- 合法软件不“合法”:JavaSc 12-12
- Java集合框架面试问题集锦 12-12
- 《Go Web编程》译者黄健宏: 12-12
- 成为一名机器学习算法工程师,你需 12-11
- Java 10 新特性解密,引入 12-11
- 熔断器 Hystrix 源码解析 12-11
- 无法打开的网页出现404错误 知 12-11
- 安卓惊现年度大漏洞 腾讯安全反诈 12-11
- Struts 2 漏洞系列之 S 12-11
- 一周热评丨政策推动资本持续进入, 12-11
合法软件不“合法”:JavaScript、PHP、Python等主流编程语言爆安全漏洞
发布者: super | 发布时间:2017-12-12
上周,IOActive高级安全顾问Fernando Arnaboldi在Black Hat Europe 2017安全大会上介绍了他的一项研究成果。他发现,几种流行的解释性编程语言受到严重漏洞的影响,这些漏洞使构建在这些语言基础上的软件容易遭受攻击。
根据Arnaboldi的介绍,他使用了一种名为fuzzing(模糊测试)的自动软件测试技术对当今最流行的五种编程语言进行了分析,包括Java、Perl、PHP、Python和Ruby。具体列表如下图所示:
原标题:Java集合框架面试问题集锦
原标题:Java集合框架面试问题集锦Java集合框架(例如基本的数据结构)里包含了最常见的Java常见面试问题。很好地理解集合框架,可以帮助你理解和利用Java的一些高级特性。下面是面试Java核心技术的一些很实用的问题。
Q:最常见的数据结构有哪些,在哪些场景下应用它们?
A. 大部分人都会遗漏树和图这两种数据结构。树和图都是很有用的数据结构。如果你在回答中提及到它们的话,面试者可能会对你进行进一步进行的考核。
Q:你如何自己实现List,Set和Map?
A:虽然Java已经提供了这些接口的经过实践证明和测试过的实现,但是面试者还是喜欢这样问,来测试你对数据结构的理解。我写的《Core Java Career Essentials》一书中通过图例和代码详细地讲解了这些内容。
常见的数据结构
数组是最常用的数据结构。数组的特点是长度固定,可以用下标索引,并且所有的元素的类型都是一致的。数组常用的场景有把:从数据库里读取雇员的信息存储为EmployeeDetail[],把一个字符串转换并存储到一个字节数组中便于操作和处理,等等。尽量把
《Go Web编程》译者黄健宏:为什么真正的聪明人喜欢用笨方法?
发布者: super | 发布时间:2017-12-12
他是一个极致的完美主义者,为翻译《Go Web编程》一书,他曾经去过各大GO学习社区,精修专业技术;为了让译文更有“中文味”,大多数译文都已三易其稿,有时候仅仅为了挑选出一个更恰当的词语或成语,他不得不对着词典推敲半天。从0到1、从初入茅庐编程小子到畅销书作译者,他对写作、翻译、阅读、学习、生活都有着独到的见解。
互联网和书本是他获取知识和信息的两个主要途径。在深入地阅读一本书的时候,通常会花很大的力气,争取把书本“吃透”,而做笔记则是把书本“吃透”的其中一种办法。然而正是这个耗费力气的“笨办法”让他的基本功更加扎实。
异步社区:可以先介绍一下你自己吗?
异步社区的读者朋友们,大家好,我叫黄健宏(hua
成为一名机器学习算法工程师,你需要这些必备技能
发布者: super | 发布时间:2017-12-11
作者 | 张相於
责编 | 何永灿
成为一名合格的开发工程师不是一件简单的事情,需要掌握从开发到调试到优化等一系列能力,这些能力中的每一项掌握起来都需要足够的努力和经验。
而要成为一名合格的机器学习算法工程师(以下简称算法工程师)更是难上加难,因为在掌握工程师的通用技能以外,还需要掌握一张不算小的机器学习算法知识网络。
下面我们就将成为一名合格的算法工程师所需的技能进行拆分,一起来看一下究竟需要掌握哪些技能才能算是一名合格的算法工程师。
Java 10 新特性解密,引入类型推断机制
发布者: super | 发布时间:2017-12-11
来源:CodeBay,
codebay.cn/post/6349.html
随着Java开发工具包(JDK)9的发布,大量的注意力都集中在Java的最新特性上,包括引入模块(通过集成项目Jigsaw)。尽管最近的很多关注都集中在这些强大的新功能上,但下一个版本的Java:JDK 10已经开始准备了。在本文中,我们将粗略地介绍一下JDK 10的主要特性,并探讨JDK 10中可能包含的一些特性。
请注意,本文中所包含的信息在写本文时是准确的。但是到发布时,JDK 10特性组预计将会增加。
新功能
与之前的JDK版本一样,对于即将到来的JDK 10也有一些主要特性。这些特性可以分为两个主要类别:(1)目标发布,(2)建议发布。前者表示某些特性已计划在JDK 10中发布,后一种类型表示这些特性还需要增加支持和成熟度。一旦条件允许,它就可以升级为一个目标发布状态。
目标发布
目前有两个主要功能针对JDK 10:
局部变量类型推断,这将删除大部分对象实
熔断器 Hystrix 源码解析 —— 命令执行(二)之执行隔离策略
发布者: super | 发布时间:2017-12-11
1. 概述
本文主要分享 Hystrix 命令执行(二)之执行隔离策略。
建议 :对 RxJava 已经有一定的了解的基础上阅读本文。
Hystrix 提供两种执行隔离策略( ExecutionIsolationStrategy ) :
SEMAPHORE
:信号量,命令在调用线程执行。在《Hystrix 源码解析 —— 命令执行(一)之正常执行逻辑》「3. TryableSemaphore」 已经详细解析。
THREAD
:线程池,命令在线程池执行。在《Hystrix 源码解析 —— 命令执行(一)之正常执行逻辑》「5. #executeCommandWithSpecifiedIsolation(...)」 的
#executeCommandWithSpecifiedIsolation(...)
