Monthly Archives: August 2018

Spring Boot(二)：Web 综合开发

上篇文章介绍了 Spring Boot 初级教程：Spring Boot(一)：入门篇，方便大家快速入门、了解实践 Spring Boot 特性；本篇文章接着上篇内容继续为大家介绍 Spring Boot 的其它特性（有些未必是 Spring Boot 体系桟的功能，但是是 Spring 特别推荐的一些开源技术本文也会介绍），对了这里只是一个大概的介绍，特别详细的使用我们会在其它的文章中来展开说明。 Web 开发 Spring Boot Web 开发非常的简单，其中包括常用的 json 输出、filters、property、log 等 json 接口开发 在以前使用 Spring 开发项目，需要提供 json 接口时需要做哪些配置呢 添加 jackjson 等相关 jar 包 配置 Spring Controller 扫描 对接的方法添加 @ResponseBody 就这样我们会经常由于配置错误，导致406错误等等，Spring Boot 如何做呢，只需要类添加 @RestController 即可，默认类中的方法都会以 json 的格式返回

  如果需要使用页面开发只要使用@Controller注解即可，下面会结合模板来说明 自定义 Filter 我们常常在项目中会使用 filters 用于记录调用日志、排除有 XSS 威胁的字符、执行权限验证等等。Spring Boot 自动添加了 OrderedCharacterEncodingFilter 和 HiddenHttpMethodFilter，并且我们可以自定义 Filter。 两个步骤： 实现 Filter 接口，实现 Filter 方法 添加@Configuration 注解，将自定义Filter加入过滤链 好吧，直接上代码

  自定义 Property 在 Web 开发的过程中，我经常需要自定义一些配置文件，如何使用呢 配置在 application.properties 中

  自定义配置类

  log配置 […]

SpringBoot学习资料汇总

推荐博客 纯洁的微笑 程序猿DD liaokailin的专栏 Spring Boot 揭秘与实战 系列 catoop的专栏 简书Spring Boot专题 方志朋Spring Boot 专栏 Spring-boot集成 推荐网站 Spring boot 官网 Spring Boot参考指南-中文版 Gradle 中文参考指南 慕课网视频 spring-boot-tutorials 开源书籍-微服务：从设计到部署 开源代码 spring boot官方例子 spring-boot-examples SpringBoot-Learning favorites-web springboot-learning-example spring-boot-all   from:http://www.ityouknow.com/springboot/2015/12/30/springboot-collect.html

SpringBoot 项目，自动编译，热部署，立刻看到效果

1：在pom.xml 中 配置

注意：并不是pom.xml 的<build>标签中 2： 如果有页面的话 禁止页面缓存

  3：开idea工具的自动编译功能 完成以上步骤 即可实现SpringBoot项目自动编译+热部署，这我们修改后的代码能够立刻看到效果，提高效率！ from:https://blog.csdn.net/woshiyeguiren/article/details/79312245   转者PS：其他构建工具可以去http://mvnrepository.com/搜索~

Spring Boot(一)：入门篇

什么是 Spring Boot Spring Boot 是由 Pivotal 团队提供的全新框架，其设计目的是用来简化新 Spring 应用的初始搭建以及开发过程。该框架使用了特定的方式来进行配置，从而使开发人员不再需要定义样板化的配置。用我的话来理解，就是 Spring Boot 其实不是什么新的框架，它默认配置了很多框架的使用方式，就像 Maven 整合了所有的 Jar 包，Spring Boot 整合了所有的框架。 使用 Spring Boot 有什么好处 其实就是简单、快速、方便！平时如果我们需要搭建一个 Spring Web 项目的时候需要怎么做呢？ 1）配置 web.xml，加载 Spring 和 Spring mvc 2）配置数据库连接、配置 Spring 事务 3）配置加载配置文件的读取，开启注解 4）配置日志文件 … 配置完成之后部署 Tomcat 调试 … 现在非常流行微服务，如果我这个项目仅仅只是需要发送一个邮件，如果我的项目仅仅是生产一个积分；我都需要这样折腾一遍! 但是如果使用 Spring Boot 呢？ 很简单，我仅仅只需要非常少的几个配置就可以迅速方便的搭建起来一套 Web 项目或者是构建一个微服务！ 使用 Spring Boot 到底有多爽，用下面这幅图来表达 快速入门 说了那么多，手痒痒的很，马上来一发试试! Maven 构建项目 1、访问 http://start.spring.io/ 2、选择构建工具 Maven Project、Java、Spring Boot 版本 2.1.3 以及一些工程基本信息，可参考下图所示： 3、点击 Generate Project 下载项目压缩包 4、解压后，使用 Idea 导入项目，File -> New -> Model from Existing Source.. -> 选择解压后的文件夹 -> OK，选择 Maven 一路 […]

