caiqiiqi
caiqiiqi

[CVE-2020-5405]spring-cloud-config路径穿越导致的信息泄露

环境:
https://github.com/5/spring-cloud-config-starter
详细分析参考:
https://blog.riskivy.com/cve-2020-5405-spring-cloud-config-server-%e7%9b%ae%e5%bd%95%e7%a9%bf%e8%b6%8a/
启动完成:

curl -u root:root http://192.168.170.139:8888/cqq-config/test

[CVE-2020-5405]spring-cloud-config路径穿越导致的信息泄露_第1张图片

修复的commit是这个:
https://github.com/spring-cloud/spring-cloud-config/commit/651f458919c40ef9a5e93e7d76bf98575910fad0

根据log里的报错,在org/springframework/cloud/config/server/resource/ResourceController#retrieve下断点:
在这里插入图片描述
结合源码调试:
https://github.com/spring-cloud/spring-cloud-config

总结

1、/etc/hosts无法读取;/etc/hosts.allow可以读取;/etc/ca-certificates.conf还可通过拼接读取。
2、路径穿越可以被利用的条件是:
在配置文件application.properties/application.yml中配置spring.profiles.active的值为本地文件系统native(默认是git的url?);
3、没有后缀的文件(比如/etc/passwd)无法读取,因为有一个获取文件后缀名的逻辑,即便已经读到了文件内容但是由于没有后缀名出现异常然后响应500。
在这里插入图片描述

调试

在org/springframework/cloud/config/server/resource/ResourceController#retrieve
下断点就行了。
[CVE-2020-5405]spring-cloud-config路径穿越导致的信息泄露_第2张图片
贴一下代码:

	synchronized String retrieve(ServletWebRequest request, String name, String profile,
			String label, String path, boolean resolvePlaceholders) throws IOException {
		name = resolveName(name);
		label = resolveLabel(label);
		Resource resource = this.resourceRepository.findOne(name, profile, label, path);
		if (checkNotModified(request, resource)) {
			// Content was not modified. Just return.
			return null;
		}
		// ensure InputStream will be closed to prevent file locks on Windows
		try (InputStream is = resource.getInputStream()) {
			String text = StreamUtils.copyToString(is, Charset.forName("UTF-8"));
			String ext = StringUtils.getFilenameExtension(resource.getFilename())
					.toLowerCase();
			Environment environment = this.environmentRepository.findOne(name, profile,
					label, false);
			if (resolvePlaceholders) {
				text = resolvePlaceholders(prepareEnvironment(environment), text);
			}
			if (encryptEnabled && plainTextEncryptEnabled) {
				ResourceEncryptor re = this.resourceEncryptorMap.get(ext);
				if (re == null) {
					logger.warn("Cannot decrypt for extension " + ext);
				}
				else {
					text = re.decrypt(text, environment);
				}
			}
			return text;
		}
	}

在这里插入图片描述

org/springframework/cloud/config/server/resource/GenericResourceRepository#findOne
[CVE-2020-5405]spring-cloud-config路径穿越导致的信息泄露_第3张图片

关键的判断文件后缀点逻辑:
在这里插入图片描述
(_)
->
/转换:
org/springframework/cloud/config/server/resource/ResourceController.java
转换前:
[CVE-2020-5405]spring-cloud-config路径穿越导致的信息泄露_第4张图片
转换后:
[CVE-2020-5405]spring-cloud-config路径穿越导致的信息泄露_第5张图片

Demo

[CVE-2020-5405]spring-cloud-config路径穿越导致的信息泄露_第6张图片

[CVE-2020-5405]spring-cloud-config路径穿越导致的信息泄露_第7张图片

[CVE-2020-5405]spring-cloud-config路径穿越导致的信息泄露_第8张图片

参考:

  • CVE-2020-5405: Directory Traversal with spring-cloud-config-server
  • 【漏洞通告】Spring-cloud-config-server路径遍历漏洞(CVE-2020-5405)通告
  • https://www.baeldung.com/spring-cloud-configuration
  • https://howtodoinjava.com/spring-cloud/spring-cloud-config-server-git/
  • http://www.ityouknow.com/springcloud/2017/05/22/springcloud-config-git.html
  • https://github.com/ityouknow/spring-cloud-examples/blob/master/spring-cloud-config-git/spring-cloud-config-server
  • 通用的 HTTP 认证框架
  • https://github.com/5/spring-cloud-config-starter

