Laboratory

最近安全专家在苹果公司的App Store和iTunes发票系统中发现了一个重大漏洞。攻击者利用该漏洞可以劫持会话，恶意操控发票。Vulnerability Lab的安全研究员Benjamin Kunz Mejri本周公布其发现的这个漏洞。该重大的注入缺陷是应用程序端输入验证web漏洞。该安全研究员在公告中表示，通过这个漏洞远程攻击者可以向存在缺陷的内容功能和服务模块中注入恶意脚本代码。　 Mejri介绍表示攻击者可以利用该漏洞的方式是，更换恶意脚本代码，控制发票模块中的name值。如果该设备是在苹果店内购买的，后端就会利用name值将其编码添加操控条件，从而可以在发票发送给卖家之前生成发票。这样会导致的后果是在苹果发票中有应用程序端脚本代码执行。该漏洞的严重性评级为CVSS 5.8(通用脆弱性评级体系)。 此外网络攻击者还可以通过持续的操作环境与其他苹果应用商店用户的账号互动来控制这个漏洞，不管这些用户是发送方还是接收方都不会影响他们利用这个漏洞。该安全研究员表示，发票是提供给卖家和买家双方的，这会给买家、卖家或者苹果网页管理员/开发者带来很大的风险。 攻击者还能够利用这个漏洞来劫持用户会话，不断发起钓鱼攻击，创建链接到外部资源的持久重定向，操控被影响或相连的服务模块。 以下是概念验证视频，这名研究员还公开了利用这个安全漏洞的步骤。 Mejri

Docker暴露2375端口，引起安全漏洞 今天有小伙伴发现Docker暴露出2375端口，引起了安全漏洞。我现在给大家介绍整个事情的来龙去脉，并告诉小伙伴们，怎么修复这个漏洞。 为了实现集群管理，Docker提供了远程管理接口。Docker Daemon作为守护进程，运行在后台，可以执行发送到管理接口上的Docker命令。正是因为错误的使用了Docker远端接口，引起安全漏洞。 启动Docker Daemon时，加入-H 0.0.0.0:2375，Docker Daemon就可以接收远端的Docker Client发送的指令。注意，Docker是把2375端口作为非加密端口暴露出来，一般是用在测试环境中。此时，没有任何加密和认证过程，只要知道Docker主机的IP，任何人都可以管理这台主机上的容器和镜像。 漏洞是什么 国内牛人开发了一套牛逼的搜索引擎-钟馗之眼，可以扫描出主机上的暴露的端口。在ZoomEye.org上输入关键字docker port:2375，立即可以扫描出所有暴露了2375端口的Docker主机。因为没有加密，知道了主机IP以后，黑客就可以为所欲为了。 目前全球有717台机器暴露出2375端口！真是太可怕了！ 这些主机分布在全球各个国家，其中，美国的主机最多。这是因为Docker是美国的使用率最高，国内也会在一两年内大规模使用Docker

来源：木马啊 转载自：https://wintc.top/article/59 很久之前写过一个Vue组件，可以匹配文本内容中的关键词高亮，类似浏览器ctrl+f搜索结果。实现方案是，将文本字符串中的关键字搜索出来，然后使用特殊的标签（比如font标签）包裹关键词替换匹配内容，最后得到一个HTML字符串，渲染该字符串并在font标签上使用CSS样式即可实现高亮的效果。 当时的实现过于简单，没有支持接收HTML字符串作为内容进行关键词匹配。这两天有同学问到，就又思考了这个问题，发现并不是那么麻烦，写了几行代码解决一下。 一、匹配关键字：HTML字符串与文本字符串对比 1. 纯文本字符串的处理 对于纯文本字符串，如：“江畔何人初见月？江月何年初照人？”，假如我们想匹配“江月”这个关键字，则匹配结果可处理为： 江畔何人初见月？ < font style = "background: #ff9632" > 江月 </ font > 何年初照人？ 这样“江月”两个字被font标签包裹，在font标签上应用特殊的背景样式以达到关键字高亮的效果。 2. 对HTML字符串的处理 对于上述例子，如果内容字符串是一个HTML文本： 江畔何人初见 < b > 月 </ b > ？江 < b > 月 </ b > 何年初照人？ 对于同样的关键词“江月”，怎样处理它呢？因为关键词中的字在不同的标签内

