- 博客(86)
- 收藏
- 关注
RSS订阅struts2漏洞攻击一例
怎样利用Struts2的漏洞(2.0.0<=version<=2.3.15)搞垮一个基于Struts2写的网站?Struts是java web frameworks里面的鼻祖了,现在大量的web apps里面,从政府网站到金融系统,都有她的影子(大量的系统都是采用一种被用烂了的SSH(Struts+Spring+Hibernate)组合来做的)。甚至阿里/淘宝也有一些系统使用了St...
2013-07-20 22:46:13
225
释放让iBooks占用的冗余空间
用iPad的Safari从网上下载一个PDF文件,比如Programming Your Home.pdf,选择用iBooks打开,这本书就会出现在你的iBooks书架。但如果你用iFile进入/private/var/mobile/Media/Books/Purchases,你会发现多了个文件,3CF55ED902752B18DCF7FCAAFB343AD1.pdf,其大小和内容都跟Program...
2012-10-13 23:58:13
598
将军号?500+?
上周我左侧臀部有点痛,不能弯腰,膝盖附近也好像有点痛,怀疑自己得了腰椎间盘突出或强直性脊柱炎,去长征医院。看专家介绍里面正好有个秃头老头子下午有号,于是跟那个一脸不耐烦、态度很差的操作员说“给我挂个贾XX的号”。伊说,“这是将军号,要500多”。我说,“什么将军号,还元帅号呢,这么贵我哪挂得起,给我换一个”。结果挂了个17块的专家号。待我讲述了症状,专家看了我的X光片,我忧心忡忡地问,“我看网...
2012-04-06 12:47:00
129
ad hoc data-importing script
// background (this dictates the web console to execute the following lines of code in the background)import app.*def DIR = 'C:/work4globaldb'//'/var/tmp'def date = Date.parse('yyyyMMdd',...
2012-02-09 12:10:32
149
以入侵的方式实现基于Grails+db4o的数据稽查(Audit Trail)
要做Audit Trail,即跟踪记录对数据的所有CRUD操作,实现方式大体分两种类型:1. Brute Force型,即在代码中写大量的类似于这样的代码new OpLog( // properties ...).save()2. 技术技巧型,即使用优雅的事件监听机制。 由于使用grails/groovy和db4o,实现Audit Trail显得尤为简洁。 ...
2012-02-01 16:22:45
113
asci
def base = 'http://www.the-asci.org/core/asci'(1969..2011).each{ def m = "${base}/list.php?type=year&key=$it".toURL().text =~ /<a href=profile\.php\?pid=(\d*)>/ m.each{ ...
2011-11-22 00:16:11
135
没有EWS,怎么把其他系统的Calendar同步到Exchange?(2)
import groovyx.net.http.*class ExchangeSyncService { static transactional = true static DOMAIN = 'my-domain' static CTMS_SYNC_USERNAME = 'usr' static CTMS_SYNC_PASSWORD...
2011-09-21 16:45:55
151
没有EWS,怎么把其他系统的Calendar同步到Exchange?
Exchange 2007及后续版本提供了EWS,等于是提供了一个供其他应用使用的接口,而我们的Exchange是2003版,没有EWS,貌似不能方便地把其他系统的Calendar同步到Exchange... 有人说,用WebDAV可以,但我觉得还是复杂了点。 昨天看到HTTPBuilder,刹那间有了办法:我们不是有Exchange提供的webmail吗?我们可以手动登录上去操作...
2011-09-19 16:45:12
181
“基于UUID的访问控制”的思考
如果看一张艳照必须通过类似于这种方式:https://na-1.samscloud.com/filesystem/7c56e3bb-7315-11de-914b-9308abf3aaca/9280a763-72bf-11de-a2cb-5f67c0b2f2e4/fd144fac-9734-41d5-a3f0-557a8ec0182c/preview/yan_zhao.jpg?AccessKey...
2011-09-02 14:28:06
124
在iPad2上玩nodejs
1. 访问jailbreakme.com越狱iPad22. 安装OpenSSH3. 在/private/var/root/Media/下创建子目录Cydia/AutoInstall4. 从PC上SSH(用FileZilla)到iPad, 把从https://github.com/TooTallNate/node/downloads下载的node-v0.4.8-darwin-arm-...
2011-08-30 21:55:41
1763
在web console中执行groovy script手动更新数据的拼音域
有些domain classes中包含汉语拼音信息,以便让数据可以汉语拼音排序,比如这个例子 class BingQu { def static interceptors = [ beforeSave: {p, tpl, params-> p.namePinyin = PinyinUtils.toPinyinString(p...
