Cnlouds
Cnlouds

What Do WebLogic, WebSphere, JBoss, Jenkins, OpenNMS, and Your Application Have in Common?

What?

The most underrated, underhyped vulnerability of 2015 has recently come to my attention, and I’m about to bring it to yours. No one gave it a fancy name, there were no press releases, nobody called Mandiant to come put out the fires. In fact, even though proof of concept code was released OVER 9 MONTHS AGO, none of the products mentioned in the title of this post have been patched, along with many more. In fact no patch is available for the Java library containing the vulnerability. In addition to any commercial products that are vulnerable, this also affects many custom applications.

In this post I’ll be dropping pre-authentication, remote code execution exploits that leverage this vulnerability for WebLogic, WebSphere, JBoss, Jenkins, and OpenNMS. All on the newest versions. Even more interesting, I’ll detail the process we went through to discover that these products were vulnerable, and how I developed the exploits. This should empower you to go out and find this same bug in your own software or commercial products that you or your clients use. All code can be found on the FoxGlove Security Github.

I’ll also be touching on why this bug is unlikely to go away soon. You can infuriate your developers and ops people by telling them to follow the instructions in “The Fix” section to remediate this in your environment. It will fix it, but it’s an admittedly ugly solution.

This post is going to be long. Because I’m a nice person, I made you an index. Feel free to skip straight to the exploits if you’ve got better things to do than read my rambling:

  1. Background – Unserialize vulnerabilities and why didn’t I hear about this sooner?

  2. The Vulnerability – Light details on the work of @frohoff and @gebl

  3. How Common is Commons? – How to find software that is vulnerable

  4. Exploit Dev for Skiddies – The high level process to using this vulnerability

  5. Exploit 1 – WebSphere Application Server

  6. Exploit 2 – JBoss Application Server

  7. Exploit 3 – Jenkins

  8. Exploit 4 – WebLogic Application Server

  9. Exploit 5 – OpenNMS Through RMI

  10. The Fix – How to Monkey Patch Your Servers

...

文章较长,不复制粘贴了,直接看原文吧

原文:http://foxglovesecurity.com/2015/11/06/what-do-weblogic-websphere-jboss-jenkins-opennms-and-your-application-have-in-common-this-vulnerability/#background

参考文章:http://www.slideshare.net/frohoff1/appseccali-2015-marshalling-pickles


你可能感兴趣的:(jboss,weblogic,Jenkins,rmi,websphere,unserialize,OpenNMS)