weex

2016年4月21日，阿里巴巴在Qcon大会上宣布开源跨平台移动开发工具Weex，Weex能够完美兼顾性能与动态性，让移动开发者通过简捷的前端语法写出Native级别的性能体验，并支持iOS、安卓、YunOS及Web等多端部署。 对于移动开发者来说，Weex主要解决了频繁发版和多端研发两大痛点，同时解决了前端语言性能差和显示效果受限的问题。开发者可通过Weex官网申请内测。（http://alibaba.github.io/weex/） 开发者只需要在自己的APP中嵌入Weex的SDK，就可以通过撰写HTML/CSS/JavaScript来开发Native级别的Weex界面。Weex界面的生成码其实就是一段很小的JS，可以像发布网页一样轻松部署在服务端，然后在APP中请求执行。 与 现有的开源跨平台移动开放项目如Facebook的React Native和微软的Cordova(开源中国小编的失误，还是勾股的？)相比，Weex更加轻量，体积小巧。因为基于web conponent标准，使得开发更加简洁标准，方便上手。Native组件和API都可以横向扩展，方便根据业务灵活定制。Weex渲染层具备优异的性 能表现，能够跨平台实现一致的布局效果和实现。对于前端开发来说，Weex能够实现组件化开发、自动化数据绑定，并拥抱Web标准。 突出特点： 致力于移动端，充分调度 native 的能力 充分解决或回避性能瓶颈 灵活扩展，多端统一，优雅“降级”到 HTML5 保持较低的开发成本和学习成本 快速迭代，轻量实时发布 融入现有的 native 技术体系 工程化管理和监控等 轻量：体积小巧，语法简单，方便接入和上手 可扩展：业务方可去中心化横向定制组件和功能模块 高性能：高速加载、高速渲染、体验流畅 from:https://www.oschina.net/p/weex

Jenkins远程代码执行漏洞检查(CVE-2017-1000353）

Jenkins的反序列化漏洞，攻击者使用该漏洞可以在被攻击服务器执行任意代码，漏洞利用不需要任何的权限 漏洞影响范围： 所有Jenkins主版本均受到影响(包括<=2.56版本) 所有Jenkins LTS 均受到影响( 包括<=2.46.1版本) 测试步骤： 1.下载生成反序列的payload: https://github.com/nobleXu/jenkins 2.生成一个jenkins_poc1.ser反序列文件 java  -jar  jenkins_payload.jar  jenkins_poc1.ser  "ping www.baidu.com" 3.下载jenkins.py文件： 下载链接: https://pan.baidu.com/s/1misPilU 密码: 6qqh 4.编辑jenkins.py文件,修改url地址：   5.执行jenkins.py： python3  exploit.py 6.通过dnslog可以看到反序列请求日志记录：   测试总结： Jenkins运行环境是在linux下，win环境利用不成功 参考文献： https://github.com/phith0n/vulhub/tree/master/jenkins/CVE-2017-1000353 https://blogs.securiteam.com/index.php/archives/3171 https://xianzhi.aliyun.com/forum/read/1567.html   from:https://www.cnblogs.com/backlion/p/6813260.html

