技术文章

点击上方蓝色“ 肉眼品世界 ”，选择“设为星标” 来源 ：r6d.cn/E8pb 差不多十年前，随着功能机的淘汰和智能机的普及，互联网开始进入移动互联网时代，最具代表性的产品就是微博、微信，以及后来的今日头条、快手等。这些移动化联网时代的新产品在过去几年间借着智能手机的风高速成长。 简介 差不多十年前，随着功能机的淘汰和智能机的普及，互联网开始进入移动互联网时代，最具代表性的产品就是微博、微信，以及后来的今日头条、快手等。这些移动化联网时代的新产品在过去几年间借着智能手机的风高速成长。 这些产品都是Feed流类型产品，由于Feed流一般是按照时间“从上往下流动”，非常适合在移动设备端浏览，最终这一类应用就脱颖而出，迅速抢占了上一代产品的市场空间。 Feed流是Feed + 流，Feed的本意是饲料，Feed流的本意就是有人一直在往一个地方投递新鲜的饲料，如果需要饲料，只需要盯着投递点就可以了，这样就能源源不断获取到新鲜的饲料。在信息学里面，Feed其实是一个信息单元，比如一条朋友圈状态、一条微博、一条咨询或一条短视频等，所以Feed流就是不停更新的信息单元，只要关注某些发布者就能获取到源源不断的新鲜信息，我们的用户也就可以在移动设备上逐条去浏览这些信息单元。 当前最流行的Feed流产品有微博、微信朋友圈、头条的资讯推荐、快手抖音的视频推荐等，还有一些变种，比如私信、通知等

跟着大佬轻松复现： https://github.com/jas502n/OA-tongda-RCE 通达OA下载： https://www.tongda2000.com/download/2019.php 傻瓜式安装，不作多介绍。 漏洞原因：未授权文件上传 + 文件包含（利用nginx日志也可以getshell） 版本不同路径不同 2013： 文件上传路径：/ispirit/im/upload.php 文件包含路径：/ispirit/interface/gateway.php 2017： 文件上传路径：/ispirit/im/upload.php 文件包含路径：/mac/gateway.php 复现过程 文件上传 抓取数据包使用Burp改成POST，再改成 from-data 就好了 Request： POST /ispirit/im/upload.php HTTP/1.1 Host: 192.168.95.129 Cache-Control: max-age=0 Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36 Accept:

下载源码: http://git.oschina.net/fantsme/oschina-for-pc/repository/archive?ref=master ,解压。 安装依赖： sudo apt-get install python-qt4 sudo pip install xmltodict sudo apt-get install python-bs4 运行 python oschina-for-pc/OSChina-client-pc/src/osc.py 上图： 来源： oschina 链接： https://my.oschina.net/u/25940/blog/152170

##系列目录 1.Jenkins 安装 2.Jenkins 集群 3.Jenkins 持续集成 - ASP.NET Core 持续集成(Docker&自由风格&Jenkinsfile) 4.Jenkins 高级用法 - Pipeline 安装 5.Jenkins 高级用法 - Jenkinsfile 介绍及实战经验 6.Jenkins 高级用法 - Blue Ocean 使用 7.Jenkins 高级用法 - 根据 git commit 控制构建过程 8.Jenkins 高级用法 - 微服务DevOps实战(ASP.NET Core) 常见问题： 1.Jenkins 时区设置 2.Jenkins 无法捕获构建脚本错误问题 一.什么是 Jenkinsfile Jenkinsfile 是 Jenkins 2.x 核心特性 Pipeline 的脚本，由Groovy语言实现。Jenkinsfile一般是放在项目根目录，随项目一起受源代码管理软件控制，无需像创建“自由风格"（Jenkins FreeStyle）项目一样，每次可能需要拷贝很多设置到新项目，提供了一些直接的好处： Pipeline上的代码审查/迭代 Pipeline的审计跟踪 Pipeline的唯一真实来源，可以由项目的多个成员查看和编辑。 Pipeline支持：Declarative（在Pipeline 2.5中引入

就在昨天，也就是2020年8月11日，go开发团队发布了go最新版本1.15。该版本在 1.14 的基础上继续改进工具链、运行时和库。也保留了GO1兼容性的承诺。这几乎保证所有的go程序都能像以前那样的正常编译与运行。并且在Go 1.15中对链接器也有重大改进，改进了对具有大量内核的小对象的分配，并弃用了 X.509 CommonName。GOPROXY 现在支持跳过返回错误的代理，并添加了新的嵌入式 tzdata 包。 编译器 包 unsafe 的安全规则允许在调用某些函数时将 unsafe.Pointer 转换为 uintptr 。以前，在某些情况下，编译器允许进行多次链接转换（例如 syscall.Syscall(…uintptr(uintptr(ptr)), …) ）。现在，编译器只需要一次转换。使用多次转换的代码应进行更新以满足安全规则。与 Go 1.14 相比，Go 1.15 通过消除某些类型的 GC 元数据并更积极地消除了未使用的类型元数据，与 Go 1.14 相比将典型的二进制大小减少了大约5％。该工具链现在通过将函数与 32 字节边界对齐并填充跳转指令来缓解 GOARCH=amd64 上的 Intel CPU 勘误 SKX102 。尽管此填充增加了二进制大小，但这远远超出了上述二进制大小改进所弥补的范围。Go 1.15在编译器和汇编器中都添加了一个标志

