一、前言北京时间3月20日晚，知道创宇区块链安全实验室监测到以太坊上分布式跨链协议Li.Finance受到了攻击，攻击者执行了37次call注入获取了多个钱包中约60万美元的资产（204个ETH）。此次资产损失并没有非常大，但项目方对于攻击的处理非常积极并值得学习与肯定(见后文)，目前项目方已补偿了协议损失并修复后重新部署了协议。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。二、分析1.攻击者相关信息攻击tx：0x4b4143cbe7f5475029cf23d6dcbb56856366d91794426f2e33819b9b1aac4e96被攻击合约：0x5A9Fd7c39a6C488E

一、前言北京时间3月20日晚，知道创宇区块链安全实验室监测到以太坊上分布式跨链协议Li.Finance受到了攻击，攻击者执行了37次call注入获取了多个钱包中约60万美元的资产（204个ETH）。此次资产损失并没有非常大，但项目方对于攻击的处理非常积极并值得学习与肯定(见后文)，目前项目方已补偿了协议损失并修复后重新部署了协议。知道创宇区块链安全实验室第一时间跟踪本次事件并分析。二、分析1.攻击者相关信息攻击tx：0x4b4143cbe7f5475029cf23d6dcbb56856366d91794426f2e33819b9b1aac4e96被攻击合约：0x5A9Fd7c39a6C488E

在进行单元测试的时候，往往要设计多个用例逐个放入程序中执行并返回结果，如果我们想自动完成循环放入用例的操作就需要自己写循环语句。而Junit4的新特性就可以直接帮你完成循环的操作，你只需要将用例以特定的格式写入即可，这就是参数化测试，但是这存在一个限制，一个测试类只能测试一个方法。非参数化测试的概念我一直没搜到过，但是根据老师给的实例，大概率就是不使用Junit4的新特性…使用Junit3的标准来实现测试，所以涉及到循环也是自己写的，好处是可以在当前类内为每一个覆盖都单独创建一个测试方法。JUnit4参数化测试Junit4可以把你的所有测试用例自动运行一遍，并且自带判断函数（这里叫断言）ide

在进行单元测试的时候，往往要设计多个用例逐个放入程序中执行并返回结果，如果我们想自动完成循环放入用例的操作就需要自己写循环语句。而Junit4的新特性就可以直接帮你完成循环的操作，你只需要将用例以特定的格式写入即可，这就是参数化测试，但是这存在一个限制，一个测试类只能测试一个方法。非参数化测试的概念我一直没搜到过，但是根据老师给的实例，大概率就是不使用Junit4的新特性…使用Junit3的标准来实现测试，所以涉及到循环也是自己写的，好处是可以在当前类内为每一个覆盖都单独创建一个测试方法。JUnit4参数化测试Junit4可以把你的所有测试用例自动运行一遍，并且自带判断函数（这里叫断言）ide

Xss攻击介绍        XSS攻击又称跨站脚本攻击，通常指利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。通俗的讲就是通过web应用可输入参数，输入script脚本实现xss攻击。主要防御措施是通过web页面关键字特殊字符过滤。        XSS攻击的原理：攻击者会在web页面中插入一些恶意的script代码。当用户浏览该页面的时候，那么嵌套在该页面的代码就会执行，因此会达到攻击用户的目的。那根据这个原理，实际上如果没有做任何的限制，有心人就可以为所欲为了。可以在里面嵌入一些关键代码，把你的信息拿走。确实是个很严重的问题。需求

Xss攻击介绍        XSS攻击又称跨站脚本攻击，通常指利用网页开发时留下的漏洞，通过巧妙的方法注入恶意指令代码到网页，使用户加载并执行攻击者恶意制造的网页程序。通俗的讲就是通过web应用可输入参数，输入script脚本实现xss攻击。主要防御措施是通过web页面关键字特殊字符过滤。        XSS攻击的原理：攻击者会在web页面中插入一些恶意的script代码。当用户浏览该页面的时候，那么嵌套在该页面的代码就会执行，因此会达到攻击用户的目的。那根据这个原理，实际上如果没有做任何的限制，有心人就可以为所欲为了。可以在里面嵌入一些关键代码，把你的信息拿走。确实是个很严重的问题。需求

管理员、托管服务提供商和法国计算机紧急响应小组(CERT-FR)警告说，攻击者积极针对VMwareESXi服务器针对一个已有两年之久的远程代码执行漏洞未打补丁，以部署新的ESXiArgs勒索软件。该安全漏洞编号为CVE-2021-21974，由OpenSLP服务中的堆溢出问题引起，未经身份验证的威胁参与者可以利用该问题进行低复杂度攻击。根据目前的调查，这些攻击活动似乎正在利用CVE-2021-21974漏洞，自2021年2月23日以来已经提供了补丁。当前针对的系统将是6.x版和6.7之前的ESXi管理程序。为了阻止传入的攻击，管理员必须在尚未更新的ESXi管理程序上禁用易受攻击的服务定位协议(

管理员、托管服务提供商和法国计算机紧急响应小组(CERT-FR)警告说，攻击者积极针对VMwareESXi服务器针对一个已有两年之久的远程代码执行漏洞未打补丁，以部署新的ESXiArgs勒索软件。该安全漏洞编号为CVE-2021-21974，由OpenSLP服务中的堆溢出问题引起，未经身份验证的威胁参与者可以利用该问题进行低复杂度攻击。根据目前的调查，这些攻击活动似乎正在利用CVE-2021-21974漏洞，自2021年2月23日以来已经提供了补丁。当前针对的系统将是6.x版和6.7之前的ESXi管理程序。为了阻止传入的攻击，管理员必须在尚未更新的ESXi管理程序上禁用易受攻击的服务定位协议(

因为最近要测试antiddos的功能，所以简单了解了一下antiddos是什么，纯小白。什么是ddos攻击ddos全称是DistributedDenialofService，翻译过来就是分布式拒绝服务。拒绝服务呢，就是用某种技术手段让被攻击的服务器资源耗尽，拒绝正常请求；分布式呢，可以理解成多台计算机联合起来作为一个攻击平台。ddos攻击方法攻击原理如上所述，ddos攻击的目的是为了让被攻击的服务器资源耗尽，服务器资源当然包括计算、网络、存储等，也就是通过一些手段使得服务器的计算性能达到上限、网络带宽被占满或者存储空间被用完，这样服务器就无法响应正常的请求了。攻击种类大家肯定都熟悉OSI七层模

因为最近要测试antiddos的功能，所以简单了解了一下antiddos是什么，纯小白。什么是ddos攻击ddos全称是DistributedDenialofService，翻译过来就是分布式拒绝服务。拒绝服务呢，就是用某种技术手段让被攻击的服务器资源耗尽，拒绝正常请求；分布式呢，可以理解成多台计算机联合起来作为一个攻击平台。ddos攻击方法攻击原理如上所述，ddos攻击的目的是为了让被攻击的服务器资源耗尽，服务器资源当然包括计算、网络、存储等，也就是通过一些手段使得服务器的计算性能达到上限、网络带宽被占满或者存储空间被用完，这样服务器就无法响应正常的请求了。攻击种类大家肯定都熟悉OSI七层模