- 博客(245)
- 资源 (10)
- 问答 (1)
- 收藏
- 关注
RSS订阅原创 Download gradle Cause: connect timed out
distributionUrl=https\://mirrors.cloud.tencent.com/gradle/gradle-5.4.1-all.zip
2024-11-28 18:05:18
144
原创 【无标题】
AB哥弄了个YoloV7,我觉得有必要跟进看看,它的concat结构还是第一次见,感觉有点意思。YoloV7所使用的主干特征提取网络具有两个重要特点:1、使用了多分支堆叠模块,这个模块其实论文里没有命名,但是我在分析源码后认为这个名字非常合适,在本博文中,多分支堆叠模块如图所示。看了这幅图大家应该明白为什么我把这个模块称为多分支堆叠模块,因为在该模块中,最终堆叠模块的输入包含多个分支,
2024-09-14 09:20:57
643
原创 别误导了!sun.security.validator.ValidatorException: PKIX path building failed的处理方法
别误导了!sun.security.validator.ValidatorException: PKIX path building failed的处理方法
2024-07-26 18:29:01
812
原创 开发安全之:Header Manipulation
假设在请求中提交了一个由标准字母数字字符组成的字符串,如“index.html”,则包含该 Cookie 的 HTTP 响应可能表现为以下形式: HTTP/1.1 200 OK ... location: index.html ... 然而,因为该位置的值由未经验证的用户输入组成,所以仅当提交给 some_location 的值不包含任何 CR 和 LF 字符时,响应才会保留这种形式。应用程序可能通过共享的数据存储器或其他可信赖的数据源接受输入,而该数据存储器所接受的输入源可能并未执行适当的输入验证。
2024-01-31 17:16:18
1665
原创 安全漏洞大集合
线程阻塞、假死,出现服务器资源耗尽。、能获取用户身份信息的存储型。、伪造任意号码发送消息、任意账号。、涉及企业敏感信息的员工邮箱弱口。、可获取大量用户交易信息的接口,、应用加密可逆或明文的敏感信息泄。、可获取敏感信息或者执行敏感操作。、远程拒绝服务漏洞(可直接导致服。、程序逻辑错误(少量请求导致服务。(解析文件格式、网络协议产生的崩。、普通的设计缺陷或流程缺陷,比如。、用户登录、密码管理、支付安全、、没有实际意义的自动化扫描器报告。、无法证明漏洞是否存在或者危害,、密码和账户策略,如重置密码链接。
2024-01-30 16:32:11
403
原创 备份数据提示Allowed memory size of 134217728 bytes exhausted的修复方法
PHP中,对于memory_limit配置中的定义解释是: memory_limit = 128M;也就是一个web请求,给予线程最大的内存使用量的定义。如果通过上面的方式修改后还会报这个错误,那你要检查一下你写的代码是否存在效率问题。(举例:从数据库查询到的数据加载到内存里面,然后php 进行数据处理,如果代码写的不是很严谨存在效率问题,特别是数据量非常大的时候也会导致内存耗尽)内存已耗尽,这关系到PHP的memory_limit的设置问题,根据自己的需要及参考本机的内存大小修改php内存限制。
2024-01-27 11:19:10
1929
原创 开发安全之:Dynamic Code Evaluation: Insecure Transport
考虑以下 script 标签: 如果攻击者正在监听用户和服务器之间的网络流量,则攻击者可以通过模仿或操纵来自 www.example.com 内容来加载自己的 JavaScript。通过未加密的通道可能包含来自网站的可执行内容,这使攻击者能够执行中间人 (MiTM) 攻击。控制网页加载的代码,如果代码来自单独的域,请确保始终通过安全连接加载代码。通过未加密的通道加载脚本。
2024-01-22 09:40:21
1083
1
原创 开发安全之Dangerous File Inclusion
这种能力经常用于赋予应用程序标准外观(应用模板),因而,人们可以共享各种功能而不需要借助编译的代码,或将代码分解成较小的更好管理的文件。在低于 PHP 4.2.0 的版本中,PHP 的安装包附带了默认启用的 register_globals,从而使攻击者很容易重写内部服务器的各种变量。通过将以下行包含在 php.ini 文件中来禁用 register_globals 选项: register_globals = 'off' 不要允许未验证的用户输入控制动态包含指令中使用的路径。
2024-01-22 09:37:07