  • docker 命令 X1A0RAN docker容器
    镜像#1.查看镜像#列出所有本地镜像:dockerimages#列出详细信息:dockerimages--digests#查看特定镜像的详细信息:dockerinspect#2.拉取镜像#从DockerHub或其他注册中心拉取镜像:#dockerpull:#3.构建镜像#从Dockerfile构建镜像:dockerbuild-t:.#4.删除镜像#删除特定镜像:dockerrmi#强制删除镜像(如
  • Linux离线搭建Jenkins 为你奋斗! 开发环境软件安装servlet测试工具经验分享笔记
    Linux离线搭建Jenkins(centos7)Jenkins简介:Jenkins只是一个平台,真正运作的都是插件。这就是jenkins流行的原因,因为jenkins什么插件都有,Hudson是Jenkins的前身,是基于Java开发的一种持续集成工具,用于监控程序重复的工作,Hudson后来被收购,成为商业版。后来创始人又写了一个jenkins,jenkins在功能上远远超过hudson.下载
  • Zellij 详细教程:一个比 tmux 更友好、强大的终端复用工具 vortex5 工具命令zellijtmuxlinux
    在终端环境中,终端复用器(TerminalMultiplexer)是一种不可或缺的工具。它能够将单一的终端会话分割为多个独立的工作区域,不仅实现“一心多用”,还便于会话管理,确保任务不会因误关闭终端窗口或SSH连接中断而丢失。这种特性对于开发者、系统管理员以及命令行爱好者来说尤为重要。提到终端复用器,许多人首先想到的是经典的tmux,其名称正是“terminalmultiplexer”的缩写。凭借
  • [email protected]: Permission denied (publickey)解决方案(简单粗暴) 自戀自動治姓病 gitgithub
    1.输入ssh-keygen-trsa-C“[email protected]",其中“”中填上在github中的邮箱2.然后一直enter,不用考虑提示3.输入cat~/.ssh/id_rsa.pub,出来的就是SSHKey
  • uniappx 安卓app项目本地打包运行,腾讯地图报错:‘鉴权失败,请检查你的key‘ 夏木。。。 前端uniappx
    根目录下添加AndroidManifest.xml文件,manifest.json文件中添加:"app":{"distribute":{"android":{"permissions":["",""],},"sdkConfigs":{"maps":{"qqmap":{"appkey_android":"腾讯地图key"}}}}},如此操作之后,重新自定义调试基座,运行模拟器,选择自定义基座:运行成
  • 【Python系列PyCharm控制台pip install报错】如何解决pip安装报错ModuleNotFoundError: No module named ‘requests’问题 lyzybbs 全栈Bug解决方案专栏pythonpycharmpip开发语言idesklearnpandas
    【Python系列PyCharm控制台pipinstall报错】如何解决pip安装报错ModuleNotFoundError:Nomodulenamed‘requests’问题摘要在使用PyCharm开发Python项目时,经常需要在控制台(Terminal)或Run窗口里通过pipinstall安装第三方包。但有时会出现诸如ModuleNotFoundError:Nomodulenamed're
  • DAOS的组网(二层无损网络搭建) Flying Fish(HHH) DAOS相关的内容DAOS的组网分布式
    基于盛科E交换机搭建rdma网络配置(不同的交换机的配置操作不一样)一、交换机端配置:1、PFC配置(基于优先级的流量控制机制)配置qos类型的class-mappfc,进行流量分类,匹配dscpcs3#configureterminalEnterconfigurationcommands,oneperline.EndwithCNTL/Z.(config)#class-maptypeqospfc(
  • 【大模型学习 | 量化】pytorch量化基础知识(1) 九年义务漏网鲨鱼 算法学习pytorch人工智能
    pytorch量化[!note]官方定义:performingcomputationsandstoringtensorsatlowerbitwidthsthanfloatingpointprecision.支持INT8量化,可以降低4倍的模型大小以及显存需求,加速2-4倍的推理速度通俗理解:降低权重和激活值的精度(FP32→INT8),从而提高模型大小以及显存需求。一、前置知识1.1算子融合将多个
  • Java云原生性能测试的3大必杀技:JMeter、Jenkins、Docker,选哪个才是王道? 墨瑾轩 Java乐园java云原生jmeter
    关注墨瑾轩,带你探索编程的奥秘!超萌技术攻略,轻松晋级编程高手技术宝库已备好,就等你来挖掘订阅墨瑾轩,智趣学习不孤单即刻启航,编程之旅更有趣**三大必杀技——从"手忙脚乱"到"全自动"的完整攻略**必杀技一:JMeter——"性能体检师"的精准诊断问题:想模拟高并发场景,但手动测试太慢?解决方案:原理:通过ApacheJMeter设计测试计划,像"医疗扫描仪"一样模拟用户行为,测量响应时间、吞吐量