2011-08-17 16:43:16
173
Module配置之“Closure的利用”
传统的Module配置一般采用XML - 这种繁杂的东西就不去说它了。 随着脚本语言在Java中的引入,我们有了更简洁更易维护的Module配置方式。 subclass一个Groovy的BuilderSupport先: package com.g/** * Created by IntelliJ IDEA. * User: S.C. * Date: 5/3/...
2011-07-04 11:37:24
115
出租房屋遇小瘪三
礼拜二下午,小瘪三连接给我打了3个电话,说煤气灶不能打火,急吼吼地催我去看看煤气灶。这小瘪三一直很搞,我猜测这次这小瘪三有埋伏,怕个球,老子决定单刀赴会。夜幕降临时分,我到了楼下,看到小瘪三的老娘在跟一个侏儒讲话,旁边泊着一辆破桑塔纳。我问老太婆,阿姨你在这里啊,去看看煤气灶。老太婆说,他在上面,你上去吧。我发现侏儒跟着我,心想,果然不出所料,有埋伏,但区区一个小瘪三加一个侏儒...
2011-06-23 17:49:45
147
基于DSL的超轻量级、创新的report engine
报表引擎并非rocket science,任何程序员都能自己做一个。一图胜千言,四图胜四千言: 与基于关系型数据库Oracle的View的报表技术相比,这种使用对象数据库db4o(连ORM都不需要)的finder(基于db4o的SODA)获取数据的方式显得相当简洁,这意味着用这个超轻量级报表引擎设计的报表的高可读性...
2011-06-15 14:25:59
164
FUC.K: Frequently Used Commands
/** * Frequently Used Commands */class FUC { public static final K = [ doSomething: {-> println 'do something' "Hi, I've done it" } ...
2011-05-26 13:55:21
381
Grails+Ext之form scaffolding
以上图片中间部分是个自动生成的form,不用专门给它写代码或用“表单设计器”工具手工生成代码。这种方法绝非rocket science,只是scaffolding雕虫小技而已。Grails的scaffolding生成的是HTML代码,而不是JSON形式的form定义,无法直接跟Ext无缝整合。 为Ext写个form scaffolding并非难事。跟Grails的sca...
2011-05-18 11:01:15
256
踩一踩OSWorkflow和jBMP:39行代码实现一个很好很强大的工作流引擎
现成的工作流引擎有很多,我以前曾浅尝过OSWorkflow和jBPM,但都未能深入研究。总感觉它们过于复杂,术语也特别多,让我对它们逐渐失去了兴趣(还有那些流程设计器,个人觉得完全没有存在的必要:1.一般的用户用不来;2.程序员直接写代码(流程定义代码量一般几十行就够了),要流程设计器干嘛?)。另外有一个开源的基于Grails的工作流项目:http://www.grailsflow.or...
2011-04-28 22:50:27
121
神马其他Audit Trail实现方式都是浮云 -- 用Ext实现的Time machine(效果图+源码)
效果图:源代码:Ext.ns('SCTMS.dlg'); SCTMS.dlg.TimeMachine = Ext.extend(Ext.Window, { maximized : true, modal : true, closeable: false, closeAction : "hide", layout : "fit", autoScroll : f...
2011-04-21 11:04:57
141
原创 脆弱的数据校验
e*****有个在线自助更改体检日期的功能。似乎是个匆匆忙忙写完就上线的东西。在它的date picker中,只能改到当前月和下个月,但LP想改到10月份。我说,我来试试能不能cheat。我打开我最常用的FF,登录e*****,在Firebug中执行一句document.getElementById('change_date').value='2011-10-22'弹指间,表单...
2011-02-13 17:23:37
102
Luck draw
今天中了三等奖,50元的蛋糕券。中不中奖都无所谓了,只是HR用的抽奖方式太过原始:名字写纸条上,折起来放黑盒里,然后HR抽出第一个三等奖,被抽中的人抽出下一个中奖者... 如果让我来组织抽奖活动,我不会用纸条,盒子这些道具。<button onclick="interrupt();">Start/Stop</button><div id='flash' s...
2011-01-28 23:22:31
349
对db4o direct (fast) access的探索
一般情况下,用db4o查询到的数据都是你的POJO的实例(当你读取某个实例的属性时,db4o会调用activate方法激活该实例)。这种机制非常的不利于你读取较大数据量的情形,比如你跑报表的时候,你的某个报表包含10000条记录(其实在odb不应该使用“记录”这一说法),如果只考虑顶层数据对象的激活,就得硬生生实例化10000个对象。如果你执行的是一个聚集操作,比如求10000个数据的平均值,你将...