你可能感兴趣的:(java,安全,Web)

  • 使用 SCP 命令在 Linux/Debian/Ubuntu 终端中进行文件远程传输 理工男老K ubuntulinux运维
    使用SCP命令在Linux/Debian/Ubuntu终端中进行文件远程传输SCP(SecureCopyProtocol,安全复制协议)是一种命令行实用程序,允许你通过网络在两个主机之间安全地传输文件。它使用SSH(SecureShell,安全外壳协议)进行身份验证和加密,确保传输的数据安全。SCP的基本语法SCP命令的基本语法如下:scp[选项][源文件][目标位置]示例将文件从本地系统复制到远
  • 单片机、嵌入式Linux开发大学自学路径 Oriental Son 嵌入式MCU单片机单片机学习stm32mculinux
    笔者所修读的专业为物联网工程,物联网工程是一门新兴的、热门的专业,其所涉及的学科更是又多又杂,既有计算机方向的编程语言(如C、C++、Java、Python等)、数据结构与算法、操作系统、移动端应用开发、机器学习等;软硬结合的方向有数字电路单片机开发、嵌入式Linux开发等;硬件、电路方向有电路分析、数字电路、模拟电路、传感器原理、RFID、FPGA开发等;涉及信号处理的有信号与系统、通信原理等。
  • SQL注入技术详解与过滤绕过方法 Cyc1e sql数据库web安全网络
    SQL注入技术详解与过滤绕过方法1.什么是SQL注入?SQL注入(SQLInjection)是一种常见的Web安全漏洞,指攻击者将恶意的SQL代码插入到应用程序的输入字段中,并通过应用程序发送到数据库进行执行,进而对数据库进行未授权操作。其可能导致敏感数据泄露、篡改、删除等严重后果。1.1SQL注入的工作原理SQL注入的核心在于,攻击者通过操控输入字段,使服务器端的SQL查询语句发生意料之外的变化
  • Linux安全与密钥登录指南,零基础入门到精通,收藏这篇就够了 网安导师小李 程序员编程网络安全linux安全运维web安全网络服务器计算机网络
    在使用Linux服务器时,确保服务器的安全至关重要。本文将为你介绍一些关键的Linux安全措施,包括开启密钥登录、查看登录日志、限制登录IP以及查看系统中能够登录的账号。以下内容适合小白用户,通过简单的操作就能有效提升服务器的安全性。目录Linux安全概述密钥登录的配置生成密钥对配置SSH密钥登录查看登录日志限制IP访问设置IP封禁允许特定IP访问查看系统可登录的账号1.Linux安全概述Linu
  • Log4j在Spring项目中的应用与实践 t0_54program log4jspringjava个人开发
    在现代Java开发中,日志记录是不可或缺的一部分。它不仅帮助开发者调试和监控应用程序的运行状态,还能在出现问题时快速定位原因。今天,我们就来探讨如何在Spring项目中使用Log4j进行日志管理,并通过具体的实例来展示其强大的功能。一、Log4j简介Log4j是Apache提供的一个开源日志框架,广泛应用于Java项目中。它提供了灵活的日志记录方式,支持多种日志级别和输出格式。通过配置文件,开发者
  • Java笔记——Java的三大体系架构:深入剖析Java的三大体系架构 啊健的影子 java笔记架构
    Java的三大体系架构概述JavaSEJavaSE的主要特点和应用场景JavaSE中的核心API和功能JavaSE的优缺点JavaSE的主要特点和应用场景JavaSE中的核心API和功能JavaSE的优缺点JavaEEJavaEE的主要特点和应用场景JavaEE中的核心API和功能JavaEE的优缺点JavaEE的主要特点和应用场景JavaEE中的核心API和功能JavaEE的优缺点JavaMEJ
  • spring cloud和spring boot的区别 zzyh123456 springcloudspringbootspring
    SpringCloud和SpringBoot在Java开发领域中都是非常重要的框架,但它们在目标、用途和实现方式上存在明显的区别。以下是对两者区别的详细解析:1.含义与定位SpringBoot:是一个快速开发框架,它简化了Spring应用的初始搭建以及开发过程。旨在通过“习惯优于配置”(ConventionOverConfiguration)的原则,减少开发者在配置上的工作,使得开发者可以更专注于
  • 亚远景-ISO/PAS 8800:2024《道路车辆—安全和人工智能》简介 亚远景aspice 汽车人工智能大数据
    ISO/PAS8800:2024《道路车辆—安全和人工智能》简介:ISO/PAS8800:2024《道路车辆—安全和人工智能》背景与意义随着汽车智能化发展,自动驾驶和智能座舱等技术快速进步,但人工智能在汽车领域应用面临安全性、数据质量与管理、技术标准规范缺失、公众认知和接受度等挑战。该标准旨在规范汽车领域人工智能技术应用,提高系统安全性、可靠性和兼容性,推动汽车智能化健康发展。ISO/PAS880