  • VSCode 拉取/推送github出现Git:[email protected]:Permission denied(publickey)解决方案 本地测过没问题啊 githubgitvscode
    弹窗提示:原因:Github没有添加本地公钥(publickey),要将本地的公钥添加至github内,就可以拉取/推送了。解决方法:1、查看本地是否有SSH密钥:cd~/.ssh,找不到即没有。2、生成SSH密钥:ssh-keygen-trsa-C“youremail”3、进入本地/C:\Users\11937\.ssh文件夹下面将id_rsa.pub文件里面的内容拷贝出来4、将id_rsa.p
  • AutoGen 终止控制双机制深度解析:InterventionHandler 与 TerminationCondition 的对比与实践 佑瞻 AutoGenAutoGen
    在智能体系统开发过程中,终止控制机制的设计往往决定了系统的稳定性与安全性。当我们在AutoGen框架下构建复杂智能体应用时,常常会遇到两类终止需求:一类是针对具体对话或任务的细粒度终止控制,另一类是面向整个运行时环境的全局终止管理。AutoGen提供的InterventionHandler干预处理程序和TerminationCondition终止条件恰好对应这两种需求场景,但这两种机制的设计理念与
  • Jenkins执行svn update报错
    在JenkinsPipeline脚本里面,执行sh:svnupdate报错信息:locale:CannotsetLC_CTYPEtodefaultlocale:Nosuchfileordirectorylocale:CannotsetLC_MESSAGEStodefaultlocale:Nosuchfileordirectorylocale:CannotsetLC_ALLtodefaultloca
  • 解决Jenkins报错 修炼果 11-CICDjenkins运维
    解决Jenkins报错1linux空间不够问题1.1报错现象1.2定位问题1.3解决措施2bash问题2.1问题现象2.2问题定位2.3解决措施3虚拟环境问题3.1问题现象3.2问题定位3.3解决措施4jenkins构建完成但一直转圈问题4.1问题现象4.2问题定位4.3解决措施5jenkins自动化部署,自动杀掉刚启动的服务5.1问题现象5.2问题原因5.3解决措施1linux空间不够问题1.1
  • Jenkins JNLP与SSH节点连接方式对比及连接断开问题解决方案 tianyuanwo devopsjenkinsssh运维
    一、JNLPvsSSH连接方式优缺点对比对比维度JNLP(JavaWebStart)SSH(SecureShell)核心原理代理节点主动连接Jenkins主节点,通过加密通道通信,支持动态资源分配。Jenkins通过SSH协议远程登录代理节点执行命令,需预先配置SSH服务。适用场景容器化环境(如Kubernetes)、需要跨平台或动态扩缩容的场景。传统物理机/虚拟机、静态节点或简单命令执行场景。安
  • ci | cd hxdcxy ci/cd
    ci|cd相当于开发人员和运维人员共同完成的东西ci:Jenkinscd:k8sci:持续集成开发人员写出的代码提交到共享仓库比如说Git自动触发代码检查测试好处:很快的发现bug代码不用堆积cd:持续交付:代码测试没问题后自动打包成可以发布的版本需要手动试用持续部署:更进一步,全面部署到生产环境cicd过程:比如说开发一个网站的时候写完登录功能代码然后自动跑测试没问题后打包代码成可以发布的版本经
  • 若依vue版前端白名单处理 鱼见千寻 vue.js前端javascript
    需求如下:需要直接访问系统某个界面并且不需要登录找到permission.js文件NProgress.configure({showSpinner:false});constwhiteList=['/login','/register'];router.beforeEach((to,from,next)=>{NProgress.start()在这个whiteList添加界面的url就可以直接访问并
  • 【bug】searchxng搜索报错Searx API returned an error upp bugsearxng
    在使用开源搜索引擎时候报错:ValueError:('SearxAPIreturnedanerror:','\n\n403Forbidden\nForbidden\nYoudon'thavethepermissiontoaccesstherequestedresource.Itiseitherread-protectedornotreadablebytheserver.\n')只需要将searxn
  • vue3+ts 解决el-form表单项不能双向绑定 知乎er vue.jselementui前端javascriptecmascript
    1、要注意的点Element-plus使用el-form必须配置ref和model属性,二者的值不能相同(在ElementUI中是可以相同的)。ref的值在声明的时候要引入FormInstance登录后复制1.//ts---importtype{FormInstance}from"element-plus";constformRef=ref()1.2.3.4.5.el-form的ref和model
  • Deepin Linux如何安装Terminus终端教程 yong9990 linux运维服务器