2011-01-04 12:23:35
65
原创 db4o SODA query hacking之正则匹配支持
db4o的SODA查询貌似不支持正则匹配。API中关于Constraint接口的Method Summary如下Method Summary Constraintand(Constraint with) links two Constraints for AND evaluation....
2010-12-10 11:06:47
81
听说张艳红还在上海交大软件学院讲她那一套破三维模型
听说张艳红还在上海交大软件学院讲她那一套破三维模型这老娘们竟然没被轰下来,看来她跟交大软件学院的副院长蒋建伟同属一个利益集团,用360的话来说,他们是“抱团取暖”。BTW, 唐骏下场如何?...
2010-12-08 09:19:10
610
db4o SODA hacking之改写QQueryBase#descend
public Query descend(final String a_field) { // modified by S.C. 02-Dec-2010 -> // This hack supports q.descend("f1.f2.f3.f4") // it equals q.descend("f1").descend("f2").descend("f3"...
2010-12-02 11:52:56
70
两个半小时,利息7块钱
16-Nov-2010收到建行的短信:建行说... 2010年11月15日发放 ... 期限120月,等额本金 ... 详情咨询95533 26-Nov-2010收到建行的短信:建行说... 将于2010年12月01日前扣款,还款额6073.00 ... 详情咨询95533 我自己计算过:def dengEBenJin = {amount, month, r-&...
2010-12-01 11:12:12
78
payment
def dengEBenXi = {amount1, amount2, month, r-> def pay1 = amount1*r*(1+r)**month/((1+r)**month-1), pay2 = amount2*r*(1+r)**month/((1+r)**month-1) println "(等额本息) 期数:${month}, 总额:$amount1, 月供:$...
2010-12-01 09:38:18
233
Damn it! This is a pretty odd bug with db4o SODA - 查询条件体位影响查询结果
def _m = Module.find(name:'studyLevelPerson'), _pid='76f198cf-9a26-49ec-82ed-f52d4b772875'def closure = {m, pid, t, q-> if(m.belongsTo) { // sop is the parent object of objects shared by ...
2010-11-25 15:26:34
94
Tencent VS 360
S says: 星星透露点360VSQQ的内幕啊。Henry --Tel: 1016 says: 不用qq就对了 否则你的艳照、毛片、资料等都被翻遍了S says: 疼讯说你老板是流氓啊,还说360伪装QQ的弹窗,让用户把QQ资料上传到360服务器备份呢。怎么回事啊Henry --Tel: 1016 says: 你丫都多大的人乐 这都信 ...
2010-11-04 11:18:35
124
原创 5个星期五,5个星期六,5个星期日
收到一封邮件,内容如下2010年的10月份是个不寻常的月份,这个月份中有5个星期五,5个星期六,5个星期日,这种情况需要823年后才能再次出现,这种月份被认为是钱币之月,如果把这个消息发送给包括 在内的8位 朋友,4天以后就会有钱币上的收获,这是风水学上的理论,如果不 发送将会丢失成功的机会 其实,有 5个星期五, 5个星期六, 5个星期日的月份很多,只要满足“该月第一天为星期五,且该...
2010-10-13 09:36:16
648
一图胜千言:在UltraEdit中使用Grails+Db4o开发
用UltraEdit做基于Grails+Db4o的开发,比用Eclipse或IntelliJ IDEA爽。用UltraEdit打造的这个简单的IDE几乎是瞬间就能打开,不像IDEA要慢吞吞来段前戏。直接看图,废话就不多说了。一. 用UltraEdit的“工具配置”支持,加入几个grails常用的命令。 二. 快使用“三指禅”,哼哼哈嘻!Ctrl + Shift + 1,启动g...
2010-08-15 17:57:32
92
Grails探索系列之 domain class的编译期属性注入(终结篇)
几个月前,我曾研究过Grails的domain class的编译期属性注入专题(可参见拙文《Grails探索系列之 domain class的编译期属性注入》[url]http://sam-ds-chen.iteye.com/blog/676070[/url])在那篇文章中,提到了一个悬而未决的问题[quote]...权且试试,把编译后得到的类拷贝进%GRAILS_HOME%/di...
2010-08-13 19:59:00
156
原创 A说,真为张老师感到不值!