695
原创 Java开发安全之:Unreleased Resource: Streams需确保流得到释放
为了使对象的 finalize() 方法能被调用,垃圾收集器必须确认对象符合垃圾回收的条件。垃圾收集器最终运行时,可能出现这样的情况,即在短时间内回收大量的资源,这种情况会导致“突发”性能,并降低总体系统通过量。最后,如果某一资源回收操作被挂起(例如该操作需要通过网络访问数据库),那么执行 finalize() 方法的线程也将被挂起。FileInputStream 中的 finalize() 方法最终会调用 close(),但是不能确定何时会调用 finalize() 方法。- 错误状况及其他异常情况。
2024-01-20 09:57:14
1062
原创 java开发安全之:Portability Flaw: File Separator
例如,Microsoft Windows 系统使用“\”,而 UNIX 系统则使用“/”。应用程序需要在不同的平台上运行时,使用硬编码文件分隔符会导致应用程序逻辑执行错误,并有可能导致 denial of service。以下代码实现的功能与Example 1 相同,但会使用独立于平台的 API 来指定文件分隔符: ...调用第 127 行的 File() 可能会导致可移植性问题,因为它使用硬编码文件分隔符。为编写可移植代码,不应使用硬编码文件分隔符,而应使用语言库提供的独立于平台的 API。
2024-01-20 09:53:04
756
原创 java开发安全之:Password Management: Hardcoded Password
WebSphere 以及其他一些应用服务器通常都只提供过期的且相对较弱的加密机制,这对于对安全性要求较高的环境来说是远远不够的。因此,凭证可以存储在加密的数据库中。在系统中的任何位置采用明文的形式存储密码,会造成任何有足够权限的人均可读取和无意中误用密码。更糟的是,如果攻击者能够访问应用程序的字节代码,那么他们就可以利用 javap -c 命令访问已经过反汇编的代码,而这些代码中恰恰包含用户使用过的密码值。... 与Example 1 类似,该代码可以正常运行,但是有权访问此代码的任何人都可以获得此密码。
2024-01-20 09:49:52
1986
原创 开发安全之:Cross-Site Scripting: Poor Validation
然而,这种解决方法在 Web 应用程序中通常是行不通的,因为许多字符对浏览器来说都具有特殊的含义,编码时这些字符必须被视为合法输入,例如,一个 Web 设计电子公告栏就必须接受其用户提供的 HTML 片段。针对 XSS 漏洞进行验证最安全的方式是,创建一份安全字符允许列表,允许其中的字符出现在 HTTP 内容中,并且只接受完全由这些经认可的字符组成的输入。由于 XSS 漏洞在应用程序的输出中包含恶意数据时出现,因此,合乎逻辑的方法是在数据流出应用程序的前一刻对其进行验证。
2024-01-20 09:41:57
1760
原创 开发安全之:Server-Side Request Forgery
例如,控制 URI 方案将使攻击者可以使用不同于 http 或 https 的协议,类似于下面这样: - up:// - ldap:// - jar:// - gopher:// - mailto:// - ssh2:// - telnet:// - expect:// 攻击者将可以利用劫持的此网络连接执行下列攻击: - 对内联网资源进行端口扫描。因此,在这种情况下,程序员通常会采用执行拒绝列表的办法。更好的方法是创建一个字符列表,允许其中的字符出现在资源名称中,且只接受完全由这些被认可的字符组成的输入。
2024-01-20 09:35:13
985
原创 开发安全之:System Information Leak: External
在Example 1 中,泄露的信息可能会暗示有关操作系统类型、系统上安装了哪些应用程序以及管理员在配置程序时采取了哪些保护措施的信息。依据这一系统配置,该信息可转储到控制台,写入日志文件,或者显示给远程用户。例如,凭借脚本机制,可以轻松将输出信息从“标准错误”或“标准输出”重定向至文件或其他程序。或者,运行程序的系统可能具有将日志发送至远程设备的远程日志记录系统,例如“syslog”服务器。调试踪迹有时可能出现在不明显的位置(例如,嵌入在错误页 HTML 的注释中)。编写错误消息时,始终要牢记安全性。
2024-01-20 09:32:40
1201
原创 开发安全之:Server-Side Request Forgery
