XStream反序列化漏洞（CVE-2020-26258&26259）,修复jar包xstream-1.4.15.jarXstream是Java类库，用来将对象序列化成XML(JSON)或反序列化为对象。
XStream是一款开源软件，允许在BSD许可证的许可下分发。
0x01漏洞描述Xstream上次对CVE-2020-26217处理并不彻底，虽然通过黑名单方法阻止了远程代码执行，但是仍然可以采用类似思路实现文件删除与服务器请求伪造。
影响版本Xstream=1.4.15风险等级严重

源码介绍：友价T5虚拟商城20190527,虚拟物品在线担保交易网站,6套模板+手机版+支付接口+升级（完美升级版）非常不错的一套虚拟物品在线交易平台，很多都在用，喜欢的拿去，可以搞成任何一类在线交易的网站平台，带最新的补丁更新到20190527，欢迎来下载使用！并且新版程序代码越来越高效，网站流畅度很好，以前经常出现卡死的现象也优化得很好了，非常不错，可以拿去做虚拟物品，教程资源，游戏道具等等的销售！安装说明：更新至：2019-05-27手机端：1、新增一套zhan_m模板2、商品详情页图片没有时，显示默认图片3、优化改进手机版商品详情编辑器4、商品或资讯详情页，修复图片太大时会撑开页面的BUG5、新增公告展示模块电脑端：6、QQ点击实现弹窗效果7、设置手机号码强制验证的开关（可实现网络实名制要求）8、开通IP黑名单功能（加入黑名单的IP，将禁止操作站内功能）9、开启限制功能（比如同个IP注册会员数量，发稿数量之类的）10、商品详情页的图片随滚动条滚动加载11、用户解除手机绑定，系统也会将之前的手机号码存档（仅管理员可见）12、手机短信登录时，号码不存在，则直接生成一个会员账号13、优化电脑端商品列表形式展示模板14、更多细节优化完善环境配置要求如下：1、PHP环境(PHP版本建议是5.3及以上，)2、Mysql数据库3、伪静态组件（有些主机商也称之为URL重写）4、php.ini的php_openssl.dll拓展开启5、php.ini的php_curl.dll拓展开启以上配置是符合主流的PHP环境配置的，不过我们还是建议虚拟主机用户在购买空间时，先跟主机商核对下以上配置。
最小配置要求：1、MYSQL不小于5MB2、空间不小于50MB推荐配置要求：1、MYSQL不小于50MB2、空间不小于1GB安装教程：将源码传到空间/服务器，解压至您的网站目录1、建立数据库，将data/data.sql导入到数据库2、打开config/config.php，根据提示配置好你的数据库连接信息3、进入后台：你的网址/yjadmin/默认帐号和密码均为admin4、进入后台后点击左侧的基本设置，把网址改成你的当前网址就行了，记得要加上反斜杠/，特别说明：这里的网址必须是你的域名，5、再点下全局设置，会有升级提示，升级下就行了。
6、配置伪静态，根据服务器环境选择（默认是根目录下的.htaccess如需其他格式，请通过工具转换下）7、至此，安装结束

更新日志1.修复模板配置配备枚举文件留存BUG2.修复黑名单体系3.新增优惠券体系4.新增署理晤面体系5.新增[幻兮收入]接口APP挂机6.新增邮箱发送内容自定义7.新增手机短信发送卡密(自定义模板)8.新增[微信UI]模板9.新增[企业发卡]模板(5.2版热门模板)法度圭表标准成果介绍：1.商品分类/上架下架/排序2.商品上架下架/商品图片/介绍/排序3.批量削减卡密（一行一个）/删除了卡密4.一键切换模板[5套+]5.对于接易收入/码收入/幻兮收入（收入接口一键开关/对于接便捷/实时到账/自动补单）|点击注册码收入|点击注册幻兮收入6.批量置办/自定义提取密码（配景可开关）7.网站信息一键更正8.邮箱自动发送卡密[自定义模板]9.商品自力分享链接10.黑名单体系（QQ/IP拉黑）11.体系日志（详尽记实网站运行日志）12.优惠券体系13.署理晤面体系14.手机短信发送[自定义模板]15.一键更新（配景一键更新法度圭表标准）===================================

