0x00 漏洞背景 2019年9月5日,fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复当字符串中包含\\x转义字符时可能引发OOM的问题的修复. 360CERT 判断该漏洞危害中.影响面较大.攻击者可以通过发送构造好的请求而致使当前线程瘫痪,当发送的恶意请求过多时有可能使业务直接瘫痪. 建议广大用户对自身的业务/产品进行组件自查,确认fastjson版本至少升级到1.2.60 0x01 漏洞详情 漏洞的关键点在co…

对"demo!demo.Index+HookProc::Invoke"垃圾收集的类型已委托回调.这可能会导致应用程序崩溃.损坏和数据丢失.当传递委托给非托管代码,托管应用程序必须承诺保持活跃,使这些.次调用它们. 挽救办法: //保持活动 避免 回调过程 被垃圾回收 GCHandle.Alloc(信托); 版权声明:本文博主原创文章,博客,未经同意不得转载.…

html中的编码 <meta http-equiv="Content-Type" content="text/html; charset=UTF-8">这里不设置成中文编码无法写中文. jsp中的编码 <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> conte…

在ef core中你可能会设计这样一个实体: public class Customer : Entity,IMustHaveTenant, IHasCreationTime { public Customer() { this.ChildrenCustomers = new List<Customer>(); } //…… /// <summary> /// 父级顾客 /// </summary> public int? ParentCustomerId { get;…

360或者金山毒霸可能会导致HP网络打印机驱动安装失败“数据无效”的解决办法     同事办公室的打印机是网线接口的那种网络打印机,不是直接连到电脑的那种,他电脑安装了360和金山毒霸,WIN10下安装网络打印机死活安装不上,提示“数据无效”.百度了下找到了解决办法:https://jingyan.baidu.com/article/a948d6513ef4200a2ccd2e50.html 右击桌面上我的电脑→管理→服务→把device install service和device setup…

错误提示:可能会导致循环或多重级联路径.请指定 ON DELETE NO ACTION 或 ON UPDATE NO ACTION,或修改其他 FOREIGN KEY 约束. 原因:自表连接(同一张表自己连接自己)不允许级联删除和级联更新. 一.sql语句 create table DataClass ( CID nvarchar() not null, ParentID nvarchar() null, CNAME nvarchar() not null, ENAME nvarchar() n…

警告:所生成项目的处理器架构“MSIL”与引用“***”的处理器架构“x86”不匹配.这种不匹配可能会导致运行时失败.请考虑通过配置管理器更改您的项目的目标处理器架构,以使您的项目与引用间的处理器架构保持一致,或者为引用关联一个与您的项目的目标处理器架构相符的处理器架构. 解决方案: 到项目解决方案中点开配置管理器,将所有的项目平台改为Any CPU即可...我这里就是这么修改的...如果有不同情况.请告之交流···谢谢···O(∩_∩)O…

C# json反序列化 对象中嵌套数组 (转载)   看图: 这里可以看到是二层嵌套!!使用C#如何实现?? 思路:使用list集合实现 → 建立类 → list集合 → 微软的   Newtonsoft.Json  (一款.NET中开源的Json序列化和反序列化) sonXMText类 using System; using System.Collections.Generic; using System.Linq; using System.Text; using System.Thread…

<对“XXX::Invoke”类型的已垃圾回收委托进行了回调.这可能会导致应用程序崩溃.损坏和数据丢失.向非托管代码传递委托时,托管应用程序必须让这些委托保持活动状态,直到确信不会再次调用它们>的问题的解决方法 源程序部分代码如下系统api /// <summary> /// 安装钩子的函数 /// </summary> /// <param name="idHook"></param> /// <param name=…

托管调试助手“CallbackOnCollectedDelegate”在“D:\XXX\XXX.vshost.exe”中检测到问题. 其他信息: 对“XXX+HookProc::Invoke”类型的已垃圾回收委托进行了回调.这可能会导致应用程序崩溃.损坏和数据丢失.向非托管代码传递委托时,托管应用程序必须让这些委托保持活动状态,直到确信不会再次调用它们. 经过搜索资料,发现出问题的原因是我的程序里回调函数作用域的问题 (_mouseHookCallBack) 报错前代码: private voi…

相信大家用 FastJSON 的人应该不少,居然有漏洞,还不知道的赶紧往下看,已经知道此漏洞的请略过-- 2019年6月22日,阿里云云盾应急响应中心监测到FastJSON存在0day漏洞,攻击者可以利用该漏洞绕过黑名单策略进行远程代码执行. 漏洞名称 FastJSON远程代码执行0day漏洞 漏洞描述 利用该0day漏洞,恶意攻击者可以构造攻击请求绕过FastJSON的黑名单策略.例如,攻击者通过精心构造的请求,远程让服务端执行指定命令(以下示例中成功运行计算器程序). 影响范围 FastJS…