    在DeepinLinux上安装Terminus终端可以通过以下步骤完成:下载Terminus安装包:访问Terminus的官方网站(https://github.com/Eugeny/terminus/releases)或其他可靠资源,下载适用于Linux的Terminus安装包。选择适合你系统架构的版本,通常是amd64(64位)。安装依赖:在安装Terminus之前,确保你的系统已经安装了必要
  • Jenkins CLI 使用方法介绍 lswzw jenkinsservlet运维
    JenkinsCLI使用方法介绍Jenkins内置了命令行界面(CLI),允许用户从脚本或shell环境访问Jenkins,从而方便地执行日常任务、批量操作和故障排除。运维人员可以通过SSH方式或HTTP方式(下载jenkins-cli.jar客户端)调用CLI。SSH模式使用标准SSH登录,例如:ssh-lUSER-pPORTJENKINS_HOSTcommand;而HTTP模式则通过下载Jen
  • 火狐浏览器驱动下载 品尚公益团队 pythonpython
    【Chromedrive下载】历史版本下载地址:DirectoryListing:/pub/firefox/releases/版本可参照SeleniumChrome版本与chromedriver兼容版本对照表下载地址各版本下载地址geckodriver下载地址旧版本淘宝npm镜像geckodriverMirroriedriver下载地址http://selenium-release.storage
  • web自动化测试整个流程,和相互关系??
    Web自动化测试全流程解析1.标准Web自动化测试流程需求分析选择工具/框架环境搭建编写测试脚本执行测试生成报告缺陷管理维护优化关键阶段说明:需求分析:确定哪些功能需要自动化(优先选择高频、核心业务)环境搭建:安装浏览器驱动(ChromeDriver)、配置Python+Selenium环境脚本开发:使用PageObject模式(推荐)编写可维护的代码持续集成:通过Jenkins/GitLabCI
  • 鸿蒙仓颉输入法开发实战:传统智慧与现代技术的碰撞 码农小峰峰 harmonyos华为开发引擎
    在鸿蒙应用开发中,集成高效的输入法引擎是提升用户体验的关键。今天,我将分享如何基于HarmonyOS的输入法框架,快速实现仓颉输入法功能。仓颉输入法以其独特的字形编码逻辑著称,尤其适合中文快速输入。核心实现主要分为三步:1.权限说明在module.json5中添加输入法权限"requestPermissions":[{"name":"ohos.permission.INPUT_METHOD"}]2
  • 46道Jenkins高频题整理(附答案背诵版) 编程大全 面试题JenkinsJenkins面试题
    简述什么是Jenkins?Jenkins是一个开源的、提供友好操作界面的持续集成(CI)工具,主要用于持续、自动地构建/测试软件项目、监控外部任务的运行。Jenkins用Java语言编写,可在Tomcat等流行的servlet容器中运行,也可独立运行。它旨在提供一个开放易用的软件平台,使软件的持续集成成为可能。Jenkins可以与版本管理工具(SCM)、构建工具结合使用,如SVN、GIT、Mave
  • Spark 之 QueryPlan zhixingheyi_tian sparkspark大数据分布式
    sameResultsrc/main/scala/org/apache/spark/sql/catalyst/plans/QueryPlan.scala/***Returnstruewhenthegivenqueryplanwillreturnthesameresultsasthisqueryplan.**Sinceitslikelyundecidabletogenerallydeterminei
  • | 和 || 在实际开发中的使用方法 leo__520 javascript前端开发语言
    一、基本使用方法按位或运算符(|)常用于二进制位操作,如权限控制、状态合并等场景。//权限控制示例constREAD=1;//二进制:0001constWRITE=2;//二进制:0010constDELETE=4;//二进制:0100//组合权限letuserPermission=READ|WRITE;//0011=3//检查权限if(userPermission&READ){console.l
  • npm 安装axios报错! Jet_closer vuevue.jsjavascript
    在安装axios的时候,运行然后报一大堆错,比如errorin./node_modules/axios/index.jsModulebuildfailed:Error:ENOENT:nosuchfileordirectory,open'src/'或者这种UncaughtError:Modulebuildfailed:Error:EPERM:operationnotpermitted,open'\n
  • Jenkins安装与配置全攻略:从入门到高级功能实战 ivwdcwso 运维与云原生jenkins运维CI/CDDevOps持续集成容器云原生
    在DevOps实践中,Jenkins作为最流行的持续集成工具之一,扮演着至关重要的角色。本文将全面介绍Jenkins的安装、配置及高级功能使用,帮助开发、运维和测试团队快速搭建高效的CI/CD流水线。一、Jenkins安装1.1环境准备Jenkins官网:https://jenkins.io注意:Jenkins2.346版本之后不再支持JDK8,需要使用JDK11或更高版本。1.2卸载旧版本Jen