  • 亚远景-ASPICE与ISO 26262:汽车软件开发与功能安全的协同作用 亚远景aspice 汽车
    ASPICE(汽车软件过程改进和能力确定)和ISO26262都是与汽车行业相关的标准,但它们关注的领域不同。下面简要介绍它们之间的关系:1.ASPICE:这是一个框架,用于改进和评估汽车软件开发和维护的过程。ASPICE覆盖了整个软件生命周期,包括需求收集、设计、实现、测试、维护等。它提供了度量标准,以评估和提高软件开发过程的质量。2.ISO26262:这是一个针对汽车行业的功能安全标准,它确保汽
  • day_11_java高级编程_泛型_通配符 (560~574) yangsen116291 java开发语言后端
    泛型泛型:标签:将元素类型设置为参数–>泛型相当于预先规定了当前集合存储的数据类型,再使用当前集合时,自动规范数据类型。泛型只能是类,不能是基本数据类型,此类可以是任意类,不一定是包装类,没指定默认为Object当使用泛型后,重写compateTo和compare方法时不再需要(Obiectoinstanceof指定类)再强转了因为集合中的类型已经规定了,不符合的添加不到集合中,所以直接rentu
  • 51-54 CVPR 2024 | DrivingGaussian:周围动态自动驾驶场景的复合高斯飞溅( Sora能制作动作大片还需要一段时间 ) 深圳季连AIgraphX aiXpilot智驾大模型1自动驾驶AIGCstablediffusion智慧城市计算机视觉
    24年3月,北大、谷歌和加州大学共同发布了DrivingGaussian:CompositeGaussianSplattingforSurroundingDynamicAutonomousDrivingScenes。视图合成和可控模拟可以生成自动驾驶的极端场景CornerCase,这些安全关键情况有助于以更低成本验证和增强自动驾驶系统安全性。DrivingGaussian采用复合高斯飞溅进行全局渲
  • 【JAVA工程师从0开始学AI】,第二步:从强类型到动态语言:Java工程师的Python语法避坑指南 架构默片 JAVA工程师从0开始学AIpythonjavawindows
    这是一篇介绍Python语法与JAVA语法区别文章,让我们以对比的方式,来学习一下Python的语法。首先我们看一下下面的Python代码,和具体在java当中分别代表了什么意思numbers=[1,2,3,4,5,6,7,8,9]#①创建数字列表(像Java的ArrayList,但不用写泛型)odd_numbers=[]#②准备装奇数的空列表(类似Java的newArrayListnumbers
  • JavaScript数组-获取数组中的元素 難釋懷 javascript开发语言前端
    在JavaScript中,数组是一种非常实用的数据结构,它允许我们将多个值存储在一个单独的变量中。无论是数字、字符串还是对象,都可以作为数组的元素。获取数组中的特定元素是操作数组的基础技能之一。本文将详细介绍如何在JavaScript中获取数组中的元素。一、通过索引访问元素基本概念数组中的每个元素都有一个对应的索引,这个索引是从0开始计数的整数。也就是说,第一个元素的索引为0,第二个元素的索引为1
  • 提示工程(Prompt Engineering)的进阶策略与实践指南 调皮的芋头 prompt机器学习人工智能
    深化与细化:提示工程(PromptEngineering)的进阶策略与实践指南一、结构化提示的黄金框架CRISPE框架(角色-约束-意图-风格-示例)适用于复杂技术场景,确保输出精准可控:[角色]你是一名有10年经验的Java架构师[约束]使用SpringSecurity6.0+,兼容JDK17[意图]实现支持JWT和OAuth2协议的用户鉴权模块[风格]代码符合GoogleJavaStyle,包
  • AIGC遇上Stable Diffusion:当创意邂逅精准,绘梦成真之旅 DTcode7 AI生产力AIAIGCstablediffusionAI生产力前沿
    AIGC遇上StableDiffusion:当创意邂逅精准,绘梦成真之旅AIGC:创意的魔杖,还是技术的魔法?基本概念与魔法起源作用说明:从想象到像素的跨越StableDiffusion实战演练:像素炼金术士的秘籍案例一:像素画师初体验案例二:风格迁移的魔法深入探索:多维度功能使用实战开发技巧与避坑指南技巧一:性能优化避坑:图像模糊或失真安全防范:避免生成有害内容结语:未来已来,梦想无界在这个数字
  • 中华人民共和国网络安全笔记 _DT9825 笔记
    《中华人民共和国网络安全法》的考试要点总结一、基础信息1.立法时间-2016年11月7日通过,2017年6月1日起施行。2.立法目的-保障网络安全,维护网络空间主权、国家安全和社会公共利益,保护公民、法人合法权益。3.适用范围-在中国境内建设、运营、维护和使用网络,以及网络安全的监督管理。二、重点章节与核心内容第一章总则1.基本原则-网络安全与信息化发展并重,坚持积极利用、科学发展、依法管理、确保