1． 方案题目以及成果题目：图书管理以及盘问体系成果：（1）图书信息的录入以及删除了，出书社信息管理等；
（2）图书的检索（搜罗按作者姓名、出书功夫、出书社称谓、图书种别、书名、关键宇等）；
（3）图书的租借（搜罗借书注销、限借数目抑制、还书注销等）；
（4）借书证件的管理（搜罗办新证件，挂失、注销等）（5）体系配置（主若是不合尺度证件的可借书的总量以及借书功夫等）（6）统计资料（搜罗惜出数目与库存数目的比例，种种图书数目与总数目的比例，热门图书统计数据等种种信息资料的统计）；
（7）图书测览（搜罗对于图书摘要的测览以及新书测览）；
（8）帮手信息（搜罗对于体系成果的阐发、使用阐发、使用留意事变以及体系的版权以及版本信息等）。
2． 练习目的（1）培育综合使用PowerBuilder进交使用法度圭表标准方案以及处置实际下场的才气；
（2）加深对于PowerBuilder编程情景以及编程方式的知道；
（3）发挥巨匠的想像才气以及阐发才气，拓展脑子空间；
（4）操作使用法度圭表标准方案的底子方式；
（5）牢靠已经学到的编程本领，学会在编程中学习编程。
3．练习申请1）依据使用法度圭表标准方案的4个阶段举行，熟习每一个阶段需要处置的下场以及处置的方式；
2）使用SQLServer方案数据库以及数据表，留意把握数据库的方案原则；
3）申请使用法度圭表标准有菜单栏，操作便捷；
4）必需完告成能1-5。
侈靡一点：在借书输入证件ID时，起首检索能否在“黑名单”以及“挂失表”中，后再校验证件的真伪。
在借、还书时要展现本证件已经借书的量以及图书信息；
证件注销时数据的参照残缺性下场。
在体系配置中可随机配置不合借书书证件（如教师以及教师）的可借书数目以及借书的功夫。
5）使用法度圭表标准界面以及作风不作详尽申请，巨匠依据自己的思绪去做，发挥自己的发现。

tp5+xadmin+mysql，一套成熟并且适用的抽奖收集版软件，能够自定义公司称谓、奖项，抽奖人员名单，查验中奖名单等，藏匿响应的白名单、黑名单成果。

安装方法：1、下载附件中的压缩包，解压并拷贝mod_dosevasive22.dll到Apache安装目录下的modules目录（当然也可以是其他目录，需要自己修改路径）。
2、修改Apache的配置文件http.conf。
添加以下内容LoadModuledosevasive22_modulemodules/mod_dosevasive22.soDOSHashTableSize3097DOSPageCount3DOSSiteCount50DOSPageInterval1DOSSiteInterval1DOSBlockingPeriod10其中DOSHashTableSize3097记录黑名单的尺寸DOSPageCount3每个页面被判断为dos攻击的读取次数DOSSiteCount50每个站点被判断为dos攻击的读取部件(object)的个数DOSPageInterval1读取页面间隔秒DOSSiteInterval1读取站点间隔秒DOSBlockingPeriod10被封时间间隔秒mod_dosevasivev1.10什么是mod_dosevasive?mod_dosevasive是一种提供躲避HTTPDOS/DDOS攻击或暴力强制攻击的apache模块。
它同样可以用作网络探测和管理的工具，通过简单的配置，就可以同ipchains（ip链？）防火墙，路由器等设备进行对话。
并通过email或系统日志提供报告。
发现攻击是通过创建一个内建的IP地址和URIs的动态哈希表来完成，并且阻止同一ip在以下的情况：1.在同一秒多次请求同一页面2.对同一child(对象？)作出超过50个并发请求3.被列入黑名单的ip这种方式在单点攻击和分布式多点攻击的状况下都能很好工作，但如同其它的防黑软件一样，只是针对于那些对网络带宽和处理器消耗的攻击，所以这就是为什么我们要推荐你将它与你的防火墙和路由器配合使用，因为这样才能提供最大限度的保护。
这个模块有一个内建的滤除机制和级别设定，对付不同情况，正因如此合法请求不会遭到妨碍，即使一个用户数次连击“刷新”，也不会遭到影响，除非，他是故意这样做的。
mod_dosevasive完全可以通过apache配置文件来配置，很容易就可以集成到你的web服务器，并且容易使用。
DOSHashTableSize----------------哈希表的大小决定每个子级哈希表的顶级节点数,越多则越可避免反复的查表，但会占据更多内存，如果你的服务器要应付很多访问，那就增大它。
Thevalueyouspecifywillautomaticallybetiereduptothenextprimenumberintheprimeslist(seemod_dosevasive.cforalistofprimesused).DOSPageCount------------规定请求同一页面（URI）的时间间隔犯规的次数，一旦超过，用户ip将被列入黑名单DOSSiteCount------------规定请求站内同一物件的时间间隔犯规的次数，一旦超过，用户ip将被列入黑名单DOSPageInterval---------------同一页面的规定间隔时间，默认为1秒DOSSiteInterval---------------站内同一物件的时间间隔，默认为1秒DOSBlockingPeriod-----------------Theblockingperiod是规定列入黑名单内ip的禁止时限，在时限内，用户继续访问将收到403(Forbidden)的错误提示，并且计时器将重置。
由于列入黑名单后每次访问都会重新计时，所以不必将时限设置太大。
在Dos攻击下，计时器也会保持重置DOSEmailNotify--------------假如这个选项被设置，每个ip被列入黑名单时，都将发送email通知。
但有机制防止重复发送相同的通知注意：请确定mod_dosevasive.c(ormod_dosevasive20.c)已正确配置。
默认配置是"/bin/mail-t%s"%s是email发送的目的地址，假如你是linux或其它使用别的邮箱的操作系统，你需要修改这里DOSSystemCommand----------------假如设置了此项，当有ip被列入黑名单，指定的系统命令将被执行，此项功能被设计为受攻击时可以执行ip过滤器和其它的工具软件，有内建机制避免对相同攻击作重复反应用