如果需要提供用户数据来构建目的地 URI,请采用间接方法:例如创建一份合法资源名的列表,并且规定用户只能选择其中的文件名。但在某些情况下,这种方法并不可行,因为这样一份合法资源名的列表过于庞大,维护难度过大。但是,任何这样一个列表都不可能是完整的,而且将随着时间的推移而过时。更好的方法是创建一个字符列表,允许其中的字符出现在资源名称中,且只接受完全由这些被认可的字符组成的输入。网络连接源自于应用程序服务器内部 IP 地址,因此攻击者将可以使用此连接来避开网络控制,并扫描或攻击没有以其他方式暴露的内部资源。
2024-01-20 09:28:47
947
原创 开发安全之:Password Management: Password in HTML Form
对 HTML 表单中的密码字段进行填充会让任何人都能在 HTML 源中看到它们的值。此外,存储在密码字段中的敏感信息可能会被代理或浏览器缓存。在 HTML 表单中,请不要设置敏感输入的 value 属性。<input type="password" />对 HTML 表单中的密码字段进行填充可能会危及系统安全。请不要填充密码类型的表单字段。
2024-01-20 09:02:20
610
原创 开发安全之:XML Injection
XML injection 更为严重的情况下,攻击者可以添加 XML 元素,更改身份验证凭据或修改 XML 电子商务数据库中的价格。XML Injection 之所以不同于 XML External Entity (XXE) Injection,是因为攻击者通常会控制插入到 XML 文档中部或末尾的输入。如果攻击者控制了已解析 XML 文档的前部或全部内容,则可能会发生这种攻击的一种更严重的形式,称为 XML External Entity (XXE) Injection。在这种情况下,XML 将传递到。
2024-01-20 08:58:02
1769
原创 开发安全之:System Information Leak: External
在编码的过程中,尽量避免使用繁复的消息,提倡使用简短的错误消息。调试踪迹有时可能出现在不明显的位置(例如,嵌入在错误页 HTML 的注释中)。其他错误消息可以揭示有关该系统的更多间接线索。在Example 1 中,泄露的信息可能会暗示有关操作系统类型、系统上安装了哪些应用程序以及管理员在配置程序时采取了哪些保护措施的信息。例如,凭借脚本机制,可以轻松将输出信息从“标准错误”或“标准输出”重定向至文件或其他程序。或者,运行程序的系统可能具有将日志发送至远程设备的远程日志记录系统,例如“syslog”服务器。
2024-01-20 08:55:18
1230
原创 开发安全之:Password Management: Hardcoded Password
使用硬编码方式处理密码绝非好方法。这不仅是因为所有项目开发人员都可以使用通过硬编码方式处理的密码,而且还会使解决这一问题变得极其困难。在代码投入使用之后,除非对软件进行修补,否则将无法更改密码。在系统中采用明文的形式存储密码,会造成任何有充分权限的人读取和无意中误用密码。较为安全的解决方法来是采用由用户创建的所有者机制,而这似乎也是如今唯一可行的方法。该代码可以正常运行,但是有权访问该代码的任何人都能得到这个密码。一旦程序发布,除非修补该程序,否则可能无法更改数据库用户“scott”和密码“tiger”。
2024-01-19 16:57:17
744
原创 开发安全之:Open Redirect
dest=%77%69%6C%79%68%61%63%6B%65%72%2E%63%6F%6D" 那么,即使再聪明的最终用户也可能会被欺骗,打开该链接。当 Web 应用程序将客户端重定向到攻击者可以控制的任意 URL 时,就会发生 Open redirect 漏洞: 攻击者可能利用 Open Redirect 漏洞诱骗用户访问某个可信赖的站点的 URL,然后将他们重定向到恶意站点。这种情况下,有一种类似的方法也能限制用于重定向用户的域,这种方法至少可以防止攻击者向用户发送恶意的外部站点。
2024-01-19 16:55:37
774
原创 开发安全之:Often Misused: File Upload
如果允许攻击者向某个可通过 Web 访问的目录上传文件,并能够将这些文件传递给代码解释器(如 JSP/ASPX/PHP),他们就能促使这些文件中包含的恶意代码在服务器上执行。如果程序容易出现 path manipulation、command injection 或危险的 file inclusion 漏洞,那么攻击者就可能上传带恶意内容的文件,并利用另一种漏洞促使程序读取或执行该文件。如果程序必须允许文件上传,则应当只接受程序需要的特定类型的内容,从而阻止攻击者提供恶意内容。
2024-01-19 16:52:32
1419
原创 开发安全之:Log Forging
