pom.xml <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd"> <model…

https://www.jianshu.com/p/028b10bc3dd1 智能设备的联动通常采用IFTTT的方式,但这种方式受限于官方软件提供的功能.想要自主地灵活控制,需要有官方SDK,或知道协议细节.本文通过捕获.分析Broadlink SP设备(含SP2和SP mini)的协议数据,达到重放(replay)控制的效果.在这个过程中,对其安全性也有了更深入的认识. 有前人做过类似的工作,但抓包过程较为繁琐.本文的方法比较便捷,可以很容易地进行本地和远程的分析.这个方法也可供研究其它智能设…

导言 大意失荆州,裸奔的 MongoDB 被黑了.虽然并不是什么非常重要的数据,但也给自己敲响的一个警钟.虽然我们平时不容易接触到数据安全,但我们在开发,部署项目的时候,一定要养成良好的安全意识. 根据木桶原理,整个系统的安全性,取决于整个系统最薄弱的环节.所以,我们要尽可能多的考虑更多组成部分的安全性. 事件发现 本月初,发生了大家所熟知的 MondoDB赎金事件.当时本人也保持了一定的关注,并去 https://www.shodan.io/ 溜达了一圈,顺便连了几个裸奔的MongoDB(当然…

S3C6410裸奔之旅——RVDS2.2编译.仿真.调试过程 LED流水灯 (2012-10-13 23:56:30) 转载▼ 标签: s3c6410裸奔 ok6410 rvds2.2 rvds2.2编译 rvds2.2仿真调试 分类: 嵌入式Linux 上一讲中安装玩RVDS2.2后,我们一起来体验体验从工程的建立.编译.仿真到调试的快感,come on ! 1.打开软件: 打开CodeWarrior,路径:开始->所有程序->ARM-> RealView Developer Suit…

裸奔的后果!一次ssh被篡改的入侵事件 原文:http://blog.51cto.com/phenixikki/1546669 通常服务器安全问题在规模较小的公司常常被忽略,没有负责安全的专员,尤其是游戏行业,因为其普遍架构决定了游戏服通常都是内网进行数据交互,一般端口不对外开放,也因此对安全问题不过于重视.接下来要说的,这是我人生第一次在Linux环境中被入侵的经历,此前只有在Windows Server上有过多次入侵排查的经验,不适用于Linux环境中,由于自己的经验缺乏以及安全意识的薄弱,…

前段时间有消息称政府招标的项目将禁止使用Win8系统,原因是Win8系统的安全架构将有利于暴露敏感信息给微软,而微软的老子是美利坚,老子想要知道什么,儿子当然不敢不从.因此Win8也被打入冷宫,微软多支股也一路飘红,损失近百亿,跟Vista惨状有的一拼.另一方面积极鼓励国产系统,使用国产系统的项目将优先考虑. 先不说微软这样做的目的何在,政府这样的处理方式欠妥.你别说Win8了,从Windows系列开始,只要微软想获取的,肯定有办法获取到,房子是你造的,留扇门让你出入不是什么难事,我相信政府也不…

- 语音消息 使用HTTP明文传输,没有任何加密措施,使用域名为up-mayi.django.t.taobao.com,从报文中可以看出,语音消息是以文件形式在网络中传输的,下图为一次语音的发送传输过程,接收过程与此类似. 语音编码为amr格式,语音内容部分可看到明显的字符串"#!SILK_V3",和微信.QQ等的语音文件采用的编码是一致的.如果有需要可在本公众号聊天窗口发送" - 图片 图片同样使用HTTP明文传输,没有任何加密措施,但是域名为mugw.alipay.com…

猫宁!!! 很久以前的一篇,搬过来. 我一直在“裸奔”,而且很久了,只是不太愿意承认. 想起了“皇帝的新装”,好奇何种经历和灵感让安徒生写出了如此精彩的故事. 一次百度了一个商品,不久接到了大规模电话推销轰炸,我并没有提供手机号. 一个骚扰电话打进来,直接问,是……先生吗,我叫……,我的生日是……,你的呢?嗯?我的是,不!你怎么知道我叫什么,你的生日和我有毛关系. 寻找大众“裸奔”[遮羞布]: 1.手机锁屏用数字或指纹,不建议用图形. 2.iphone别越狱,安卓别root,不要看见免费,眼睛发…

