一、Shiro反序列化漏洞-CVE-2016-4437原理将java对象转换为字节序列（json/xml）的过程叫序列化，将字节序列（json/xml）恢复为java对象的过程称为反序列化。Shiro框架提供了“记住我”的功能，用户登陆成功后会生成经过加密并编码的cookie，cookie的key为RememberMe，cookie的值是经过序列化的，使用AES加密，再使用base64编码，服务端在接收cookie时：检索key的值Base64解码，AES解密进行反序列化时未过滤处理，造成漏洞攻击者使用shiro默认的密钥构造恶意序列化对象进行编码来伪造用户的cookie，服务器反序列化时触发

Log4j2远程代码执行漏洞(cve-2021-44228)复现笔记内容前言Apachelog4j是Apache的一个开源项目，Apachelog4j2是一个就Java的日志记录工具。通过重写了log4j框架，并且引入了大量丰富的特性，可以控制日志信息输送的目的地为控制台、文件、GUI组建等，被应用于业务系统开发，用于记录程序输入输出日志信息。log4j2中存在JNDI注入漏洞，当程序记录用户输入的数据时，即可触发该漏洞。成功利用该漏洞可在目标服务器上执行任意代码。JNDI简单介绍JNDI(JavaNamingandDirectoryInterface,Java命名和目录接口)是SUN公司提供

升级原因近日Openssh暴露出一个安全漏洞CVE-2023-38408，以下是相关资讯：一、漏洞详情OpenSSH是一个用于安全远程登录和文件传输的开源软件套件。它提供了一系列的客户端和服务器程序，包括ssh、scp、sftp等，用于在网络上进行安全的远程登录和文件传输。近日，监测到OpenSSHssh-agent中存在一个远程代码执行漏洞（CVE-2023-38408）。由于对CVE-2016-10009的修复不完整，9.3p2之前的OpenSSH中的PKCS#11功能存在不受信任的搜索路径，如果受害者系统上存在通过ssh-agent(1)的PKCS#11支持加载的特定库，且agent被转

2020年国赛高教杯数学建模B题穿越沙漠原题再现  考虑如下的小游戏：玩家凭借一张地图，利用初始资金购买一定数量的水和食物（包括食品和其他日常用品），从起点出发，在沙漠中行走。途中会遇到不同的天气，也可在矿山、村庄补充资金或资源，目标是在规定时间内到达终点，并保留尽可能多的资金。  游戏的基本规则如下：  （1）以天为基本时间单位，游戏的开始时间为第0天，玩家位于起点。玩家必须在截止日期或之前到达终点，到达终点后该玩家的游戏结束。  （2）穿越沙漠需水和食物两种资源，它们的最小计量单位均为箱。每天玩家拥有的水和食物质量之和不能超过负重上限。若未到达终点而水或食物已耗尽，视为游戏失败。  （3）

安全之安全(security²)博客目录导读ATF(TF-A)安全通告汇总目录一、ATF(TF-A)安全通告TFV-5 (CVE-2017-15031)二、CVE-2017-15031一、ATF(TF-A)安全通告TFV-5 (CVE-2017-15031)Title未初始化或保存/恢复PMCR_EL0可能会泄露安全世界的时间信息CVEIDCVE-2017-15031Date02Oct2017,updatedon04Nov2019VersionsAffectedAll,uptoandincludingv2.1ConfigurationsAffectedAllImpact泄露敏感的安全世界时间信

0x01  漏洞简述2023年07月21日，360CERT监测发现OpenSSH发布了OpenSSH的风险通告，漏洞编号为CVE-2023-38408，漏洞等级：高危，漏洞评分：8.1。OpenSSH是SecureShell(SSH)协议的开源实现，提供一套全面的服务，以促进客户端-服务器环境中不安全网络上的加密通信。0x02  风险等级 威胁等级高影响面广泛攻击价值高利用难度低0x03漏洞详情组件:OpenSSH:OpenSSH漏洞类型:程序逻辑错误实际影响:远程代码执行主要影响:敏感数据窃取简述:该漏洞存在于OpenSSHSSH代理的转发功能中，是一个远程代码执行漏洞。在特定条件下利用SS

VitisAI是Xilinx的开发平台，适用于在Xilinx硬件平台（包括边缘设备和Alveo卡）上进行人工智能算法推理部署。它由优化的IP、工具、库、模型和示例设计组成。VitisAI以高效易用为设计理念，可在XilinxFPGA和ACAP上充分发挥人工智能加速的潜力。0.工具/软件mobaXterm：ssh/uart/…方式远程连接zynqbalenaetcher：镜像烧录工具vitis：自动安装对应版本的vivado、vitisHLS#***********1.安装依赖***********sudoadd-apt-repositoryppa:xorg-edgers/ppasudoapt-

CVE的英文全称是“CommonVulnerabilities&Exposures”通用漏洞披露。CVE就好像是一个字典表，为广泛认同的信息安全漏洞或者已经暴露出来的弱点给出一个公共的名称。使用一个共同的名字，可以帮助用户在各自独立的各种漏洞数据库中和漏洞评估工具中共享数据，虽然这些工具很难整合在一起。这样就使得CVE成为了安全信息共享的“关键字”。如果在一个漏洞报告中指明的一个漏洞，如果有CVE名称，你就可以快速地在任何其它CVE兼容的数据库中找到相应修补的信息，解决安全问题。阿里云漏洞库https://avd.aliyun.com/nvd/listtenable漏洞库(nessus)htt

1、产品简介   KafkaConnect是一种用于在ApacheKafka和其他系统之间可扩展且可靠地流式传输数据的工具。它使快速定义将大量数据移入和移出Kafka的连接器变得简单。KafkaConnect可以摄取整个数据库或从所有应用程序服务器收集指标到Kafka主题中，使数据可用于低延迟的流处理。2、漏洞概述   在ApacheKafkaConnect中存在JNDI注入漏洞，当攻击者可访问KafkaConnectWorker，且可以创建或修改连接器时，通过设置sasl.jaas.config属性为com.sun.security.auth.module.JndiLoginModule，进

目录（一）基本介绍1、微服务架构与SpringCloud2、SpringCloud生态3、网关作用4、SpringCloud Gateway使用5、SpringCloudGateway概念5.1 路由（Route）5.2 断言（Predicate）5.3 过滤器（Filter）6、SpringBoot Actuator6.1使用方法7、Gateway(网关服务)和Actuator(监控组件)8、Actuator操作Gateway接口列表9、总结（二）漏洞复现1、启动SpringCloudGateway服务2、添加过滤器2.1 首先，修改GET/actuator请求，确定actuator端口已经