  • Git 从入门到进阶 (只有干货,没有废话) 2401_84153158 程序员gitelasticsearch大数据
    《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》,点击传送门,即可获取!1.2.2已有的项目gitstash保存当前修改gitpull拉取远程最新代码与本地合并gitstashpop取出当前最新修改gitadd文件列表追踪文件gitcommit-m提交信息向仓库提交代码gitpushorigin分支名称推送至远程仓库具体的分支二、Git进阶操作=============
  • 【JAVA工程师从0开始学AI】,第四步:闭包与高阶函数——用Python的“魔法函数“重构Java思维 架构默片 JAVA工程师从0开始学AI人工智能javapython
    副标题:当严谨的Java遇上"七十二变"的Python函数式编程历经变量战争、语法迷雾、函数对决,此刻我们将踏入Python最迷人的领域——函数式编程。当Java工程师还在用接口和匿名类实现回调时,Python的闭包已化身"智能机器人",带着"记忆传承"的能力自由穿梭于代码之间。这里没有类的枷锁,函数既是武器又是盾牌,高阶函数组合出的"代码万花筒",正是AI数据处理、模型训练的核心密码。本文将用J
  • 【微服务】springboot 构建docker镜像多模式使用详解 小码农叔叔 linux与容器实战springboot相关springboot微服务java
    目录一、前言二、微服务常用的镜像构建方案3.1使用Dockerfile3.2使用dockerplugin插件3.3使用dockercompose编排文件三、环境准备3.1服务器3.2安装JDK环境3.2.1创建目录3.2.2下载安装包3.2.3配置环境变量2.2.4查看java版本3.3安装maven3.3.1下载maven安装包并解压3.3.2配置setting文件3.3.3配置maven的环境
  • python使用SQLAlchemy进行mysql的ORM操作 Lucas在澳洲 Pythonpythonmysql开发语言1024程序员节
    SQLAlchemy是什么SQLAlchemy是一个强大的PythonORM(对象关系映射)库,用于简化与关系型数据库的交互。通过将数据库表映射为Python类,SQLAlchemy使得开发者能够通过面向对象的方式来进行数据库操作,避免了直接使用SQL语句所带来的复杂性和安全风险。1.为什么使用ORM使用ORM具有以下优势:避免SQL注入:通过使用参数化查询,ORM可以有效地防止SQL注入攻击。可
  • 23种设计模式-装饰器(Decorator)设计模式 萨达大 软考中级-软件设计师设计模式javaC++结构型设计模式软考软件设计师装饰器模式
    文章目录一.什么是装饰器设计模式?二.装饰器模式的特点三.装饰器模式的结构四.装饰器模式的优缺点五.装饰器模式的C++实现六.装饰器模式的Java实现七.代码解析八.总结类图:装饰器设计模式类图一.什么是装饰器设计模式? 装饰器模式(DecoratorPattern)是一种结构型设计模式。它允许在运行时动态地为对象添加新的功能,而无需修改其代码。装饰器模式通过将对象嵌套在装饰器对象中,实现了功能的
  • 安全面试1 白初& 面试题目总结安全面试网络
    目录渗透的流程信息收集如何处理子域名爆破的泛解析问题泛解析判断泛解析的存在处理泛解析的策略如何绕过CDN查找真实ipphpinfo中常见的敏感信息权限维持Windows权限维持Linux权限维持技术跨平台权限维持技术检测和防御输出到href的XSS如何防御samesite防御CSRF的原理SameSite的工作原理CSRF防御json格式的CSRF如何防御浏览器解析顺序和解码顺序解析顺序解码顺序过
  • 本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程 elecfan2011 人工智能
    前言在数据安全和隐私保护需求日益增长的今天,本地化部署AI知识库成为企业/开发者的首选方案。本文将手把手教你如何通过Ollama(模型管理工具)、DeepSeek-R1(国产开源大模型)和AnythingLLM(知识库管理平台),搭建一套完全本地运行的智能问答系统。全程无需联网,数据100%私有化!目录环境准备与工具安装部署DeepSeek-R1模型配置AnythingLLM知识库平台构建本地知识
  • tomcat责任链设计模式 FilterChain原理解析 mengxiangsun java