  • windows配置Jenkins自动化定时任务+测试报告发送
    一、Jenkins的安装步骤JDK安装没有JDK的先安装JDKhttps://adoptium.net/zh-CN/temurin/releases/?os=any&arch=any&version=21下载Jenkins由于JDK1.8仅适配Jenkins2.357之前的版本(如2.346.1及以下),需从旧版本渠道下载:Filehorse网站:访问https://www.filehorse.c
  • Linux学习总结(81)—— Linux 权限详解 一杯甜酒 Linuxlinux运维Linux权限linux文件系统linux文件权限
    前言我们在使用Linux的过程中,或多或少都会遇到一些关于使用者和群组的问题,比如最常见的你想要在某个路径下执行某个指令,会经常出现这个错误提示。permissiondenied。反正我大概率见到这个错误都是在使用FTP传输文件的时候,等了半天传输百分比还是零,我说网络这么慢么?怎么都不传输呢?其实我不知道,这是由于权限问题所致。我一般的修复方式是直接赋予777权限,或者直接使用su管理员登录,遇
  • 深入浅出Java Annotation(元注解和自定义注解) Josh_Persistence Java Annotation元注解自定义注解
    一、基本概述        Annontation是Java5开始引入的新特征。中文名称一般叫注解。它提供了一种安全的类似注释的机制,用来将任何的信息或元数据(metadata)与程序元素(类、方法、成员变量等)进行关联。     更通俗的意思是为程序的元素(类、方法、成员变量)加上更直观更明了的说明,这些说明信息是与程序的业务逻辑无关,并且是供指定的工具或
  • mysql优化特定类型的查询 annan211 java工作mysql
    本节所介绍的查询优化的技巧都是和特定版本相关的,所以对于未来mysql的版本未必适用。 1 优化count查询 对于count这个函数的网上的大部分资料都是错误的或者是理解的都是一知半解的。在做优化之前我们先来看看 真正的count()函数的作用到底是什么。 count()是一个特殊的函数,有两种非常不同的作用,他可以统计某个列值的数量,也可以统计行数。 在统
  • MAC下安装多版本JDK和切换几种方式 棋子chessman jdk
    环境: MAC AIR,OS X 10.10,64位   历史: 过去 Mac 上的 Java 都是由 Apple 自己提供,只支持到 Java 6,并且OS X 10.7 开始系统并不自带(而是可选安装)(原自带的是1.6)。 后来 Apple 加入 OpenJDK 继续支持 Java 6,而 Java 7 将由 Oracle 负责提供。   在终端中输入jav
  • javaScript (1) Array_06 JavaScriptjava浏览器
    JavaScript 1、运算符   运算符就是完成操作的一系列符号,它有七类:   赋值运算符(=,+=,-=,*=,/=,%=,<<=,>>=,|=,&=)、算术运算符(+,-,*,/,++,--,%)、比较运算符(>,<,<=,>=,==,===,!=,!==)、逻辑运算符(||,&&,!)、条件运算(?:)、位
  • 国内顶级代码分享网站 袁潇含 javajdkoracle.netPHP
           现在国内很多开源网站感觉都是为了利益而做的                  当然利益是肯定的,否则谁也不会免费的去做网站      &
  • Elasticsearch、MongoDB和Hadoop比较 随意而生 mongodbhadoop搜索引擎
      IT界在过去几年中出现了一个有趣的现象。很多新的技术出现并立即拥抱了“大数据”。稍微老一点的技术也会将大数据添进自己的特性,避免落大部队太远,我们看到了不同技术之间的边际的模糊化。假如你有诸如Elasticsearch或者Solr这样的搜索引擎,它们存储着JSON文档,MongoDB存着JSON文档,或者一堆JSON文档存放在一个Hadoop集群的HDFS中。你可以使用这三种配
  • mac os 系统科研软件总结 张亚雄 mac os
    1.1 Microsoft Office for Mac 2011      大客户版,自行搜索。      1.2 Latex (MacTex):      系统环境:https://tug.org/mactex/     &nb
  • Maven实战(四)生命周期 AdyZhang maven
    1. 三套生命周期     Maven拥有三套相互独立的生命周期,它们分别为clean,default和site。 每个生命周期包含一些阶段,这些阶段是有顺序的,并且后面的阶段依赖于前面的阶段,用户和Maven最直接的交互方式就是调用这些生命周期阶段。 以clean生命周期为例,它包含的阶段有pre-clean, clean 和 post
  • Linux下Jenkins迁移 aijuans Jenkins
    1. 将Jenkins程序目录copy过去      源程序在/export/data/tomcatRoot/ofctest-jenkins.jd.com下面            tar -cvzf jenkins.tar.gz ofctest-jenkins.jd.com &
  • request.getInputStream()只能获取一次的问题 ayaoxinchao requestInputstream