All Papers 38 - ShapeCaptioner: Generative Caption Network for 3D Shapes by Learning a Mapping from Parts Detected in Multiple Views to Sentences "Zhizhong Han (University of Maryland, College Park); Chao Chen (Tsinghua University); Yu-Shen Liu (Tsinghua University)*; Matthias Zwicker (University of Maryland)" 46 - VideoIC: A Video Interactive Comments Dataset and Multimodal Multitask Learning for Comments Generation Weiying Wang (Renmin University of China)*; Jieting Chen (Renmin University of China); Qin Jin (Renmin University of China) 53 - Image Inpainting Based on Multi-frequency

什么是RNA-Seq (RNA Sequencing) 2011-07-14 ~ ADMIN 随着ome为词尾的各种组学的出现，转录组学已经成为了人们了解生物信息的一个重要组成部分。人们使用了许多办法来掌握转录组的情况，主要分为两类，一类是基于杂交，一类是基于下一代测序技术(Next Generation Sequencing, NGS)。 基于杂交的办法，主要是依靠印刷有荧光标记探针的基因芯片来实现。比如说基因组芯片，它高密度的集成了分辨率高达几bp~100bp的探针，通过与样品杂交荧光显色的办法来勾画转录组的情况。虽然基因芯片高度集成，并且易于应用，成本低，但是，这一手段高度地依赖已知信息，这不利于发现新知，同时，它还存在着高背噪，非特异杂交所带来的无法分辨弱信号和过饱和信号的问题。当然，在不同样品的比较当中，甚至在同一芯片内部，都存在杂交不均匀带来的各种问题，需要诸如标准化等统计学手段来分析结果。 随着下一代测序技术的成熟，它很快就被应用到转录组学的研究上来，并被寄以厚望。相比于杂交来说，测序技术直接针对的是cDNA进行测序，所以基分辩率在理论上可以达到单碱基的水平。然而这在高通量的要求之下变得比较困难。人们使用deep-sequencing技术来解决这一问题。深度测序，顾名思意，其是基于已有的基因组水平上的测序，也就是说它需要完整的参考序列。从这个意义上来说

近日，一则广东学生伪造清华大学录取通知书的新闻引发众人关注，牵出淘宝伪造证书产业链。 珠宝玉石鉴定证书也时常会有造假情况出现。一份真实有效的珠宝鉴定证书，检测费从几十元到上百元不等，而一张虚假鉴定证书的成本仅需几分钱，对外批发价格不到五块钱。有些不良商家利用消费者的对珠宝玉石及鉴定证书的专业知识不了解，以次充好、以假乱真，以达到其获取暴利的目的。 珠宝玉石鉴定证书作为珠宝首饰必备的“身份证”，我们该如何辨别鉴定证书真伪呢？ 珠宝鉴定证书怎么看？ 01 先看证书上的logo 当拿到宝石和证书后，先不用去看证书上的结论，可以先看下证书上是否有这些logo，拥有这些logo，代表已获得相应单位的认可或授权。 第一种：CMA，它是China Metrology Accreditation 的英文缩写，也就是国家计量认证/认可的意思，也就是说这个标志是任何一家出具珠宝鉴定证书的单位都必须具备的基本资质（注意啦，这是最基本的一个标志）。 第二种：CAL，它是China Accredited Laboratory也就是中国考核合格检验实验室的英文缩写，简单的来说就是鉴定机构有了CAL这个标志，就意味着检验人员、检验仪器、检验依据和方法是合格的，所以如果你的证书上有CAL的标志，就说明你手上的鉴定证书具有权威性和法律效力。 第三种：CNAS，它是China National

加州门洛帕克--(美国商业资讯)--癌症高级基因组学的领导者Personalis, Inc. (Nasdaq:PSNL)今天宣布与总部位于中国的贝瑞基因 ( Berry Genomics)建立合作关系。 Personalis将在2020年扩大在华业务运营，并计划在上海成立全资子公司。该扩张计划将包括建立一个允许本地客户使用其 ImmunoID NeXT Platform TM的实验室部门、一个为本地客户提供支持的商业团队以及一般和管理职能。 根据协议条款，贝瑞基因将为Personalis提供某些服务和本地支持。 首席执行官John West表示： “我很高兴能够宣布与总部位于中国的备受赞誉的贝瑞基因建立合作伙伴关系。我们位于加州门洛帕克的工厂已实现高度规模化，我们已准备好在全球进行扩展，与一家拥有贝瑞基因的过往业绩和能力的公司建立合作伙伴关系，将有助于我们加快业务发展。两家公司都受益于来源于二代测序技术(NGS)的经验，联手之后我们将进一步加深这种经验。” 贝瑞基因首席执行官周代星博士表示：“我们很高兴与Personalis合作，Personalis以提供更全面的分子数据来实现下一代癌症治疗药物开发的转型而闻名。我们一直专注于疾病检测并阐明潜在的分子机制。这种伙伴关系将为制药界服务，并最终使他们能够开发更好的治疗药物，这是我们当前业务的自然延伸。” 关于 贝瑞基因