使用MongoDB表达BoillerplateRestfullApi核心堆栈Node.js-Express-Mongo数据库-https:猫鼬-https:nodemon-//www.npmjs.com/package/nodemonpm2-//www.npmjs.com/package/pm2特征使用jwt进行身份验证，登录，登记，注册，黑名单令牌，登记jwt用jwt验证路线粗俗的例子错误处理数据库不使用sqlmongodbmongoose用摩卡和柴测试覆盖范围使用istanbull与码头工人的例子验证，使用Express-Valdator分页示例自定义消息API响应埃斯林特爱彼迎基地单元测试怎么跑复制环境变量cp.env-sample.env手动运行#installpackagenpminstall#runningappnpmrundev#runningunittetsingnpmruntest尽早填写复制的环境APP_PORT=2000T

实现一个简易仿qq登录界面，要求实现：1)登录界面有帐号、密码文本和编辑框，登录和退出按钮。
在程序中维护一个帐号密码的数组，用以判断正确登录与否。
如果登录成功，则进入qq主界面，否则清空帐号和密码编辑框，重新登录；
2)在qq主界面中，显示当前登录帐号信息、退出登录按钮和一个列表框listview，列表框中有以下几项：在线好友、我的好友、陌生人、黑名单和我的群；
3)在qq主界面中，可以给当前登录帐号选择头像。
当点击登录帐号头像时，进入头像选择界面，该界面是一个gridview(其用法参考P133例子)，每个格子中放一个头像，选中确定后前往qq主界面，并在qq主界面显示所选中的头像。