前言 撸码需谨慎,裸奔有风险.经常在一些技术交流群中了解到,还有很多小伙伴的项目中Api接口没有做任何安全机制验证,直接就裸奔了,对于一些临时项目或是个人小项目还好,其余的话,建议小伙伴们酌情考虑都加上,毕竟接口安全这事可大可小. 通常会采用session.cookie.jwt.ids4等方式进行接口安全认证或授权,这里就先拿jwt说事,ids4知识点比较多,后续单独整理整理:对于session和cookie的方式就留给小伙伴们研究吧,因为最近接触或是和朋友聊到的项目中,使用的不多,所以就不单独…

先跟大家讲个故事,我初恋是在初中时谈的,我的后桌的后桌.那个时候没有手机这类的沟通工具,上课交流有三宝,脚踢屁股.笔戳后背以及传纸条,当然我只能是那个屁股和后背,还不是能让初恋踢到的后背. 但是说实话传纸条真的很危险,尤其是这种早恋的纸条,被抓到就是一首<凉凉>. 特别我和初恋中间还隔着一个搞事的狗蛋,常年使用神乎其技的笔迹模仿技术篡改小纸条的内容,往往我写的是"放学一起去逛逛吧",到了我初恋手里就变成了"放学一起写作业吧".以至于我常年满怀期待的放学,…

centos 7 下裸奔mysql # vim /etc/my.cnf在[mysqld]的段中加上一句:skip-grant-tables例如:[mysqld]datadir=/var/lib/mysqlsocket=/var/lib/mysql/mysql.sockskip-grant-tables保存并且退出vi. # systemctl  restart mysqld.service # mysql…

前些天栈长在微信公众号Java技术栈分享了 Spring Cloud Eureka 最新版 实现注册中心的实战教程:Spring Cloud Eureka 注册中心集群搭建,Greenwich 最新版!,成功进入 Eureka 控制台页面. 但控制台首页默认是没有登录认证保护的,打开就能访问,而且你的微服务也能随意注册进去,这样是不安全的,本章栈长将加入登录认证功能,把你的 Eureka 注册中心保护起来. 本文基于最新的 Spring Cloud Greenwich.SR1 以及 Spring…

微服务架构 网关:路由用户请求到指定服务,转发前端 Cookie 中包含的 Session 信息: 用户服务:用户登录认证(Authentication),用户授权(Authority),用户管理(Redis Session Management) 其他服务:依赖 Redis 中用户信息进行接口请求验证 用户 - 角色 - 权限表结构设计 权限表 权限表最小粒度的控制单个功能,例如用户管理.资源管理,表结构示例: id authority description 1 ROLE_ADMIN_USE…

#include "main.h"#ifndef __STD_GUI_CONTEX__#define __STD_GUI_CONTEX__ #define CPSTRSIZE 20//控件字符数#define TOUCHCOLOR RED#define TOUCHFONTCOLOR 0xffff #define SELCOLOR GRED #define SELFONTCOLOR RED typedef struct { uint8 id; uint8 relayIndex; uint…

#include <cstdio>#include <cmath>#include <algorithm>#include <iostream>#include <cstdlib>#include <string>#include <queue>#include <stack>#include <cstring>#define CL(a,b) memset(a,b,sizeof(a))#define…

看了别人博客  http://blog.csdn.net/jokes000/article/details/7538994 #include <cstdio> #include <cmath> #include <algorithm> #include <iostream> #include <cstdlib> #include <string> #include <queue> #include <stack>…

