boxerawy的博客

在2013年6月底发布的Struts 2.3.15版本被曝出存在重要的安全漏洞 [1] ，主要问题如下： 可远程执行服务器脚本代码 [2] 用户可以构造http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}链接，command goes here可以换成是破坏脚本的路径和参数，比如fdisk -f等，造成破环系统无法运行的目的。 重定向漏洞 [3] 用户可以构造如知名网站淘宝的重定向连接，形如<a href="http://www.淘宝.com/item00001.html?redirect:http://黑客/getyourPassword">打折新款</a>,引导用户点击后进入钓鱼网站，在界面上让其进行登陆用以获取用户的密码。 该工具可以扫描网站是否存在该漏洞

缓冲区,简单说来是一块连续的计算机内 存区域, 可以保存相同数据类型的多个实例. C程序员通常和字缓冲区数组打交道. 最常见的是字符数组. 数组, 与C语言中所有的变量一样, 可以被声明为静态或动态 的. 静态变量在程序加载时定位于数据段. 动态变量在程序运行时定位于堆栈之中. 溢出, 说白了就是灌满, 使内容物超过顶端, 边缘, 或边界. 我们这里只关心动态 缓冲区的溢出问题, 即基于堆栈的缓冲区溢出.

JsonCpp C++库，允许操作JSON值，包括与字符串串行化和序列化。它可在反序列化/序列化步骤中保留现有注释，使其成为存储用户输入文件的便捷方式。是一个第三方JSON解析库，可将源码编译成方便使用动态链接库、静态链接库或者静态导入库的。jsconcpp 进行 JSON 解析的源码文件分布在 include/json、src/lib_json 下

CJsonObject是基于cJSON全新开发一个C++版的JSON库，CJsonObject的最大优势是轻量（只有4个文件，拷贝到自己代码里即可，无须编译成库，且跨平台和编译器）、简单好用，开发效率极高，对多层嵌套json的读取和生成使用非常简单（大部分json解析库如果要访问多层嵌套json的最里层非常麻烦）。

openssl一键安装包32位v1.1.0i已编译，能编译生成RSA软件非对称秘钥公钥私钥，本安装包在win32环境下已编译通过。上位机使用方法详见相关文档。

TEA算法由剑桥大学计算机实验室的David Wheeler和Roger Needham于1994年发明。它是一种分组密码算法，其明文密文块为64比特，密钥长度为128比特。TEA算法利用不断增加的Delta(黄金分割率)值作为变化，使得每轮的加密是不同，该加密算法的迭代次数可以改变，建议的迭代次数为32轮。