原文连接:https://michaelscodingspot.com/ways-to-cause-memory-leaks-in-dotnet/作者 Michael Shpilt.授权翻译,转载请保留原文链接. 任何有经验的.NET开发人员都知道,即使.NET应用程序具有垃圾回收器,内存泄漏始终会发生. 并不是说垃圾回收器有bug,而是我们有多种方法可以(轻松地)导致托管语言的内存泄漏. 内存泄漏是一个偷偷摸摸的坏家伙. 很长时间以来,它们很容易被忽视,而它们也会慢慢破坏应用程序. 随着内存泄…

大家好,我是痞子衡,是正经搞技术的痞子.今天痞子衡给大家分享的是IAR在线调试时设不同复位类型可能会导致i.MXRT下调试现象不一致. 做Cortex-M内核MCU嵌入式软件开发,可用的集成开发环境(IDE)非常多.经典的GCC咱们就不提了,选择不同MCU主控,如果MCU来自知名大厂,厂商也会配套推出专用IDE(比如恩智浦半导体的MCUXpresso IDE,意法半导体的TrueSTUDIO.STM32CubeIDE).除此以外,还有几个来自专门软件公司的独立IDE,比如Keil MDK.IAR…

大家好,我是痞子衡,是正经搞技术的痞子.今天痞子衡给大家分享的是Keil在线调试时设不同复位类型可能会导致i.MXRT下调试现象不一致. 本篇是 <IAR EWARM复位类型>.<MCUXpresso IDE复位类型>的同系列篇,三大经典IDE(IAR EWARM.Keil MDK.MCUXpresso IDE)下的复位策略只剩 Keil MDK 没介绍了,心事不了,觉睡不好.今天痞子衡就来认真讲一下搞嵌入式生涯里最早接触的 IDE - Keil,完结这个系列. Note: 痞子衡…

摘要:已经上线的项目,出现服务挂掉的情况. 介绍:该服务是专门做打印的,业务需求是生成PDF文件进行页面预览,主要是使用ItextPDF+freemaker技术生成一系列PDF文件,其中生成流程有:解析模板生成临时PDF文件--->在临时PDF文件上注入文本和签名域--->旋转页面--->合并生成的多个PDF文件--->删除全部临时文件. 由于该业务生成的文件只是用来预览,不做保存,所以需要生成后就要删除.而每次生成的文件都是放在一个临时文件夹下,临时文件夹一开始我是根据建议书ID…

文章版权由作者李晓晖和博客园共有,若转载请于明显处标明出处:http://www.cnblogs.com/naaoveGIS/. 1.背景 最近连续有两个项目现场出现了AGS服务荡掉的问题,一个是通州现场,一个是福州现场. 1.1通州现场的问题描述和解决思路 通州现场环境为ArcGIS9.2,使用IMS发布的地图服务,其问题表现为每隔两天左右,其地形图服务便会崩溃一次,重启地形图服务后地图可以正常显示. 因为IMS中地图的出图为动态出图,所以其出图时需要通过连接SDE,此问题的出现很可能是SDE…

相信大家都遇到过这样的问题,有手机浏览器的问题导致服务端SESSION读取不正常,目前在项目中的解决方法是采取H5手机本地存储唯一KEY解决的 代码片段 //定义json格式字符串 var userData = { name: "sankyu Name", account:"sankyu", level:1. disabled:true }; //存储userData数据 localStorage.setItem("userData",JSON.…

问题背景: 笔者所在的项目组最近把生产环境Tomcat迁移到Linux,算是顺利运行了一段时间,最近一个低概率密度的(too many open files)问题导致服务假死并停止响应客户端客户端请求. 进入服务器查看日志,发现tomcat凌晨6-7点的日志丢失,查看进程端口仍旧开放. root@# lsof -i: COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME java root 0t0 TCP *: (LISTEN) 从存档的日志找到一…

修改ip导致服务不可用 1.修改hostsvi /etc/hosts 修改ip地址 2.lsnrctl start 后会发现The listener supports no services,解决方案如下 $sqlplus / as sysdba SQL>startup SQL>show parameter service_names SQL>alter system register; $lsnrctl status OK 原理是强制注册服务,此操作成功前提是你的listener.or…

  1.事故背景 在APP访问服务器接口时需要从redis中获取token进行校验,服务器上线后发现一开始可以正常访问,但只要短时间内请求量增长服务则无法响应 2.排查流程 (1)使用top指令查看CPU资源占用还远远达不到瓶颈,排查因为CPU资源不足导致服务不可用的可能 (2)查看tomcat线程池配置,默认最大线程数为200,理论上可以支持目前服务器的访问量 (3)使用jmap指令保存堆栈信息,jmap -dump:format=b,file=dump.log pid,pid为进程号 (4)…