根据应用程序自身的特性,审阅日志文件可在必要时手动执行,也可以自动执行,即利用工具自动挑选日志中的重要事件或带有某种倾向性的信息。最理想的情况是,攻击者可能通过向应用程序提供包括适当字符的输入,在日志文件中插入错误的条目。更阴险的攻击可能会导致日志文件中的统计信息发生偏差。更好的方法是创建一个字符列表,允许其中的字符出现在日志条目中,并且只接受完全由这些经认可的字符组成的输入。在大多数 Log Forging 攻击中,最关键的字符是“\n”换行符,这样的字符决不能出现在日志条目允许列表中。
2024-01-19 16:19:18
1394
原创 开发安全之:Key Management: Hardcoded Encryption Key
请勿对加密密钥进行硬编码,因为这样会使所有项目开发人员都能查看该加密密钥,并且还会使解决这一问题变得极其困难。如果受加密密钥保护的帐户遭受入侵,组织将必须在安全性和可用性之间做出选择。应用程序一经发布,除非对程序进行修补,否则将无法更改加密密钥。永远不要将加密密钥签入您的源代码控制系统,也不要对它们进行硬编码。始终在外部源中混淆和管理加密密钥。在系统中的任意位置采用明文形式存储加密密钥会使拥有足够权限的任何人都能够读取并可能误用该加密密钥。硬编码加密密钥可能会削弱安全性,一旦出现安全问题将无法轻易修正。
2024-01-19 16:17:15
1107
原创 开发安全之:file_get_contents()漏洞利用
但在某些情况下,这种方法并不可行,因为这样一份合法资源名的列表过于庞大,维护难度过大。但是,任何这样一个列表都不可能是完整的,而且将随着时间的推移而过时。如果程序以足够的权限运行,且恶意用户能够篡改配置文件,那么他们可以通过程序读取系统中以扩展名 .txt 结尾的任何文件。例如,在某一程序中,攻击者可以获得特定的权限,以重写指定的文件或是在其控制的配置环境下运行程序。2. 攻击者可以通过指定特定资源来获取某种权限,而这种权限在一般情况下是不可能获得的。1.攻击者能够指定某一文件系统操作中所使用的路径。
2024-01-18 09:34:49
1735
原创 开发安全之:SQL Injection
当构造一个 SQL 查询时,程序员应当清楚,哪些输入的数据将会成为命令的一部分,而哪些仅仅是作为数据。参数化 SQL 指令是用常规的 SQL 字符串构造的,但是当需要加入用户输入的数据时,它们就需要使用捆绑参数,这些捆绑参数是一些占位符,用来存放随后插入的数据。例如,攻击者可以: — 把没有被黑名单引用的值作为目标 - 寻找方法以绕过某些需要转义的元字符 - 使用存储过程隐藏注入的元字符 手动去除 SQL 查询中的元字符有一定的帮助,但是并不能完全保护您的应用程序免受 SQL injection 攻击。
2024-01-18 09:19:53
1203
原创 开发安全之:Path Manipulation
但在某些情况下,这种方法并不可行,因为这样一份合法资源名的列表过于庞大,维护难度过大。但是,任何这样一个列表都不可能是完整的,而且将随着时间的推移而过时。更好的方法是创建一个字符列表,允许其中的字符出现在资源名称中,且只接受完全由这些被认可的字符组成的输入。例如,在某一程序中,攻击者可以获得特定的权限,以重写指定的文件或是在其控制的配置环境下运行程序。如果程序以足够的权限运行,且恶意用户能够篡改配置文件,那么他们可以通过程序读取系统中以扩展名 .txt 结尾的任何文件。进入程序的值,这一数值用于通过。
2024-01-18 09:14:21
1722
原创 开发安全之:JSON Injection
将 %22,%22role%22:%22 附加到其用户名中,并将该值传递到 username URL 参数,则最终保存到 ~/user_info.json 的 JSON 将为: { "role":"default", "username":"mallory", "role":"admin", "password":"Evil123!在更为严重的情况下,例如涉及 JSON Injection,攻击者可能会插入无关的元素,从而允许对 JSON 文档或请求中对业务非常关键的值执行可预见操作。
2024-01-17 11:05:59
1252
原创 开发安全之:Cookie Security: Cookie not Sent Over SSL
.. 如果应用程序同时使用 HTTPS 和 HTTP,但没有设置 Secure 标记,那么在 HTTPS 请求过程中发送的 cookie 也会在随后的 HTTP 请求过程中被发送。
2024-01-17 10:56:47
1113
原创 开发安全之:Access Control: Database
为了突出显示未经验证的输入源,Fortify 安全编码规则包会对 Fortify Static Code Analyzer(Fortify 静态代码分析器)报告的问题动态重新调整优先级,即在采用框架验证机制时降低这些问题被利用的几率并提供指向相应证据的指针。任何情况下都不允许用户在没有取得相应权限的情况下获取或修改数据库中的记录。如果没有适当的 access control,mysql_query执行一个 SQL 指令时,如果该指令包含一个受攻击者控制的主键,从而允许攻击者访问未经授权的记录。