2011-03-01 23:25:22 目地:更清晰的了解bootloader的结构及功能.为移植U-boot打基础. 以前只知道大概,今天利用IAR调试工具,看着汇编代码,看着寄存器,看着内存.来单步调试bootloader.把之前不明白的地方都搞明白. 今天单步走到了初始化堆栈.主要研究了设置memory寄存器及初始化堆栈.不过还有一个问题,为什么要用DCD分配内存空间.不能用为WATCHDOG寄存器赋值的方法来给BWSCON来赋值?貌似和内存映像相关.明天要搞明白. 一:设置memory寄…

  很多时候我们轻易地把Web服务器暴露在公网上,查看一下访问日志,可以看到会收到大量的攻击请求,这个是网站开通后几个小时收到的请求: 1.  探测服务器信息 在上线一分钟,收到OPTION请求探测. 现在他已经知道我用的是Apache, 操作系统是CentOS,可以开展针对性的进攻了. Tips:您问怎么把Apache信息藏起来?有书啊 2. 命令执行攻击 上线半小时,收到大量利用WEB服务器命令执行漏洞的攻击. 如果您的服务器使用的是ASP或者Structs2并且开启了调试模式(大部分服务上…

文中涉及的示例代码,已同步更新到 HelloGitHub-Team 仓库 在此之前我们已经编写了博客的首页视图,并且配置了 URL 和模板,让 django 能够正确地处理 HTTP 请求并返回合适的 HTTP 响应.不过我们仅仅在首页返回了一句话:"欢迎访问我的博客",这是个 Hello World 级别的视图函数,毫无美感. 这篇文章我们需要编写真正的首页视图函数,当用户访问我们的博客首页时,他将看到我们发表的博客文章列表,就像 演示项目 里展示的这样. 首页视图函数 上一节我们阐…

" 对顺F旗下各APP顺藤摸瓜分析--顺F分享." 前文对顺F速运和顺F速运国际版进行了分析,二者使用同一套接口,虽然保护强度不高,但对代码和数据的保护却区别对待,实在让人诧异. 秉承避免浪费的原则,我们将持续对顺F旗下的一系列APP进行分析. 本次分析顺F分享. 顺F分享属于顺F旗下,但界面带有浓浓的乡村摇滚风,目测运营组织与顺F速运,顺F国际不同. 协议分析 对顺F分享APP进行使用,安全性很弱,随便使用了个账号直接登录,弱密码直接登录,让人目瞪口呆. 看登录界面: 同时抓包.HT…

在工作中,有时候我们需要部署自己的Python代码 或进行私有化部署时,尤其现在都是通过docker镜像部署,我们并不希望别人能够看到自己的Python源程序. 加密Python源代码的方式,是将.py文件转化为.so文件,这样加密的可靠性非常高,无法破解,也就很好地保护了源代码. 加密过程中会产生很多多余文件,加密后可以删除,我这里用了脚本一步完成 加密流程 项目文件加密 将加密的文件移至对应目录下 删除原文件和生成的附属文件夹 设备:Mac 项目:简单测试项目 我们需要在系统环境中安装一些准…

​    作为大众生活中不可或缺的基础架构,也是智能生活普及的推动性力量,运营商的重要性毋庸置疑.但无奈的是,一直以来运营商都似乎是站在了大众的"对立面".看似光鲜亮丽,但在壮观的大楼下面却是饱受诟病的收费标准和服务质量. 而随着时间的推移,政策趋严.利润下滑.变身为"流量管道"而位置尴尬的运营商,似乎已经没有办法扭转自己的颓势--就连推出的所谓不限流量套餐,都是那么的软弱无力--其实依然有着各种限制.但千万别小觑运营商对热点事件的敏感,当下运营商就有一个天上掉馅饼…

警惕 前一篇文章<Spring+SpringMVC+MyBatis+easyUI整合进阶篇(九)Linux下安装redis及redis的常用命令和操作>主要是一个简单的介绍,针对redis入门和安装及命令行简单的使用,虽然已经正常启动和使用,但是由于所有的设置都没有做任何改动,使用的是默认设置,默认端口.默认免密......其实目前状态下的redis相当于是一个裸奔的服务,多多少少是有一些安全性方面的缺陷,如果被一些别有用心的人扫描到或者攻击到还是比较麻烦的. redis密码设置 第一种方式:…