360网络安全响应中心 https://cert.360.cn/warning/detail?id=82a509e4543433625d6fe4361b5802c9 报告编号:B6-2019-090501 报告来源:360-CERT 报告作者:360-CERT 更新日期:2019-09-05 0x00 漏洞背景 2019年9月5日,360CERT监测到2019年9月3日fastjson在commit 995845170527221ca0293cf290e33a7d6cb52bf7上提交了旨在修复…

hello,大家好,我是小黑,又和大家见面啦~~ 如果你去某度搜索关键词 CommandLineRunner 初始化资源 ,截止小黑同学写这篇推文之前,大概能收到 1,030,000 个结果. 网上大部分的文章都在告诉我们说可以使用 CommandLineRunner 去初始化资源,但几乎很少有文章告诉我们:如果 CommandLineRunner 使用不当,就会导致程序出现一些奇怪的异常,更有可能导致我们的应用直接停止运行. 正在读这篇文章的你如果也使用了 CommandLineRunner…

css中overflow:hidden属性导致ExtJS中无法显示下拉滚动条 overflow属性: visible 默认.内容不会被修剪,会呈现在元素之外. hidden 内容会被修剪,但是浏览器不会显示供查看内容的滚动条. scroll 内容会被修剪,但是浏览器会显示滚动条以便查看其余的内容. auto 如果内容被修剪,则浏览器会显示滚动条以便查看其余的内容.    另外参考: http://segmentfault.com/q/1010000000264300 http://bbs.blu…

在程序中调用C++链接库中的回调函由于没有考虑生命周期,直接写委托回随机的被gc给回收掉导致报这个错误 错误的程序: private void InitPlateIdentify() { try { if (string.IsNullOrEmpty(sPlateIP))return; handle = Dbvt_JpegCreateCamera(handle); Dbvt_JpegSetCameraCallBack(handle,DBVT_JpegSave,DBVT_GetSerialData,…

今天检查公司生产服务器的SQL Server数据库,惊讶的发现有三个生产数据库变为了single user mode.奇怪的是没有任何人和程序执行过SQL语句将这三个数据库设置为single user mode,是自动变的.后来在网上查了查原来发现,重启windows server原来有可能导致SQL Server数据库意外变为single user mode.原文如下: 问题: Why did SQL Server go into single user mode? I've had an a…

YS 视频封面设置功能可上传大量图片,可进行资源消耗型DOS攻击[中] 问题描述:          YS允许用户为设备设置封面,后台在处理时允许用户间接可控上传图片的二级路径以及直接可控保存图片的文件名,相当于用户可以受限地去控制图片上传的路径,而在用户上传新设备封面时又未删除旧的封面图片,导致用户可以往后台不停地发送封面图片,进而耗尽资源,经测试,单个用户最多可以上传2147483647(2的31次方-1)次不相互覆盖的图片,而每次上传都会生成3张图片,xxx.jpg,xxx_web.jpg…

之前也是经常遇到这个问题,但好在每次创建的实体不多,很容易就能找到是哪个外键导致级联循环删除问题 之前都是这么处理,因为创建的实体也不多,所以还处理得来 但最近跟别人合作写后端,别人写了好多实体,我一Update-Database,傻了,我得一个个地处理.其实我也不太喜欢这个级联删除,是否删除关联实体应该由我自己来把握.那么可以这样处理,这样所以的外键删除关联都变成Restrict了 var foreignKeys = modelBuilder.Model.GetEntityTypes().Se…

作者:炸鸡可乐 原文出处:www.pzblog.cn 一.问题描述 经常有些面试官会问,是否了解过 HashMap 在多线程环境下使用时可能会发生死循环,导致服务器 cpu 100% 的线上故障? 关于这个问题,很多年前,在淘宝内网里就有很多的程序员发过这种帖子说一个CPU 被100%了,原因竟是多线程环境下使用 HashMap 造成的死循环,并且这个事发生了很多次. 虽然 Java 官方明确表示,在多线程环境下不推荐使用 HashMap,但是对于这种问题,小编其实也比较意外,如果不是深入的去了…

症状描述如下: 如果将一个委托作为函数指针从托管代码封送到非托管代码,并且在对该委托进行垃圾回收后对该函数指针发出了一个回调,则将激活 callbackOnCollectedDelegate 托管调试助手 (MDA). 原因描述如下: 从其创建函数指针并将创建的函数指针公开给非托管代码的委托已被垃圾回收.当非托管组件尝试对该函数指针发出调用时,会产生访问冲突. 一旦将委托作为非托管函数指针封送出去,垃圾回收器就无法跟踪其生存期.这样,在该非托管函数指针的生存内,您的代码必须保持一个指向该委托的引…

ef中,我们创建外键的时候需要注意,否则会出现标题所示问题. 例:有项目表,项目收藏表,用户表 项目表有如下字段:ProjectId,InputPersonId等 项目收藏表有如下字段:ProjectId,UseId等 用户表有如下字段:用户id等 项目表: public partial class ProjectInfoMap : EntityTypeConfiguration<ProjectInfo> { public ProjectInfoMap() { this.ToTable(&qu…