Flutter 1.12稳定版发布，桌面和浏览器势头很强。 [1]. 官方已经有响应式的布局的打算了，坐等。(有生之年) [2]. UI界面的可以预览，终于等到你... [3]. 0环境，浏览器运行Flutter，是什么样的体验... [4]. 多设备，6平台同时调试，就问你有没有这么多钱买设备 ~ [5]. UI通过设计图生成Widget supernova.io， [6]. Adobe XD,直接连接设备，设计时，改UI直接更新界面? 当时网卡了一下，开头没看太清。 [7]. 也演示了手柄、游戏的控制，巴拉巴拉... 我最喜欢的是gskinner 的炫酷交互页面,而且开源。 可访问:https://flutter.gskinner.com/ [8]. 在线字体库，多到你想不到... 复制代码 One For All的梦想 浏览器运行Flutter UI界面的可以预览,不止是预览 多设备，多平台同时调试 UI通多设计图生成Widget 下载工具 supernova.io 牛X哄哄的Adobe XD，自己去体验吧... 开篇 鸡血打完了，但是别太兴奋。Flutter很棒是没错，但是... Flutter不是神，只是一把 跨界斩杀的最强之剑 。你不会编程的心法和剑法，不磨炼技艺和逻辑控制力。握着最强的剑，耍几招三脚猫功夫就说会用了? 醒醒吧，孩子，你对于力量一无所知。 很多人提问

维度建模的基本概念 维度建模(dimensional modeling)是专门用于分析型数据库、数据仓库、数据集市建模的方法。 它本身属于一种关系建模方法，包含了基本的两个概念： 1. 维度表(dimension) 表示对分析主题所属类型的描述。比如"昨天早上张三在京东花费200元购买了一个皮包"。那么以购买为主题进行分析，可从这段信息中提取三个维度：时间维度(昨天早上)，地点维度(京东), 商品维度(皮包)。通常来说维度表信息比较固定，且数据量小。 2. 事实表(fact table) 表示对分析主题的度量。比如上面那个例子中，200元就是事实信息。事实表包含了与各维度表相关联的外码，并通过JOIN方式与维度表关联。事实表的度量通常是数值类型，且记录数会不断增加，表规模迅速增长。 注：在数据仓库中不需要严格遵守规范化设计原则(具体原因请看 上篇 )。本文示例中的主码，外码均只表示一种对应关系，此处特别说明 。 维度建模的三种模式 1. 星形模式 星形模式(Star Schema)是最常用的维度建模方式，下图展示了使用星形模式进行维度建模的关系结构： 可以看出，星形模式的维度建模由一个事实表和一组维表成，且具有以下特点： a. 维表只和事实表关联，维表之间没有关联； b. 每个维表的主码为单列，且该主码放置在事实表中，作为两边连接的外码； c. 以事实表为核心

十八、PostgreSQL控制文件管理与恢复 1、控制文件的结构 2、如何维护控制文件 3、有备份控制文件损坏恢复 4、无备份控制文件损坏恢复 PG的控制文件与Oracle的控制文件一样重要，如果缺少直接影响数据库的启动与备份恢复，本次计算沙龙对PG控制文件的内容和结构进行详细的阐述，并介绍如何如何在没有备份控制文件的环境下恢复控制文件，是对数据库进行恢复的利器。 PG控制文件卡 通通告诉你方法 主讲：CUUG陈卫星老师 时间：2020-07-18 20:00-21:00 地址：腾讯课堂搜索‘cuug’ 来源： oschina 链接： https://my.oschina.net/u/3902946/blog/4403666

点击上方“ java大数据修炼之道 ”，选择“ 设为星标 ” 优质文章, 第一时间送达 作者：tengshe789 juejin.im/post/5c0ba2bef265da614d08fefe 微服务的概念最早在 2012 年提出，在 Martin Fowler 的大力推广下，微服务在 2014 年后得到了大力发展。 今天我们通过一组手绘图来梳理下微服务的核心架构。 什么是微服务？ 微服务 Microservices 之父，马丁.福勒，对微服务大概的概述如下： 就目前而言，对于微服务业界并没有一个统一的、标准的定义（While there is no precise definition of this architectural style ) 。 但通常在其而言，微服务架构是一种架构模式或者说是一种架构风格，它提倡将单一应用程序划分成一组小的服务，每个服务运行独立的自己的进程中，服务之间互相协调、互相配合，为用户提供最终价值。 服务之间采用轻量级的通信机制互相沟通（通常是基于 HTTP 的 RESTful API ) 。 每个服务都围绕着具体业务进行构建，并且能够被独立地部署到生产环境、类生产环境等。 另外，应尽量避免统一的、集中式的服务管理机制，对具体的一个服务而言，应根据业务上下文，选择合适的语言、工具对其进行构建，可以有一个非常轻量级的集中式管理来协调这些服务。

声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。 前言 在一次项目中偶然发现了一处excel上传功能，恰巧碰到Apache POI与OOB-XXE两种漏洞同时利用成功的情况，实属幸运，特别将这次渗透过程记录分享给大家，希望给大家启发，不足之处也请指教。 No.1 背景介绍 Apache POI Excel、Word、pdf上传功能在一些财务、办公、数据分析系统中较为常见，在其他一些需要批量导入数据的系统中也是较为常用的功能。开发人员也大多使用Apache POI 的java类库来解析文件，关于POI的XXE漏洞在目前公开的信息中，有下面的CVE ，CVE-2014-3529、CVE-2016-5000、CVE-2017-5644，其影响版本大多为3.15以前版本，具体信息大家可根据CVE进行查询。 OOB-XXE OOB-XXE（Out-of-band XML External Entity），全称带外XML外部实体，与很多其他漏洞一样XXE也分为带内和带外。带内XXE攻击更为常见