J2EE进阶(十四)超详细的Java后台开发面试题之Spring IOC与AOP 前言   搜狐畅游笔试题中有一道问答题涉及到回答谈谈对Spring IOC与AOP的理解.特将相关内容进行整理.   IOC和AOP是Spring中的两个核心的概念,下面谈谈对这两个概念的理解. 1. IOC(Inverse of Control):控制反转,也可以称为依赖倒置.   所谓依赖,从程序的角度看,就是比如A要调用B的方法,那么A就依赖于B,反正A要用到B,则A依赖于B.所谓倒置,你必须理解如果不倒置,…

在前面的两篇博客 MongoDB常用操作练习.springboot整合mongoDB的简单demo中,我们基本上熟悉了mongodb,也把它与spring boot进行了整合并且简单使用.在本篇博客中,将在spring项目中整合mongo,而且是带用户验证,网上大部分spring整合mongodb的例程,都是不带用户验证的,说白了就是没有密码,只要别人知道你的ip+port,那你的数据大白于天下.这不最近的新闻:MongoDB 裸奔,2 亿国人求职简历泄漏!.数据库泄露多可怕.所以只要是个数据库…

==================================为什么需要API gateway?==================================企业后台微服务互联互通, 因为在内网, 安全基本没问题, 再配合使用Basic Auth就足够了, 同时也能利用上服务注册的优点, 有效隔离微服务之间的相互依赖. 但如果通过javascript/原生app直接访问微服务, 就会有下面的问题: 1. 接口安全问题, 很容易就能查看到js调用微服务api的代码, api肯定不能再裸…

一直想专门写个Spring源码的博客,工作了,可以全身性的投入到互联网行业中.虽然加班很严重,但是依然很开心.趁着凌晨有时间,总结总结. 首先spring,相信大家都很熟悉了. 1.轻量级  零配置,API使用简单 2.面向Bean  只需要编写普通的Bean(一个Bean代表一个对象) 3.松耦合 充分利用AOP思想 )(各自可以独立开发,然后整合起来运行) 4.万能胶 与主流框架无缝集成 (Mybatis dubbo等等 ) 5.设计模式 将Java中经典的设计模式运用的淋漓尽致 Sprin…

IOC,依赖倒置的意思,所谓依赖,从程序的角度看,就是比如A要调用B的方法,那么A就依赖于B,反正A要用到B,则A依赖于B.所谓倒置,你必须理解如果不倒置,会怎么着,因为A必须要有B,才可以调用B,如果不倒置,意思就是A主动获取B的实例:B b = new B(),这就是最简单的获取B实例的方法(当然还有各种设计模式可以帮助你去获得B的实例,比如工厂.Locator等等),然后你就可以调用b对象了.所以,不倒置,意味着A要主动获取B,才能使用B:到了这里,你就应该明白了倒置的意思了.倒置就是A要…

DI 所谓依赖,从程序的角度看,就是比如A要调用B的方法,那么A就依赖于B,反正A要用到B,则A依赖于B.所谓倒置,你必须理解如果不倒置,会怎么着,因为A必须要有B,才可以调用B,如果不倒置,意思就是A主动获取B的实例:B b = new B(),这就是最简单的获取B实例的方法(当然还有各种设计模式可以帮助你去获得B的实例,比如工厂.Locator等等),然后你就可以调用b对象了.所以,不倒置,意味着A要主动获取B,才能使用B:到了这里,就应该明白了倒置的意思了.倒置就是A要调用B的话,A并不需…

目录 1. AOP 的概述 2. Spring 基于AspectJ 进行 AOP 的开发入门(XML 的方式): 3.Spring 基于AspectJ 进行 AOP 的开发入门(注解的方式): 4.Spring的注解的AOP的通知类型 5.Spring的注解的AOP的切入点的配置 @ 在Spring框架学习一中主要讲的是一些Spring的概述.Spring工厂.Spring属性注入以及IOC入门,其中最重要的是IOC,上一篇中IOC大概讲的小结一下: 然后呢这一篇中主要讲一下Spring中除了I…