后果 xiaoxiao1992428 DAOmvcIOCnutz
    问题: public class DaoZ {     public static Dao dao() { // 每当需要使用dao的时候就取一次     Ioc ioc = new NutIoc(new JsonLoader("dao.js"));     return ioc.get(
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他