2024-01-17 10:53:56
1675
原创 开发安全之:Insecure Transport: Weak SSL Protocol
传输层安全 (TLS) 协议和安全套接字层 (SSL) 协议提供了一种保护机制,可以确保在客户端和 Web 服务器之间所传输数据的真实性、保密性和完整性。每次新的修订都旨在解决以往版本中发现的安全漏洞。使用不安全版本的 TLS/SSL 会削弱数据保护力度,并可能允许攻击者危害、窃取或修改敏感信息。SSLv2、SSLv23、SSLv3、TLSv1.0 和 TLSv1.1 协议包含使它们变得不安全的缺陷,不应该使用它们来传输敏感数据。- 使用弱密码套件 这些属性的存在可能会允许攻击者截取、修改或篡改敏感数据。
2024-01-16 16:04:29
1525
原创 开发安全之:Dynamic Code Evaluation: Insecure Transport
考虑以下 script 标签: 如果攻击者正在监听用户和服务器之间的网络流量,则攻击者可以通过模仿或操纵来自 www.example.com 内容来加载自己的 JavaScript。通过未加密的通道可能包含来自网站的可执行内容,这使攻击者能够执行中间人 (MiTM) 攻击。控制网页加载的代码,如果代码来自单独的域,请确保始终通过安全连接加载代码。
2024-01-16 15:58:46
807
原创 开发安全之:Dangerous Function: Unsafe Regular Expression
标签(例如 "Hello123%00alert("XSS")
2024-01-16 15:56:58
683
原创 开发安全之:Database access control
为了突出显示未经验证的输入源,Fortify 安全编码规则包会对 Fortify Static Code Analyzer(Fortify 静态代码分析器)报告的问题动态重新调整优先级,即在采用框架验证机制时降低这些问题被利用的几率并提供指向相应证据的指针。
2024-01-16 15:51:03
848
原创 开发安全之:Cross-Site Scripting (XSS) 漏洞
由于 XSS 漏洞在应用程序的输出中包含恶意数据时出现,因此,合乎逻辑的方法是在数据流出应用程序的前一刻对其进行验证。针对 XSS 漏洞进行验证最安全的方式是,创建一份安全字符允许列表,允许其中的字符出现在 HTTP 内容中,并且只接受完全由这些经认可的字符组成的输入。然而,这种解决方法在 Web 应用程序中通常是行不通的,因为许多字符对浏览器来说都具有特殊的含义,编码时这些字符必须被视为合法输入,例如,一个 Web 设计电子公告栏就必须接受其用户提供的 HTML 片段。内容安全策略(CSP)
2024-01-16 15:44:24
1463
原创 小总结----长度
来个小总结吧:完成团队建设,招聘11人。完成26项开发,内部9项,科创10项。2023发明专利申请两项,软著申请11项,还发表了三篇论文。看了上一篇文章,已经一年没发了。优快云也越来越封闭了,查点东西,也很不友好。继续努力,明年这个时候全部翻番!
2023-11-25 12:09:14
187
原创 .apk] cannot be opened because it does not exist解决方案
springboot里面添加一个下载功能,提示:cannot be opened because it does not exist。主要是找不到资源,需要在pom文件指定一下位置。
2023-01-13 10:25:05
637
若依框架使用的log4j2.16.0,修复log4j漏洞log4j2下载最新log4j2.16.0下载
2021-12-16
修复log4j漏洞log4j2下载最新log4j2.16.0下载 log4j-api-2.16.0.jar
2021-12-16
redis5 windows ZIP免安装版本
2020-10-28
redis5 windows msi 安装版本
2020-10-28
mysql-connector-java-5.1.44最新版本2017.8
2017-09-30
guava.jar包 NFC用到
2015-10-24
NXP Semiconductors NFC标签读取TagInfo
2015-10-24
GridLayout 支持4.0以下版本实用的包
2014-07-29
支付宝快捷支付简明教程
2014-07-02
info.plist查看修改编辑工具软件pledit编辑器
2014-05-08
Java如何访问字符串指针?(调用dll)
2018-12-21
TA创建的收藏夹 TA关注的收藏夹
TA关注的人