    问题:在使用HTTP协议实现应用间接口通信时,服务端读取客户端请求过来的数据,会用到request.getInputStream(),第一次读取的时候可以读取到数据,但是接下来的读取操作都读取不到数据   原因: 1. 一个InputStream对象在被读取完成后,将无法被再次读取,始终返回-1; 2. InputStream并没有实现reset方法(可以重
  • 数据库SQL优化大总结之 百万级数据库优化方案 BigBird2012 SQL优化
    网上关于SQL优化的教程很多,但是比较杂乱。近日有空整理了一下,写出来跟大家分享一下,其中有错误和不足的地方,还请大家纠正补充。 这篇文章我花费了大量的时间查找资料、修改、排版,希望大家阅读之后,感觉好的话推荐给更多的人,让更多的人看到、纠正以及补充。 1.对查询进行优化,要尽量避免全表扫描,首先应考虑在 where 及 order by 涉及的列上建立索引。 2.应尽量避免在 where
  • jsonObject的使用 bijian1013 javajson
            在项目中难免会用java处理json格式的数据,因此封装了一个JSONUtil工具类。 JSONUtil.java package com.bijian.json.study; import java.util.ArrayList; import java.util.Date; import java.util.HashMap;
  • [Zookeeper学习笔记之六]Zookeeper源代码分析之Zookeeper.WatchRegistration bit1129 zookeeper
    Zookeeper类是Zookeeper提供给用户访问Zookeeper service的主要API,它包含了如下几个内部类     首先分析它的内部类,从WatchRegistration开始,为指定的znode path注册一个Watcher,   /** * Register a watcher for a particular p
  • 【Scala十三】Scala核心七:部分应用函数 bit1129 scala
    何为部分应用函数? Partially applied function: A function that’s used in an expression and that misses some of its arguments.For instance, if function f has type Int => Int => Int, then f and f(1) are p
  • Tomcat Error listenerStart 终极大法 ronin47 tomcat
    Tomcat报的错太含糊了,什么错都没报出来,只提示了Error listenerStart。为了调试,我们要获得更详细的日志。可以在WEB-INF/classes目录下新建一个文件叫logging.properties,内容如下 Java代码  handlers = org.apache.juli.FileHandler, java.util.logging.ConsoleHa
  • 不用加减符号实现加减法 BrokenDreams 实现
            今天有群友发了一个问题,要求不用加减符号(包括负号)来实现加减法。         分析一下,先看最简单的情况,假设1+1,按二进制算的话结果是10,可以看到从右往左的第一位变为0,第二位由于进位变为1。    
  • 读《研磨设计模式》-代码笔记-状态模式-State bylijinnan java设计模式
    声明: 本文只为方便我个人查阅和理解,详细的分析以及源代码请移步 原作者的博客http://chjavach.iteye.com/ /* 当一个对象的内在状态改变时允许改变其行为,这个对象看起来像是改变了其类 状态模式主要解决的是当控制一个对象状态的条件表达式过于复杂时的情况 把状态的判断逻辑转移到表示不同状态的一系列类中,可以把复杂的判断逻辑简化 如果在
  • CUDA程序block和thread超出硬件允许值时的异常 cherishLC CUDA
    调用CUDA的核函数时指定block 和 thread大小,该大小可以是dim3类型的(三维数组),只用一维时可以是usigned int型的。 以下程序验证了当block或thread大小超出硬件允许值时会产生异常!!!GPU根本不会执行运算!!! 所以验证结果的正确性很重要!!! 在VS中创建CUDA项目会有一个模板,里面有更详细的状态验证。 以下程序在K5000GPU上跑的。
  • 诡异的超长时间GC问题定位 chenchao051 jvmcmsGChbaseswap
    HBase的GC策略采用PawNew+CMS, 这是大众化的配置,ParNew经常会出现停顿时间特别长的情况,有时候甚至长到令人发指的地步,例如请看如下日志: 2012-10-17T05:54:54.293+0800: 739594.224: [GC 739606.508: [ParNew: 996800K->110720K(996800K), 178.8826900 secs] 3700
  • maven环境快速搭建 daizj 安装mavne环境配置
