Struts2被曝遠端程式碼執行漏洞;叮咚買菜搶菜工具;find替代方案…|叨資訊
哈嘍,大家好,我是強哥。
Struts2被曝遠端程式碼執行漏洞;Facebook開源文字編輯器庫Lexical;PyCharm 2022.1 正式釋出;一起開發一個馬里奧的小遊戲;叮咚買菜搶菜工具;你的Spring專案有漏洞嗎?;find替代方案。
科技資訊
Struts2被曝遠端程式碼執行漏洞
Struts2是一個基於MVC設計模式的Web應用框架,它本質上相當於一個servlet,在MVC設計模式中,Struts2作為控制器(Controller)來建立模型與檢視的資料互動。
雖然現在用的人比較少了,但是有些公司的舊專案可能用的還是這個。
Apache官方釋出了Apache Struts2存在遠端程式碼執行漏洞的風險通告(CVE-2021-31805),遠端攻擊者可利用該漏洞對受影響的伺服器實施遠端攻擊,導致任意程式碼執行從而控制目標系統。該漏洞危害等級:高 ,受影響版本為Struts 2.0.0 - Struts 2.5.29。目前,開發者可使用以下措施進行臨時緩解:
-
將輸入引數的值重新分配給某些Struts的標籤屬性時,始終對其進行驗證,不要在值以外的標籤屬性中使用%{...} 語法引用使用者可修改的輸入;
-
開啟ONGL表示式注入保護。
Facebook開源文字編輯器庫Lexical
Facebook開源可擴充套件文字編輯器庫Lexical,採用MIT許可證。Lexical的核心是一個文字編輯引擎,一個構建功能豐富的Web編輯器平臺。Facebook相信使用者不應該在每一個實現中重複編寫相同的富文字功能。Lexical提供了一組模組化包,可用於新增常見功能如列表、連結和表格。
PyCharm 2022.1 正式釋出
v2022.1 版本是 PyCharm 在 2022 年的第一個版本,該版本專注於完善現有功能和工作流程,而不是新增新功能,尤其是改善在之前的版本中所引入的多個期待已久的功能之後,例如對 Jupyter 的支援和遠端開發等。
PyCharm 2022.1 的更新內容包括:
- IDE: 對自定義軟體包庫的認證支援:可以配置基本的 HTTP 認證來訪問自定義軟體包庫,並通過 PyCharm 管理依賴項,而無需切換到終端進行手動安裝。
- 程式碼洞察: ypedDict 的增強程式碼補全;改進的 TypedDict 警告。
- 改進的 Markdown 支援: 從 Markdown 檔案執行命令;複製 Markdown 的程式碼片段。
- Jupyter 支援[Pro]: 程式碼單元在執行後仍處於編輯模式;優化的單元格複製貼上。
詳細地址:https://blog.jetbrains.com/pycharm/2022/04/2022-1
開源熱點
一起開發一個馬里奧的小遊戲
a-little-game-called-mario是一個一個使用 Godot 引擎製作的簡單 2D 平臺遊戲,主人公還是我們熟悉的馬里奧。它的存在是為了所有人都能享受——不僅作為玩家,而且作為遊戲開發者。
它捕捉集體想象力的能力,作者相信當人們在一個共同的目標下組織起來時,他們可以做一些非常了不起的事情。不知道你是不是也在想,下次有人問,“哦,你是遊戲開發者?” 你可以自豪地說:“是的。我參與了一個叫馬里奧的小遊戲。”
遊戲開發使用Godot Engine,是一款用於製作視訊遊戲的免費開源工具。比較容易入門。有興趣的小夥伴可以下載專案原始碼然後一起參與遊戲開發哦。
地址:https://iznaut.itch.io/a-little-game-called-mario
叮咚買菜搶菜工具
這個不用多說了,最近上海疫情如此嚴重,APP上搶菜成了人們的日常必做任務。所以,現在對於搶菜外掛也是非常的熱門,強哥就為大家找到了這些天比較熱門的搶菜工具。
安卓上使用的叮咚買菜搶菜外掛:
-
外掛比手動下單更慢,不推薦在高峰期使用,可以在高峰期過後嘗試,但也無法保證100%下單成功。
-
外掛不保證相容所有機型與安卓版本,如果發現無法使用,請及時解除安裝。
地址:https://github.com/Skykai521/DingDongHelper
Java叮咚搶菜工具:
叮咚自動下單:併發呼叫介面方式,多人高峰期實戰反饋10秒以內成功 ;自動將購物車能買的商品全部下單,只需自行編輯購物車和最後支付即可。
非常詳細的操作步驟:
地址:https://github.com/JannsenYang/dingdong-helper
你的Spring專案有漏洞嗎?
spring4shell-scan是一個用於查詢 Spring4Shell (CVE-2022-22965) 和 Spring Cloud RCE (CVE-2022-22963) 漏洞的全自動、可靠且準確的掃描程式。
如果你覺得自己的公司的專案很重要且需要避免專案中有包含比較嚴重的Spring框架漏洞,就可以使用這個專案進行掃描處理。
地址:https://github.com/fullhunt/spring4shell-scan
find替代方案
fd是一種簡單ㄡ快速和使用者友好的find替代方案。
- 方便語法: fd PATTERN而不是find -iname 'PATTERN'.
- 彩色終端輸出 (類似於ls)
- 它是快速的 (見基準下面) .
- 聰明案例: 預設情況下,搜尋不區分大小寫. 如果模式包含大寫字元*, 則切換為區分大小寫字元. .
- 預設情況下,忽略隱藏的目錄和檔案.
- 忽略匹配你.gitignore檔案中的模式,預設情況.
- 正則表示式.
- Unicode感知.
- 命令輸入量50%優於*find: -)
- 用類似於GNU穿行的語法,執行並行命令.
地址:https://github.com/chinanf-boy/fd-zh