github

声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测以及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。 前言 在一次项目中偶然发现了一处excel上传功能，恰巧碰到Apache POI与OOB-XXE两种漏洞同时利用成功的情况，实属幸运，特别将这次渗透过程记录分享给大家，希望给大家启发，不足之处也请指教。 No.1 背景介绍 Apache POI Excel、Word、pdf上传功能在一些财务、办公、数据分析系统中较为常见，在其他一些需要批量导入数据的系统中也是较为常用的功能。开发人员也大多使用Apache POI 的java类库来解析文件，关于POI的XXE漏洞在目前公开的信息中，有下面的CVE ，CVE-2014-3529、CVE-2016-5000、CVE-2017-5644，其影响版本大多为3.15以前版本，具体信息大家可根据CVE进行查询。 OOB-XXE OOB-XXE（Out-of-band XML External Entity），全称带外XML外部实体，与很多其他漏洞一样XXE也分为带内和带外。带内XXE攻击更为常见

点击上方 “ 机器学习与生成对抗网络 ”，关注"星标" 获取有趣、好玩的前沿干货！ 教程来自： https://github.com/PeterH0323/Smart_Construction 编辑:AI深度前沿视线 一、YOLO v5训练自己数据集教程 1.1 创建自己的数据集配置文件 1.2 创建每个图片对应的标签文件 1.3 文件放置规范 1.4 聚类得出先验框（可选） 1.5 选择一个你需要的模型 1.6 开始训练 1.7 看训练之后的结果 二、侦测 三、检测危险区域内是否有人 3.1 危险区域标注方式 3.2 执行侦测 3.3 效果：在危险区域里面的人体会被 红色框 选出来 四、生成 ONNX 五、增加数据集的分类 该项目是使用 YOLOv5 v2.x 来训练在智能工地安全领域中头盔目标检测的应用,先来一波演示！ 指标 yolov5s 为基础训练， epoch = 50 分类 P R mAP0.5 总体 0.884 0.899 0.888 人体 0.846 0.893 0.877 头 0.889 0.883 0.871 安全帽 0.917 0.921 0.917 对应的 权重文件 ：https://pan.baidu.com/share/init?surl=ELPhtW-Q4G8UqEr4YrV_5A，提取码: b981 yolov5m 为基础训练， epoch =

最近遇到几个项目被MySQL的utf8编码坑，想起之前编码问题被坑的惨痛教训，记录一下，警示自己。 曾几何时，每次建库都选utf8，觉得自己比那些用乱七八糟编码的人不知道酷到哪里去了。直到好多年前的某次课程设计做项目的时候，愉快的建了个用户表： CREATE TABLE `test_user` ( `id` int ( 11 ) unsigned NOT NULL AUTO_INCREMENT, `name` varchar ( 32 ) DEFAULT NULL , PRIMARY KEY ( `id` ) ) ENGINE = InnoDB DEFAULT CHARSET =utf8; 然后愉快的新增用户：INSERT INTO test_user(name) VALUES("我是😁")，接着愉快的反思人生： Incorrect string value : '\xF0\x9F\x98\x81' for column 'name' at row 1 我是谁？我来自哪里？我在干嘛？难道是我代码里面的字符集用错了？不对啊我所有地方都用的utf8啊…… # MySQL 的UTF8编码是什么？ 首先来看官方文档： The character set named utf8 uses a maximum of three bytes per character and contains

https://linux.cn/article-11946-1.html 我作为一位世界电影和地区电影爱好者已经几十年了。这期间字幕是一个必不可少的工具，它可以使我享受来自不同国家不同语言的优秀电影。 如果你喜欢观看带有字幕的电影，你可能会注意到有时字幕并不同步或者说并不正确。 你知道你可以自己编写字幕并使得它们更完美吗？让我们向你展示一些 Linux 中的基本字幕编辑吧。 从闭路字幕数据中提取字幕 大概在 2012、2013 年我开始了解到有一款叫做 CCEextractor 的工具。随着时间的推移，它已经成为我必不可少的工具之一，尤其是当我偶然发现一份内含有字幕的媒体文件。 CCExtractor 负责解析视频文件以及从闭路字幕closed captions数据中产生独立的字幕文件。 CCExtractor 是一个跨平台的、自由开源工具。自它形成的那年起该工具已经成熟了不少而如今已成为 GSOC 和谷歌编码输入的一部分。 简单来说，这个工具基本上是一系列脚本，这些脚本以一种顺序方式一个接着一个地给你提供提取到的字幕。 你可以按照 本页 的 CCExtractor 安装指南进行操作。 若安装后你想从媒体文件中提取字幕，请按以下步骤操作： ccextractor <path_to_video_file> 该命令将会输出以下内容： $ ccextractor $something

长按识别上方二维码，关注公众号： 后端面试那些事 回复“ 报告 ”，获取你的GitHub年度报告！ 作者 | 刘琳 来源 | 刘琳 你永远都想不到程序员会因为什么删掉代码。 你可能还记得年初微盟员工凭一己之力，删除自家公司数据库，累计市值蒸发超 30 亿港元的事情。 不仅如此，微盟服务器故障时间长达 8 天之久，最终赔付了商家 1.5 个亿，事后当事人自供是因酒后因生活不如意、无力偿还网贷等个人原因删库。 原本以为这理由已经够奇葩了。 近日，雷锋网编辑发现了一个更奇葩的删库理由：因公司未发奖金，一名程序员怒而修改华为云 obs 对象存储服务代码，导致平台大范围崩溃。 而这位“一时冲动”的程序员也收获了 5 个月的刑期。 看到这里，网友也忍不住吐槽道： 兄弟，不讲武德，付出代价了吧~ 1、 得不到奖励，不如就亲手毁灭 事情还要从今年 4 月份说起。 被告人王某（以下简称：王某）所在的公司项目是一个同城生活服务平台，主要是满足晋城消费者线上、线下的吃、喝、玩、乐、购服务。 2020 年 3 月 22 日，该公司某平台被晋城市商务局选为晋城市同城生活服务平台，受晋城市商务局委托向消费者发放电子消费劵。 2019 年 12 月，时任公司技术部的刘经理交给王某一个任务：开发 obs 代码，如果开发成功公司会有奖励。 在开发过程中王某负责写代码，另一位同事则负责做前段代码工作

微软近期开源了一个新的名为 Open Service Mesh [1] 的项目并准备 捐赠给 CNCF [2] 。 基本介绍  Open Service Mesh (OSM) is a lightweight, extensible, Cloud Native service mesh that allows users to uniformly manage, secure, and get out-of-the-box observability features for highly dynamic microservice environments. ” Open Service Mesh（OSM）是一个轻量级，可扩展的云原生服务网格，它使用户能够统一管理，保护和获得针对高度动态微服务环境的开箱即用的可观察性功能。 OSM 在 Kubernetes 上运行基于 Envoy 的控制平面，可以使用 SMI API 进行配置。它通过以 sidecar 的形式注入 Envoy 代理来工作。 控制面负责持续配置代理，以配置策略和路由规则等都保持最新。代理主要负责执行访问控制的规则，路由控制，采集 metrics 等。（这和目前我们常见到的 Service Mesh 方案基本都一样的） 显著特性 基于 Service Mesh Interface (SMI) 的实现，主要包括