想要快速上手 Spring Boot？看这些教程就足够了！| 码云周刊第 81 期

本期为大家精选了 码云 上优秀的 Spring Boot 语言开源项目，涵盖了企业级系统框架、文件文档系统、秒杀系统、微服务化系统、后台管理系统等，希望能够给大家带来一点帮助：）   1、项目名称：分布式敏捷开发系统架构     项目简介：基于 Spring + SpringMVC + Mybatis 分布式敏捷开发系统架构，提供整套公共微服务服务模块：集中权限管理（单点登录）、内容管理、支付中心、用户管理（支持第三方登录）、微信平台、存储系统、配置中心、日志分析、任务和通知等，支持服务治理、监控和追踪，努力为中小型企业打造全方位J2EE企业级开发解决方案。   项目地址：https://gitee.com/shuzheng/zheng   2、项目名称：模块化开发系统     项目简介：以 SpringBoot 为中心，模块化开发系统，用户可以随意删减除权限框架外 任意的系统模块。复用，组装性强主要应用技术： spring Security Ehcache quartz swagger2 Mysql5.6 springjdbc druid spring social spring session layerui+vue.js 项目地址：https://gitee.com/YYDeament/88ybg   3、项目名称：JAVA 分布式快速开发平台     项目简介：JAVA 分布式快速开发平台：SpringBoot，SpringMVC，Mybatis，mybatis-plus，motan/dubbo分布式，Redis 缓存，Shiro 权限管理，Spring-Session 单点登录，Quartz 分布式集群调度，Restful 服务，QQ/微信登录，App token 登录，微信/支付宝支付；日期转换、数据类型转换、序列化、汉字转拼音、身份证号码验证、数字转人民币、发送短信、发送邮件、加密解密、图片处理、excel 导入导出、FTP/SFTP/fastDFS 上传下载、二维码、XML 读写、高精度计算、系统配置工具类等。   项目地址：https://gitee.com/iBase4J/iBase4J   4、项目名称：快速开发框架 ThinkGem   项目简介：Java EE（J2EE）快速开发框架，基于经典技术组合（Spring MVC、Apache Shiro、MyBatis、Bootstrap UI），包括核心模块如：组织机构、角色用户、权限授权、数据权限、内容管理、工作流等。虽说很长时间没有大的更新了，但它的架构精良易于扩展深受大家喜爱，依然是中小企业的首选，它的功能设计、底层架构也非常具有参考意义、是学习入门的首选。关注我ThinkGem开源中国博客了解4.0最新动态。   项目地址：https://gitee.com/thinkgem/jeesite   5、项目名称：Java 快速开发平台 MCMS   项目简介：完整开源，Java 快速开发平台。基于 Spring、SpringMVC、Mybatis 架构，MStore 提供更多好用的插件与模板（文章、商城、微信、论坛、会员、评论、支付、积分、工作流、任务调度等，同时提供上百套免费模板任意选择），价值源自分享！铭飞系统不仅一套简单好用的开源系统、更是一整套优质的开源生态内容体系。   项目地址：https://gitee.com/mingSoft/MCMS   6、项目名称：分布式秒杀系统 项目简介：可能秒杀架构原理大家都懂，网上也有不少实现方式，但大多都是文字的描述，告诉你如何如何，什么加锁、缓存、队列之类。但很少全面有的案例告诉你如何去做，既然是从0到1，希望以下代码案例可以帮助到你。当然最终落实到生产，还有很长的路要走，要根据自己的业务进行编码，实施并部署。你将会在代码案例中学到以下知识： 如何搭建 SpringBoot 微服务 ThreadPoolExecutor […]

PHP 现反序列化漏洞，或使 WordPress 遭远程攻击

英国安全公司 Secarma 的研究主管 Sam Thomas 本月在 Black Hat 和 BSides 安全会议上展示了 PHP 编程语言的安全漏洞，并指出该漏洞影响了所有接受用户资料的 PHP 应用程序和库，包括 WordPress 等内容管理系统（CMS），并将允许远程程序攻击。 序列化（Serialization）与反序列化（Deserialization）是所有编程语言都具备的功能，序列化将对象转换为字符串，以将数据迁移到不同服务器，服务或应用程序上，然后通过反序列将字符串还原到对象。 安全研究员 Stefan Essar 在 2009 年就透露了 PHP 中反序列化黑客控制的数据带来的风险，而相关的漏洞不仅存在于 PHP 中，还存在于其他编程语言中。 Thomas 公布的是 PHP 的新攻击技术，可用于各种场景，例如 XML External Entity（XEE）漏洞或服务器端伪造请求（SSFR）漏洞等。 Thomas 表示，过去外界认为 XXE 漏洞带来的最大问题是信息外泄，但现在可出发程序执行。相关攻击分为两个阶段。 首先，将包含恶意对象的 Phar 存档上传到攻击目标的本地文件系统，然后触发一个基于 phar:// 的文件操作，就可能导致恶意程序执行。 Thomas 已利用 PHP 的反序列化程序成功攻击了 WordPress 与 Typo3 内容管理平台，以及 Contao 所采用的 TCPDF 库。   from:https://www.oschina.net/news/99165/php-unserialization-vulnerability

DART

Dart是谷歌开发的计算机编程语言，后来被Ecma (ECMA-408)认定为标准 。它被用于web、服务器、移动应用和物联网等领域的开发。它是宽松开源许可证（修改的BSD证书）下的开源软件。 Dart是面向对象的、类定义的、单继承的语言。它的语法类似C语言，可以转译为JavaScript，支持接口(interfaces)、混入(mixins)、抽象类(abstract classes)、具体化泛型(reified generics)、可选类型(optional typing)和sound type system。

栅格化

栅（shan）格化，是PS中的一个专业术语，栅格即像素，栅格化即将矢量图形转化为位图（栅格图像）。最基础的栅格化算法将多边形表示的三维场景渲染到二维表面。 读了好多年的zha格化~~