本文最初发表在 Medium 博客，经原作者 Kesk -*- 授权，InfoQ 中文站翻译并分享。 1947 年 9 月 9 日下午 3:45，美国计算机科学家兼美国海军少将 Grace Murray Hopper 在 Harvard Mark II 计算机日志中记录了第一个计算机 Bug。她写道：“发现 Bug 的第一个实际案例。” 在这个领域不犯任何错误可能会很难，但幸运的是，并不是所有的错误都如此昂贵。在这份总结列表中，我收集了一些一直引起我注意的错误。 1. 亚利安 5 号运载火箭爆炸事件 1996 年 6 月 4 日，欧洲空间局（European Space Agency，ESA）发射的亚利安 5 号（Ariane 5）运载火箭在法属圭亚那的库鲁发射场发射后仅 40 秒就爆炸了。这枚火箭经过长达十年的研发，耗资 80 亿美元后进行首飞，但这一 Bug 的结果导致了 3.7 亿美元的损失。 首飞失败的原因是整数溢出，这是计算机编程中一个普遍存在的错误。在本例中，有人试图在 16 位空间中设置 64 位数字。 2. PayPal 意外向某人支付 92 千万亿美元 当 Chris Reynolds 打开他的 PayPal 电子邮件对账单时，这位宾夕法尼亚州公关主管的账户余额显示为 92,233,720,368,547,800 美元。 在 64 位数字的世界里，这个数字太过庞大

一、客户简介 重庆首厚智能科技研究院有限公司（以下简称“首厚智能”）是一家集检验检测行业实验室信息管理系统（LIMS）自主研发、生产、销售、服务为一体的高新技术企业。公司于2006年涉足实验室系统研发领域，2014年从贸易型企业向自主研发企业转型。公司总部设在重庆，在全国拥有6个营销中心、5个交付中心，主要覆盖西南、西北及华中地区。 首厚智能以“互联网+智慧实验室解决方案”为核心，业务范围覆盖实验室智能化、数字化发展等多态融合的全新实验室服务，为科研企业提供应用系统开发、定制化系统开发、异构系统集成、信息系统运行维护、系统培训、软件及计算机硬件产品销售等服务。 二、项目背景 实验室信息管理系统，Laboratory Information Management System（简称LIMS）。它是由计算机硬件和应用软件组成，能够完成实验室数据和信息的收集、分析、报告和管理。LIMS基于计算机局域网，针对一个实验室的整体环境而设计，包括对信号采集设备、数据通讯软件、数据库管理软件在内的各系统集成，借助图形化工作流、智能表单、物联网、移动互联等技术，以实验室为中心，将实验室的业务流程、环境、人员、仪器设备、标物标液、化学试剂、标准方法、图书资料、文件记录、科研管理、项目管理、客户管理等因素有机结合，组成一个全面、规范的管理体系，为成本严格控制、人员量化考核

人员信息 主讲嘉宾 姓名 ： 朱俊彦 （Jun-Yan Zhu） 现状 ：麻省理工学院博士后（PostDoc at MIT），计算机科学与人工智能实验室（Computer Science and Artificial Intelligence Laboratory, CSAIL） 个人主页 ： http://people.csail.mit.edu/junyanz/ 图形学中的尝试：趁手的武器 or 白费功夫？ 在传统的图形学管线（pipeline）中，输出图像需要经过建模、材质贴图、光照、渲染等一系列繁琐的步骤（见下图）。 现在大家看到了Deep Learning的潜力，那我们自然的就有个想法：有没有可能使用Deep Learning简化计算机图形学（Computer Graphics）的研究呢？ 一个直接的想法是把DNN“倒过来用”。之前的DNN可能是输入一幅图像，输出一个标签（比如说猫），那我们能不能输入“猫”这个字，输出一张猫的照片呢？ 很遗憾，答案是No！因为这种任务实在太复杂啦！我们很难让DNN凭空输出图像这样的 高维数据（High dimensional data） （这里的“高维”可以理解成数据量大）。实际上，在很长一段时间里，DNN只能输出数字这种简单的、低分别率的小图像，就像下面这样： 而想要生成想游戏场景这类的图片，这种方法根本没用。所以