    转自:http://javapolo.iteye.com/blog/1287747今天晚上花了些时间debug了下tomcat,注意观察了下tomcat内部过滤器的实现,其实tomcat内部过滤器采用了责任链的设计模式,(其实struts2拦截器那一块采用了相似的设计模式),以下是个人对源码的解读,ApplicationFilterChain详解首先是对该类的定义的介绍/***Implementa
  • 泛型和通配符详解 重生之我在成电转码 java开发语言
    在Java中,**泛型(Generics)和通配符(Wildcard)**是用于增强类型安全性和代码复用的强大特性。它们允许类、接口和方法在定义时不指定具体类型,而是在使用时指定类型参数。通过泛型和通配符,Java可以在编译时进行类型检查,从而避免运行时错误。下面我将详细解释这两个概念,包括其用法、区别、以及各种常见的模式。1.泛型(Generics)泛型是一种在定义类、接口或方法时使用类型参数的
  • Socket通讯协议理解及客户端服务器程序流程 luckyext 网络tcp/ip网络协议
    Socket通讯我们可以从以下几个方面简单理解1.Socket是网络通信中的一项重要技术,它提供了在网络上进行数据交换的接口。用C#、Java、C++等开发语言,都可以开发Socket网络通信程序。2.Socket(套接字)是计算机网络编程中的一种抽象,它允许不同的计算机或网络设备通过网络进行数据交换。Socket在应用层和传输层之间提供了一个接口,用于实现进程之间的通信。在网络通信中,Socke
  • HTML之JavaScript DOM(document)编程处理事件 录大大i 前端HTMLJavaScriptjavascripthtml前端
    HTML之JavaScriptDOM(document)编程处理事件Document/*事件:本质是行为,用户的行为或者浏览器的行为;事件发生指的是处罚js函数执行事件的三要素:事件源、事件、事件处理程序事件的绑定:1.通过元素的属性绑定on***2.通过DOM编程动态绑定注:1.一个事件可以绑定多个函数;eg:onclick="show(),show1()2.一个元素可以绑定多个事件eg:onc
  • socket io 前后端样例 漫无目的行走的月亮 python开发语言
    Socket.IO是一个用于实现实时双向通信的库,最初是为Node.js开发的,用于解决WebSocket在不同浏览器和网络环境中的兼容性问题。它提供了一个统一的API,使得开发者可以轻松实现实时双向通信,而不必担心底层传输协议的差异。目前,Socket.IO不仅支持Node.js,还扩展到了Python、Java、.NET等多种编程语言和平台。Socket.IO主要由服务器端和客户端两部分组成:
  • hutool 工具包 深克隆踩坑 DS_Watson java开发语言
    packagehutool;importcn.hutool.core.util.ObjectUtil;importjava.util.ArrayList;importjava.util.List;publicclassCloneTest{publicstaticvoidmain(String[]args){Useruser=newUser();user.setId(1);user.setAge(1
  • JavaScript系列(75)--代理模式专题 ᅟᅠ        ‌‍‎‏ 一进制 JavaScriptjavascript代理模式开发语言
    JavaScript代理模式专题JavaScript的Proxy提供了强大的对象代理能力,能够拦截和自定义对象的基本操作。本文将深入探讨Proxy的各种模式、应用场景和最佳实践。代理基础小知识:代理模式允许我们创建一个对象的代理,从而可以控制对这个对象的访问。JavaScript的ProxyAPI提供了13种基本操作的拦截器(trap),使我们能够自定义对象的行为。//基础代理操作consttar
  • ios内付费 374016526 ios内付费
    近年来写了很多IOS的程序,内付费也用到不少,使用IOS的内付费实现起来比较麻烦,这里我写了一个简单的内付费包,希望对大家有帮助。   具体使用如下: 这里的sender其实就是调用者,这里主要是为了回调使用。 [KuroStoreApi kuroStoreProductId:@"产品ID" storeSender:self storeFinishCallBa
  • 20 款优秀的 Linux 终端仿真器 brotherlamp linuxlinux视频linux资料linux自学linux教程
      终端仿真器是一款用其它显示架构重现可视终端的计算机程序。换句话说就是终端仿真器能使哑终端看似像一台连接上了服务器的客户机。终端仿真器允许最终用户用文本用户界面和命令行来访问控制台和应用程序。(LCTT 译注:终端仿真器原意指对大型机-哑终端方式的模拟,不过在当今的 Linux 环境中,常指通过远程或本地方式连接的伪终端,俗称“终端”。) 你能从开源世界中找到大量的终端仿真器,它们
