from:　http://zhuanlan.zhihu.com/wooyun/19747591

作者：园长 （@mm yz）

• 攻击JavaWeb应用[1]-JavaEE 基础
• 攻击JavaWeb应用[2]-CS交互安全
• 攻击JavaWeb应用[3]-SQL注入[1]
• 攻击JavaWeb应用[4]-SQL注入[2]
• 攻击JavaWeb应用[5]-MVC安全
• 攻击JavaWeb应用[6]-程序架构与代码审计
• 攻击JavaWeb应用[7]-Server篇[1]
• 攻击JavaWeb应用[8]-后门篇
• 攻击JavaWeb应用[9]-Server篇[2]

Simditor是团队协作工具 Tower 使用的富文本编辑器。

相比传统的编辑器它的特点是：

• 功能精简，加载快速
• 输出格式化的标准HTML
• 每一个功能都有非常优秀的使用体验
  兼容的浏览器：IE10+、Chrome、Firefox、Safari。

Demo和文档：http://simditor.tower.im/

[repo owner=”mycolorway” name=”simditor”]

from

缓动函数指定动画效果在执行时的速度，使其看起来更加真实。

现实物体照着一定节奏移动，并不是一开始就移动很快的。当我们打开抽屉时，首先会让它加速，然后慢下来。当某个东西往下掉时，首先是越掉越快，撞到地上后回弹，最终才又碰触地板。

网址:　http://easings.net/zh-cn#

Iconfont.cn是阿里巴巴推出的矢量图标库，其中涵盖了1000多个常用图标，并在持续更新中。（目前已有7000+图标，部分图标为用户上传，因此默认不公开，但是可以搜索到。）

Iconfont提供以下功能：

• 在线图标搜索
• 图标分捡下载
• 在线储存
• 矢量格式转换
• 图标库管理

iconfont的优势

• 自由变化大小（高清屏无压力）
• 自由修改颜色（纯色）
• 可以添加一些视觉效果如：阴影、旋转、透明度

iconfont使用

1. 声明字体

   @font-face {font-family: ‘iconfont’;

   <span class="rule"><span class="attribute">src</span>:<span class="value"> <span class="function">url(<span class="string">'iconfont.eot'</span>)</span>;</span></span> <span class="comment">/* IE9*/</span>
   <span class="rule"><span class="attribute">src</span>:<span class="value"> <span class="function">url(<span class="string">'iconfont.eot?#iefix'</span>)</span> <span class="function">format(<span class="string">'embedded-opentype'</span>)</span>, <span class="comment">/* IE6-IE8 */</span>
   <span class="function">url(<span class="string">'iconfont.woff'</span>)</span> <span class="function">format(<span class="string">'woff'</span>)</span>, <span class="comment">/* chrome、firefox */</span>
   <span class="function">url(<span class="string">'iconfont.ttf'</span>)</span> <span class="function">format(<span class="string">'truetype'</span>)</span>, <span class="comment">/* chrome、firefox、opera、Safari, Android, iOS 4.2+*/</span>
   <span class="function">url(<span class="string">'iconfont.svg#iconfont'</span>)</span> <span class="function">format(<span class="string">'svg'</span>)</span>;</span></span> <span class="comment">/* iOS 4.1- */</span>
   

   }
   `

2. 定义样式

   `.iconfont{font-family:"iconfont";
   font-size:16px;font-style:normal;}
   `

3. 选择图标、获取字体编码，应用于页面
   

   `<i class=“iconfont”>&#33</i>

今天是高中同学青儿的婚礼，抱歉不能参加，只能遥祝一下了。

送上一段祝福！

My very best wishes to you for a lifetime of happiness．

　　向你俩致以最美好的祝愿，祝你们终生幸福。

[AFG_gallery id=’1’]

整理了下做的一个笔记软件,以开放开源的态度做的.

jnote是一个开源的笔记软件,类似于Evernote,wiz,麦库,界面也是参考他们做的.当初做只是为了做一个自己可以定制的笔记软件.

目前完成的功能:

1.新建日记,参考wiz的日记功能,这个功能很实用,可以按照年月分类.
2.新建笔记,是一个笔记软件最基本的功能.
3.编辑支持高级html编辑器 简单html编辑器 markdown编辑器
4.分类支持无限级分类
5.简单搜索
6.缩小到托盘
7.支持多标签
8.支持笔记阅读模式
9.阅读模式是可以和wiz一样,定义阅读的主题.
以后的计划

1.添加标签功能
2.添加附件功能
3.搜索功能加强,计划采用lucene,使用OSChina 网站的全文搜索框架源码做了测试,完成可以使用.
4.同步,在选择上面,测试过dropbox的api,计划使用dropbox.
5.和evernote 有道 麦库打通api接口,这个还没有测试过,evernote应该是首选.
6.用户登录,头像…
7.跨平台
8…….