[quote="出来混早晚都要还"] [quote="ANGIE"][i]真为老师感到不值!6年多无数个日日夜夜,艳红老师把所有的时间都奉献给学生,放弃了休息、放弃了家庭、放弃了身体健康,也没有放弃教学。但结果又怎么样呢?所有的荣誉归于学校,最大的受益者是学生本人,张老师又得到什么了?剩下的,只有伤心。。。作为项目管理方向的学生,除了自己获益之外,能为老师做些什么?能为我们的专...
2010-08-02 12:25:33
134
原创 “出来混早晚都要还”致上海交大软件学院副院长
[quote="出来混早晚都要还"]尊敬的JBOSS(注:JBOSS乃上海交大软件学院副院长蒋建伟的新浪网名):打开张总的博客,一副对联,分别是您09年3月和10年4月底两封感言,在张总的博客里大概有您6次发言、、、我想了很久,这说明了什么呢?1、 表明了您一如既往地信任支持张总,对吗?如果是的话,那么您是代表您个人呢?还是代表组织呢?2、 关于“小囧”同学对于张总学历、经历逐字逐...
2010-07-30 13:52:43
479
Time Machine and Audit Trail
目前我正在开发一个web app,用以替代公司目前使用的一个Oracle产品(每年要付给Oracle百万元人民币,实在太厉害了,况且Oracle的这款产品并不是很好用,所以老板决定让我开发一个alternative)。要想替代它,必须做到“人无我有,人有我优”。Oracle的这款产品特性之一是Audit Trail,就是在表单中的每个field后面都有个小箭头,你点击它,它就显示该字段的所...
2010-07-27 16:11:23
77
原创 上海交大“艳红门”花絮之《拳击手》
【转载自http://blog.sina.com.cn/u/1749559957】[quote="小囧"]本故事内容纯属虚构,请勿对号入座。很久很久以前,有那么一个小伙子,就叫他……小甲好了。立志要成为一名职业拳击手。他参加过一些短期拳击训练,也打过几场地下拳赛。有一天,小甲路过当地最大的一所拳击学校,学校外面的广告迎风招展:一代拳王开班授课,助您成就拳王梦...
2010-07-27 13:53:22
466
原创 上海交大“艳红门”花絮之《上电视了...》
【转载自http://blog.sina.com.cn/s/blog_68b44a910100j41z.html】[quote="出来混早晚都要还"]央视:面对面(摘自)记者(才静)问:听 章老师的口音是东北人吧?章老师答:干蛤呀,什么耳朵你,我是米国淫!阿静:呵呵阿静问:最近有几个小P民,一个叫小囧、杀猪,出来混等人在网上对您产生了质疑,您对此有何看法...
2010-07-27 13:42:55
473
垃圾留言狙击手
上代码:[code="javascript"]var mode = 'sniper';// 狙击模式,击毙目标后立即收队var id = 23819, total = 0, beginAt = new Date().getTime();function cleanup() { new Ajax.Request('http://sam-ds-chen.iteye.com/a...
2010-07-21 11:02:44
78
垃圾留言清理助手(JE版)
本帖属技术讨论范畴。[color=red]感谢那位义务做测试的悬崖边的人,正在执著地不屈不挠地跟我的助手较量。澄清一个对该助手认识的误区:这只是几行javascript代码,不是机器人,它的长处在垃圾足够多的时候一次性秒杀它们才能彰显。等悬崖发够250条垃圾,咱再运行助手秒杀它。[/color][quote="悬崖"]莫非你这段程序磋的要手工点击执行的 ”的意思了么?你这也叫“人工跟机器斗...
2010-07-20 12:11:27
88
原创 神奇的V2V2B(喂,二!喂,二逼!)技术
如果你没听说过“V2V2B(喂,二!喂,二逼!)技术”,你可能跟我一样,太孤陋寡闻了 - 我也是刚刚才听说的。话说该项技术由上海交通大学特聘教授张艳红所创,属IT尖端科技。以下所引用的内容源自《张艳红:实现V2V2B梦想的女人》 http://www.zytzb.org.cn/09/intell/lxtd/201003/t20100329_652342.html[quote]读...
2010-07-14 16:08:53
272
上海交大“艳红门”
人物介绍: (1)倒红派小囧(第一个质疑张艳红的打假斗士)杀猪的(质疑张艳红的打假斗士)出来混早晚都要还(质疑张艳红的打假斗士)我(07年退出张的“IT项目管理”班,至今仍不懂张独创的“项目管理3维模型”) 匿名网友 (2)挺红派张艳红(女主角,疑似学术骗子)蒋建伟(男配角,交大软件学院副院长,位高权重...
2010-07-12 17:30:39
1406
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人