  • Solr Deep Paging(solr 深分页) eksliang solr深分页solr分页性能问题
    转载请出自出处:http://eksliang.iteye.com/blog/2148370 作者:eksliang(ickes) blg:http://eksliang.iteye.com/ 概述 长期以来,我们一直有一个深分页问题。如果直接跳到很靠后的页数,查询速度会比较慢。这是因为Solr的需要为查询从开始遍历所有数据。直到Solr的4.7这个问题一直没有一个很好的解决方案。直到solr
  • 数据库面试题 18289753290 面试题 数据库
    1.union ,union all 网络搜索出的最佳答案: union和union all的区别是,union会自动压缩多个结果集合中的重复结果,而union all则将所有的结果全部显示出来,不管是不是重复。 Union:对两个结果集进行并集操作,不包括重复行,同时进行默认规则的排序; Union All:对两个结果集进行并集操作,包括重复行,不进行排序; 2.索引有哪些分类?作用是
  • Android TV屏幕适配 酷的飞上天空 android
    先说下现在市面上TV分辨率的大概情况 两种分辨率为主 1.720标清,分辨率为1280x720. 屏幕尺寸以32寸为主,部分电视为42寸 2.1080p全高清,分辨率为1920x1080 屏幕尺寸以42寸为主,此分辨率电视屏幕从32寸到50寸都有   适配遇到问题,已1080p尺寸为例: 分辨率固定不变,屏幕尺寸变化较大。 如:效果图尺寸为1920x1080,如果使用d
  • Timer定时器与ActionListener联合应用 永夜-极光 java
    功能:在控制台每秒输出一次   代码: package Main; import javax.swing.Timer; import java.awt.event.*; public class T { private static int count = 0; public static void main(String[] args){
  • Ubuntu14.04系统Tab键不能自动补全问题解决 随便小屋 Ubuntu 14.04
    Unbuntu 14.4安装之后就在终端中使用Tab键不能自动补全,解决办法如下:   1、利用vi编辑器打开/etc/bash.bashrc文件(需要root权限) sudo vi /etc/bash.bashrc  接下来会提示输入密码 2、找到文件中的下列代码 #enable bash completion in interactive shells #if
  • 学会人际关系三招 轻松走职场 aijuans 职场
    要想成功,仅有专业能力是不够的,处理好与老板、同事及下属的人际关系也是门大学问。如何才能在职场如鱼得水、游刃有余呢?在此,教您简单实用的三个窍门。   第一,多汇报 最近,管理学又提出了一个新名词“追随力”。它告诉我们,做下属最关键的就是要多请示汇报,让上司随时了解你的工作进度,有了新想法也要及时建议。不知不觉,你就有了“追随力”,上司会越来越了解和信任你。   第二,勤沟通 团队的力
  • 《O2O:移动互联网时代的商业革命》读书笔记 aoyouzi 读书笔记
    移动互联网的未来:碎片化内容+碎片化渠道=各式精准、互动的新型社会化营销。   O2O:Online to OffLine 线上线下活动 O2O就是在移动互联网时代,生活消费领域通过线上和线下互动的一种新型商业模式。   手机二维码本质:O2O商务行为从线下现实世界到线上虚拟世界的入口。   线上虚拟世界创造的本意是打破信息鸿沟,让不同地域、不同需求的人
  • js实现图片随鼠标滚动的效果 百合不是茶 JavaScript滚动属性的获取图片滚动属性获取页面加载
    1,获取样式属性值 top 与顶部的距离 left 与左边的距离 right 与右边的距离 bottom 与下边的距离 zIndex 层叠层次     例子:获取左边的宽度,当css写在body标签中时 <div id="adver" style="position:absolute;top:50px;left:1000p
  • ajax同步异步参数async bijian1013 jqueryAjaxasync
            开发项目开发过程中,需要将ajax的返回值赋到全局变量中,然后在该页面其他地方引用,因为ajax异步的原因一直无法成功,需将async:false,使其变成同步的。         格式: $.ajax({ type: 'POST', ur
  • Webx3框架(1) Bill_chen eclipsespringmaven框架ibatis