目前存在的问题

1.笔记字数,使用sqlite数据库,存储的文字多少还存在考量.
2.编辑器还不完美,编辑器的切换还对笔记的格式存在转换问题.
3.内嵌浏览器的问题,这个是java的硬伤,目前使用IE内核,Webkit 由于不支持linux就放弃了,打算使用JF X的内嵌浏览器来实现,提高性能和解决跨平台的问题.
4……

采用的技术

1.界面使用BeautyEye,界面很漂亮
2.nutzDao,小巧灵活.
3.数据库使用sqlite,
4.编辑器使用ueditor wysihtml5 pagedown

做笔记软件真不容易,特别还是用java来做.

在13年3月份差不多已经这个样子了,之后在忙其他事情,有时间就会继续完善的.

看几张截图来看看.

项目地址:http://git.oschina.net/imzhpe/jnote

千千静听更名成百度音乐,说是更名,其实也就是千千静听的一种没落吧!

我是05年接触电脑的,当前XP系统一统天下,装机不是番茄就是深度或者雨林木风的ghost,在ghost上面,没有个千千静听,就认为你的ghost做的不好,电脑上面不装个千千静听,就问你,听歌咋不用千千静听,给你装个吧!

千千静听最喜欢的皮肤是WMP10,记得有一次千千静听的皮肤大赛,特等奖的皮肤骂声不断,以后也没见过那个皮肤火起来过.
自从06年千千静听被百度收购,之后酷狗音乐,QQ音乐等在线网络听歌的出现,千千静听在百度的大山下,却没有利用到百度在中国最大的音乐资源,就这么给没落下来了.之后,百度发力,也开始整合自己的网络资源.可这时候,已经都是酷狗音乐,QQ音乐,酷我音乐等的天下,再加上功能越来越臃肿,广告弹窗越来越多.到现在,千千静听在电脑上的存在,只能叫做”曾经听歌用千千静听”.
到现在,百度各种音乐资源的整合,千千静听的更名也只能说是种没落了!
最近世界之窗发布了V6,速度相当不错,不知道会不会落下一个什么样的结果了!

解决struts2最新s2-016代码执行漏洞–CVE-2013-2251

今天接到外界报告struts2框架存在任意命令执行漏洞，可直接执行任意系统命令。 详细见官方说明：http://struts.apache.org/release/2.3.x/docs/s2-016.html

漏洞版本:

Apache Struts 2.0.0 - Apache Struts 2.3.15

漏洞描述:

CVE-2013-225. Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。它是WebWork和Struts社区合并后的产物

Apache Struts2的action:、redirect:和redirectAction:前缀参数在实现其功能的过程中使用了Ognl表达式，并将用户通过URL提交的内容拼接入Ognl表达式中，从而造成攻击者可以通过构造恶意URL来执行任意Java代码，进而可执行任意命令

redirect:和redirectAction:此两项前缀为Struts默认开启功能，目前Struts 2.3.15.1以下版本均存在此漏洞

目前Apache Struts2已经在2.3.15.1中修补了这一漏洞。强烈建议Apache Struts2用户检查您是否受此问题影响，并尽快升级到最新版本

< 参考 1. http://struts.apache.org/release/2.3.x/docs/s2-016.html >

测试方法:

@Sebug.net dis 本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

由于Apache Struts2 在最新修补版本2.3.15.1中已经禁用了重定向参数，因此只要重定向功能仍然有效，则说明受此漏洞影响：

http://host/struts2-showcase/employee/save.action?redirect:http://www.yahoo.com/

如果页面重定向到www.yahoo.com，则表明当前系统受此漏洞影响。

验证表达式解析和命令执行：

http://host/struts2-showcase/employee/save.action?redirect:%25{3*4}
http://host/struts2-showcase/employee/save.action?redirect:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}`
Sebug安全建议:

厂商状态：

厂商已经发布Apache Struts 2.3.15.1以修复此安全漏洞，建议Struts用户及时升级到最新版本。

厂商安全公告：S2-01. 链接：http://struts.apache.org/release/2.3.x/docs/s2-016.html

软件升级页面：http://struts.apache.org/download.cgi#struts23151

目前存在漏洞的公司

乌云上，已经发布了快60个struts的这个漏洞问题，包括腾讯，百度，网易，京东等国内各大互联网公司。（http://www.wooyun.org/bugs/new_submit/）

解决办法：

1. 升级到Struts 2.3.15.1（强烈建议）
2. 使用ServletFilter来过滤有问题的参数（临时替换方案）

参考资料:

http://sebug.net/appdir/Apache%20Struts

这次struts爆出来的漏洞,一大片的网站受的影响,影响最严重的就是电商了. 对于struts的漏洞,曾经也写过struts2代码执行漏洞,struts2自从使用OGNL表达式的方式后,经常就会报出一些可怕的漏洞出来,建议那些还是struts的童鞋们,学习一些其他的框架吧!比如,spring mvc,简单,好用,高效! 这里有篇对struts漏洞分析很透彻的文章,推荐学习学习. http://www.inbreak.net/archives/507