方法中,调用
Observable#subscribeOn(Scheduler)
无法打开的网页出现404错误 知道什么意思吗?
发布者: super | 发布时间:2017-12-11
经常浏览网页的人都会遇到这样一种情况,想要打开的页面,只出现了巨大的404,无论如何刷新也无法显示本应显示的内容,404就成为最终的显示。作为一种标准的HTTP返回代码,404被用来表示网页服务器HTTP的响应状态。
然而,对于其历史来源却充满了神秘色彩,引人探寻。在21世纪初,甚至有一群人试着去研究“404错误”的来源。
只知道“404”是网页报错却不知其从何而来?
据传在第三次科技革命前,整个互联网的形态就像是一个大型的中央数据库,并设置在一个叫404的房间里。那时,所有的访问请求都由人工手动完成,若在数据库中没有找到请求者所需要的文件,或是由于请求者写错了文件编号,他们就会得到一个“room 404 : file not found”返回信息。
原标题:安卓惊现年度大漏洞 腾讯安全反诈骗实验室推解决方案
安卓系统年度大漏洞曝光,每日上千万的活跃安卓应用存在被利用可能,上亿用户都在受影响之列。12月4号,Google通过其官方网站通告了高危漏洞CVE-2017-13156(发现厂商命名为Janus),该漏洞可以让攻击者无视安卓签名机制,对未正确签名的官方应用植入任意代码,目前安卓5.0—8.0等个版本系统均受影响。
据了解,该漏洞存在于Android系统用于读取应用程序签名的机制中,会在不影响应用签名的情况下向正常的Android APK 或 DEX 格式中添加恶意代码。如果有人想用恶意指令打包成一款应用,安卓系统仍会将其视为可信任应用。
而该漏洞产生的根源在于:一个文件可以同时是APK文件和DEX文件。腾讯安全联合实验室反诈骗实验室负责人李旭阳指出,攻击者可以利用该漏洞,将一个恶意的DEX文件与原始APK文件进行拼接,由于Android系统的V1签名方案在验证签名时舍弃掉了APK文件前面嵌入的这部分内容,从而不影响APK文件的签名Android运行时将该植入恶意DEX文件的APK文件看作是之前应用的合法升级版本并允许这种安装,从而执行恶意D
Struts 2 漏洞系列之 S2-002
发布者: super | 发布时间:2017-12-11
漏洞原理
由于 Struts 2 框架在处理 和 两个标签时,未对标签内的字符进行有效转义,导致存在 XSS 注入漏洞。该漏洞主要有两个利用场景如下:
场景一:在 标签中,注入未转义的双引号导致 XSS 漏洞。 场景二:在 和 标签中,当参数 includeParams 的值不为 “none” 时,不会对 test=hello。我们知道标签一般分为两大类,一类是通用型的,另一类是界面( UI )型的。通用标签中,又分控制标签和数据标签两种。而此处所提到的 和 实际上都是属于 Struts 2 框架中的两种数据标签。其中, 标签负责处理超链接,生成 HTML 中的 标签。
早先的 Struts 1 框架中的是通过解析 EL(Expression Language)表达式来计算超链接地址的,在 Struts 2.0.0.11 之后就不再支持 EL(Expression Language)表达式,改用 OGNL 表达式, 标签的作用之一就是将 OGNL 表达式的计算结果传递给 标签,以便生成超链接地址。使用这两个标签前,要先用这个
一周热评丨政策推动资本持续进入,分级阅读、少儿编程赛道快速升温
发布者: super | 发布时间:2017-12-11
洞悉行业最热点
教
育
考拉阅读完成近千万美金A轮融资
深耕分级阅读赛道
12月5日上午,考拉阅读宣布完成近千万美金A轮融资,由启明创投、GGV纪源资本共同投资。考拉阅读成立于2016年10月,2017年已经获得3轮融资。考拉阅读是国内第一家利用AI 技术,专注于K12 中文分级阅读的公司。考拉阅读的核心技术是其自主研发的可量化的中文分级阅读标准“ER Framework”,可以即时测量出任意一段中文文本的阅读难