    Webx是淘宝开发的一套Web开发框架,Webx3是其第三个升级版本;采用Eclipse的开发环境,现在支持java开发; 采用turbine原型的MVC框架,扩展了Spring容器,利用Maven进行项目的构建管理,灵活的ibatis持久层支持,总的来说,还是一套很不错的Web框架。 Webx3遵循turbine风格,velocity的模板被分为layout/screen/control三部
  • 【MongoDB学习笔记五】MongoDB概述 bit1129 mongodb
    MongoDB是面向文档的NoSQL数据库,尽量业界还对MongoDB存在一些质疑的声音,比如性能尤其是查询性能、数据一致性的支持没有想象的那么好,但是MongoDB用户群确实已经够多。MongoDB的亮点不在于它的性能,而是它处理非结构化数据的能力以及内置对分布式的支持(复制、分片达到的高可用、高可伸缩),同时它提供的近似于SQL的查询能力,也是在做NoSQL技术选型时,考虑的一个重要因素。Mo
  • spring/hibernate/struts2常见异常总结 白糖_ Hibernate
    Spring ①ClassNotFoundException: org.aspectj.weaver.reflect.ReflectionWorld$ReflectionWorldException 缺少aspectjweaver.jar,该jar包常用于spring aop中   ②java.lang.ClassNotFoundException: org.sprin
  • jquery easyui表单重置(reset)扩展思路 bozch formjquery easyuireset
    在jquery easyui表单中 尚未提供表单重置的功能,这就需要自己对其进行扩展。 扩展的时候要考虑的控件有: combo,combobox,combogrid,combotree,datebox,datetimebox 需要对其添加reset方法,reset方法就是把初始化的值赋值给当前的组件,这就需要在组件的初始化时将值保存下来。 在所有的reset方法添加完毕之后,就需要对fo
  • 编程之美-烙饼排序 bylijinnan 编程之美
    package beautyOfCoding; import java.util.Arrays; /* *《编程之美》的思路是:搜索+剪枝。有点像是写下棋程序:当前情况下,把所有可能的下一步都做一遍;在这每一遍操作里面,计算出如果按这一步走的话,能不能赢(得出最优结果)。 *《编程之美》上代码有很多错误,且每个变量的含义令人费解。因此我按我的理解写了以下代码: */
  • Struts1.X 源码分析之ActionForm赋值原理 chenbowen00 struts
    struts1在处理请求参数之前,首先会根据配置文件action节点的name属性创建对应的ActionForm。如果配置了name属性,却找不到对应的ActionForm类也不会报错,只是不会处理本次请求的请求参数。 如果找到了对应的ActionForm类,则先判断是否已经存在ActionForm的实例,如果不存在则创建实例,并将其存放在对应的作用域中。作用域由配置文件action节点的s
  • [空天防御与经济]在获得充足的外部资源之前,太空投资需有限度 comsci 资源
          这里有一个常识性的问题:       地球的资源,人类的资金是有限的,而太空是无限的.....       就算全人类联合起来,要在太空中修建大型空间站,也不一定能够成功,因为资源和资金,技术有客观的限制.... &
  • ORACLE临时表—ON COMMIT PRESERVE ROWS daizj oracle临时表
    ORACLE临时表 转 临时表:像普通表一样,有结构,但是对数据的管理上不一样,临时表存储事务或会话的中间结果集,临时表中保存的数据只对当前 会话可见,所有会话都看不到其他会话的数据,即使其他会话提交了,也看不到。临时表不存在并发行为,因为他们对于当前会话都是独立的。 创建临时表时,ORACLE只创建了表的结构(在数据字典中定义),并没有初始化内存空间,当某一会话使用临时表时,ORALCE会
  • 基于Nginx XSendfile+SpringMVC进行文件下载 denger 应用服务器Webnginx网络应用lighttpd
        在平常我们实现文件下载通常是通过普通 read-write方式,如下代码所示。 @RequestMapping("/courseware/{id}") public void download(@PathVariable("id") String courseID, HttpServletResp
  • scanf接受char类型的字符 dcj3sjt126com c