    一 下载maven 安装maven之前,要先安装jdk及配置JAVA_HOME环境变量。这个安装和配置java环境不用多说。 maven下载地址:http://maven.apache.org/download.html,目前最新的是这个apache-maven-3.2.5-bin.zip,然后解压在任意位置,最好地址中不要带中文字符,这个做java 的都知道,地址中出现中文会出现很多
  • PHP网站安全,避免PHP网站受到攻击的方法 dcj3sjt126com PHP
    对于PHP网站安全主要存在这样几种攻击方式:1、命令注入(Command Injection)2、eval注入(Eval Injection)3、客户端脚本攻击(Script Insertion)4、跨网站脚本攻击(Cross Site Scripting, XSS)5、SQL注入攻击(SQL injection)6、跨网站请求伪造攻击(Cross Site Request Forgerie
  • yii中给CGridView设置默认的排序根据时间倒序的方法 dcj3sjt126com GridView
    public function searchWithRelated() {         $criteria = new CDbCriteria;         $criteria->together = true; //without th
  • Java集合对象和数组对象的转换 dyy_gusi java集合
        在开发中,我们经常需要将集合对象(List,Set)转换为数组对象,或者将数组对象转换为集合对象。Java提供了相互转换的工具,但是我们使用的时候需要注意,不能乱用滥用。 1、数组对象转换为集合对象     最暴力的方式是new一个集合对象,然后遍历数组,依次将数组中的元素放入到新的集合中,但是这样做显然过
  • nginx同一主机部署多个应用 geeksun nginx
    近日有一需求,需要在一台主机上用nginx部署2个php应用,分别是wordpress和wiki,探索了半天,终于部署好了,下面把过程记录下来。 1.   在nginx下创建vhosts目录,用以放置vhost文件。 mkdir vhosts   2.   修改nginx.conf的配置, 在http节点增加下面内容设置,用来包含vhosts里的配置文件 #
  • ubuntu添加admin权限的用户账号 hongtoushizi ubuntuuseradd
    ubuntu创建账号的方式通常用到两种:useradd 和adduser . 本人尝试了useradd方法,步骤如下: 1:useradd    使用useradd时,如果后面不加任何参数的话,如:sudo useradd sysadm 创建出来的用户将是默认的三无用户:无home directory ,无密码,无系统shell。 顾应该如下操作:  
  • 第五章 常用Lua开发库2-JSON库、编码转换、字符串处理 jinnianshilongnian nginxlua
      JSON库   在进行数据传输时JSON格式目前应用广泛,因此从Lua对象与JSON字符串之间相互转换是一个非常常见的功能;目前Lua也有几个JSON库,本人用过cjson、dkjson。其中cjson的语法严格(比如unicode \u0020\u7eaf),要求符合规范否则会解析失败(如\u002),而dkjson相对宽松,当然也可以通过修改cjson的源码来完成
  • Spring定时器配置的两种实现方式OpenSymphony Quartz和java Timer详解 yaerfeng1989 timerquartz定时器
    原创整理不易,转载请注明出处:Spring定时器配置的两种实现方式OpenSymphony Quartz和java Timer详解 代码下载地址:http://www.zuidaima.com/share/1772648445103104.htm 有两种流行Spring定时器配置:Java的Timer类和OpenSymphony的Quartz。 1.Java Timer定时 首先继承jav
  • Linux下df与du两个命令的差别? pda158 linux
     一、df显示文件系统的使用情况,与du比較,就是更全盘化。   最经常使用的就是 df -T,显示文件系统的使用情况并显示文件系统的类型。   举比例如以下:   [root@localhost ~]# df -T   Filesystem                   Type &n
  • [转]SQLite的工具类 ---- 通过反射把Cursor封装到VO对象 ctfzh VOandroidsqlite反射Cursor
    在写DAO层时,觉得从Cursor里一个一个的取出字段值再装到VO(值对象)里太麻烦了,就写了一个工具类,用到了反射,可以把查询记录的值装到对应的VO里,也可以生成该VO的List。   使用时需要注意: 考虑到Android的性能问题,VO没有使用Setter和Getter,而是直接用public的属性。 表中的字段名需要和VO的属性名一样,要是不一样就得在查询的SQL中
  • 该学习笔记用到的Employee表 vipbooks oraclesql工作
        这是我在学习Oracle是用到的Employee表,在该笔记中用到的就是这张表,大家可以用它来学习和练习。 drop table Employee; -- 员工信息表 create table Employee( -- 员工编号 EmpNo number(3) primary key, -- 姓
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他