支持各种视频的高速编码加密与高速解码播放，加密后的文件自带解码器和播放器；
可以加密各种视频音频格式文件（wmv,avi,mpg,rm,rmvb,mp4,flv,vob等），加密后的文件可以通过离线方式授权播放，也可以通过网络方式授权播放；
只需要加密一次，就可以实现一机一码授权；
V12.0版重要更新：1、支持Windows832位和64位操作系统2、新增绑定用户移动设备功能，比如U盘、移动硬盘、手机、SD存储卡等，远程自动绑定，用户播放时插入绑定的移动设备即可，用户换系统换硬件无需再授权，极大的方便了用户和商家，商家再也不用发愁用户总是更换系统、更换硬件了，直接将用户的移动设备当作硬件加密锁。
3、加密后的文件增加了绑定用户显卡功能，用户机器码格式变为：系统BIOS-硬盘-显卡-网卡，多硬件识别可以让您辨识一些用户到底是更换了电脑还是更换了某个硬件，或者更换了系统；
4、增强了播放屏幕控制功能，比如控制全屏和禁止全屏；
5、增加了“试播”和“预览”功能，您可以设置加密后的文件用户可以免费试播几次或几天，也可以设置用户可以预览多少秒；
6、可以直接调用网页作为提示语（您可以随时向用户公布最新提示内容）；
7、增加了是否提示剩余播放次数和日期的开关8、增加了是否关闭电脑复制功能的开关9、增加了大文件加载Loading功能;V11.0版重要升级：1、增加了超大视频支持模式；
2、文件编号可以显示在加密后的文件中，方便商家区分不同文件类别；
3、修正了Win7下无法使用断网功能的Bug；
4、增加了试播文件制作功能，您可以为用户制作试播文件，并可以控制文件的播放次数和有效期，无需播放密码；
5、专业版增加了导出注册机功能，您可以在任何电脑为用户算播放密码；
6、授权召回功能，你可以随时令发放给用户的播放密码失效；
7、增加了黑名单机器码，在黑名单中的机器即便有播放密码也无法播放您的视频；
8、播放密码增加了控制文件编号的参数，让你更方便的管理用户能够播放哪些文件和不能播放哪些文件；
9、播放密码增加了导入导出注册文件功能，直接给用户发注册文件，防止用户复制播放密码时丢失字符；
10、增加了一码通功能，同台电脑只需认证一次，并且可以控制播放次数和有效期；
本系统主要特色包括：1、灵活的认证授权模式，比如：一机一码加密，video2exe，一码通授权等；
可以指定播放次数、播放时间和截止日期等；
2、可以设置播放时断开网络，禁止用户通过远程共享或者远程翻录；
3、可以设置播放时禁止开启其他窗口，以便学员可以专心学习；
4、您可以设置提示语，以便告知用户通过何种途径与您联系获得播放密码；
5、可以设置视频播放尺寸和拉伸效果；
6、可以防止流行的屏幕录像和拷屏；
7、可以禁止在流行的虚拟机中播放；
8、可以指定防翻录跟踪水印，水印可以是固定位置也可以随机浮动，用户无法覆盖水印；
9、本系统也可以结合网络应用，通过网络向客户发放播放密码，结合会员验证等方式进行播放授权，无需人工参与；

NK发布站更新介绍（3.5Beta版）1.修复在部分空间修改不了广告信息问题。
2.修正了已知LINUX下的问题。
3.增加Mysql数据库备份/还原功能。
4.调整前台显示结构，首页与游戏广告数据分离，将游戏广告数据单独生成到JS文件，愈加友好搜索引擎。
5.网站配置与数据库连接代码分离，增加了更多设置属性。
6.开放了广告采集过滤重复信息功能。
7.后台登陆更改为：密码或账号3次错误输出后便出现验证码，减少管理员输入验证码的麻烦，愈加人性化。
8.部分文件整合到安装文件里，安装时创建，可以减少写权限设置。
9.添加了时区设置，解决国外空间用户的时差问题10.加入黑名单功能，免费发布游戏时如果该域名被加入了黑名单，即不允许发布。
11.审核游戏，可自由选择是人工审核和系统自动审核（此前只有系统自动审核）12.网站基本设置更改后台可操作。
13.修改“广告链接”＞“中部图文广告”后台显示效果，之前如果放入一张很宽的图片就会撑破表格。
还有一些其他的小修改就不一一列出，如发现不合理的设计请联系我们如果你对以上说明不是很理解可以加入QQ群68749691(已满) 17673734（新群）交流 也可以参看官方演示站www.wowole.cn

在日常工作中，钉钉打卡成了我生活中不可或缺的一部分。然而，有时候这个看似简单的任务却给我带来了不少烦恼。 每天早晚，我总是得牢记打开钉钉应用，点击"工作台"，再找到"考勤打卡"进行签到。有时候因为工作忙碌，会忘记打卡，导致考勤异常，影响当月的工作评价。而且，由于我使用的是苹果手机，有时候系统更新后，钉钉的某些功能会出现异常，使得打卡变得更加麻烦。 另外，我的家人使用的是安卓手机，他们也经常抱怨钉钉打卡的繁琐。尤其是对于那些不太熟悉手机操作的长辈来说，每次打卡都是一次挑战。他们总是担心自己会操作失误，导致打卡失败。 为了解决这些烦恼，我开始思考是否可以通过编写一个全自动化脚本来实现钉钉打卡。经过一段时间的摸索和学习，我终于成功编写出了一个适用于苹果和安卓系统的钉钉打卡脚本。