    /* 2013年3月11日22:35:54 目的:学习char只接受一个字符 */ # include <stdio.h> int main(void) { int i; char ch; scanf("%d", &i); printf("i = %d\n", i); scanf("%
  • 学编程的价值 dcj3sjt126com 编程
    发一个人会编程, 想想以后可以教儿女, 是多么美好的事啊, 不管儿女将来从事什么样的职业, 教一教, 对他思维的开拓大有帮助   像这位朋友学习:   http://blog.sina.com.cn/s/articlelist_2584320772_0_1.html   VirtualGS教程 (By @林泰前): 几十年的老程序员,资深的
  • 二维数组(矩阵)对角线输出 飞天奔月 二维数组
    今天在BBS里面看到这样的面试题目,   1,二维数组(N*N),沿对角线方向,从右上角打印到左下角如N=4: 4*4二维数组  { 1 2 3 4 } { 5 6 7 8 } { 9 10 11 12 } {13 14 15 16 } 打印顺序  4 3 8 2 7 12 1 6 11 16 5 10 15 9 14 13 要
  • Ehcache(08)——可阻塞的Cache——BlockingCache 234390216 并发ehcacheBlockingCache阻塞
    可阻塞的Cache—BlockingCache          在上一节我们提到了显示使用Ehcache锁的问题,其实我们还可以隐式的来使用Ehcache的锁,那就是通过BlockingCache。BlockingCache是Ehcache的一个封装类,可以让我们对Ehcache进行并发操作。其内部的锁机制是使用的net.
  • mysqldiff对数据库间进行差异比较 jackyrong mysqld
      mysqldiff该工具是官方mysql-utilities工具集的一个脚本,可以用来对比不同数据库之间的表结构,或者同个数据库间的表结构    如果在windows下,直接下载mysql-utilities安装就可以了,然后运行后,会跑到命令行下: 1) 基本用法    mysqldiff --server1=admin:12345
  • spring data jpa 方法中可用的关键字 lawrence.li javaspring
    spring data jpa 支持以方法名进行查询/删除/统计。 查询的关键字为find 删除的关键字为delete/remove (>=1.7.x) 统计的关键字为count (>=1.7.x)   修改需要使用@Modifying注解 @Modifying @Query("update User u set u.firstna
  • Spring的ModelAndView类 nicegege spring
    项目中controller的方法跳转的到ModelAndView类,一直很好奇spring怎么实现的? /* * Copyright 2002-2010 the original author or authors. * * Licensed under the Apache License, Version 2.0 (the "License"); * yo
  • 搭建 CentOS 6 服务器(13) - rsync、Amanda rensanning centos
    (一)rsync Server端 # yum install rsync # vi /etc/xinetd.d/rsync service rsync { disable = no flags = IPv6 socket_type = stream wait
  • Learn Nodejs 02 toknowme nodejs
    (1)npm是什么 npm is the package manager for node 官方网站:https://www.npmjs.com/ npm上有很多优秀的nodejs包,来解决常见的一些问题,比如用node-mysql,就可以方便通过nodejs链接到mysql,进行数据库的操作 在开发过程往往会需要用到其他的包,使用npm就可以下载这些包来供程序调用 &nb
  • Spring MVC 拦截器 xp9802 spring mvc
    Controller层的拦截器继承于HandlerInterceptorAdapter HandlerInterceptorAdapter.java  1  public   abstract   class  HandlerInterceptorAdapter  implements  HandlerIntercep
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他