2020年07月26日 6:08 下午 i新传 分类: 新传

1 漏洞概况

近日,著名解压缩软件WinRar被披露存在一个长达19年历史的漏洞, 该漏洞位于unacev2.dll库. 攻击者可构造恶意ACE文档, 使其在解压时释放任意文件到部分目录(由于winrar默认运行在中等权限级别下, 故该漏洞无法释放文件在一些需要管理员权限才能修改的目录),赤豹安全实验室对该漏洞进行了详细分析。

2 漏洞介绍

威胁类型:目录穿越漏洞

威胁等级:

漏洞名称:

CVE-2018-20250

CVE-2018-20251

CVE-2018-20252

CVE-2018-20253

受影响系统及应用版本:

所有包含unacev2.dll的应用软件, 例如winrar, 2345好压, bandizip等.

补丁下载地址:直接删除库文件即可.

3 漏洞危害

当用户解压精心构造的ACE压缩文件时, 攻击者可在“C:Users<username>AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup”目录下释放恶意EXE文件. 当用户再次启动计算机时, 恶意代码随之执行. 系统被完全控制.

4 漏洞分析

1. 通过使得GetDevicePathLen的返回值大于0, 实现以压缩包内相对路径作为解压目的完整路径, 无视用户指定的解压目的文件夹.

2. 要实现1, 那么相对路径的选择有以下两种:

3. 相对路径在被传入1之前, 会经过unacev2.dll中CleanPath函数的处理, 该函数会将选项1中开头的”C:”删除一次, 所以为了保持不变, 可以设置两个”C:”:

选项2不受此函数影响.

4. winrar主体代码中有回调函数会再检验上述相对路径. 在ace文件解压过程中, 该回调函数会被调用, 用来检测相对路径的合法性, 若相对路径以’’开头, 那么解压过程会被终止, 故选项2不可行. 所以最终, 采用选项1的方式触发目录穿越漏洞.

5 解决方案

建议使用”Everything”软件(32位或64 位), 全盘搜索”unacev2.dll”并删除该文件.

对winrar, 可下载最新版32位或64位, 新版已删除了此文件.

Everything使用说明:

根据系统版本, 选择64位或32位安装包,安装完毕后, 打开该软件, 并输入”unacev2.dll”, 可以得到:

全选并删除即可:

2017年07月26日 7:44 下午 i新传 分类: 新传

很久以来MYSQL缺乏全文索引对中文的支持,中国开发者、DBA需要针对MySQL数据库开发插件。中国数据公司专门为此提供中文分词插件的部署及支持服务,大多数情形下,这是付费的。对于绝大部分虚拟主机用户而言,这不是个福音。一来,虚拟主机服务商是否在MySQL服务器上安装中文插件,由不得用户说了算。二来,即使主机服务商默认提供插件支持,这种实现方法也有强烈的部署依赖,难以迅速扩展或迁移部署。MySQL 5.7全文索引中增强对中日韩文的支持,大数据量情况下的中文全文搜索终于得到MySQL官方团队的支持。

来源参考:
1、InnoDB全文索引:N-gram Parser
2、MySQL中文全文检索demoSQL(ver<=5.6)
3、MySQL5.6 InnoDB中文全文索引测试
4、SCWS 中文分词 v1.2.3 SCWS中文分词,词典词性标注详解
5、MYSQL中的中文模糊搜索除了使用全文索引外还有什么办法呢?
6、MySQL中文全文搜索用迅搜还是Sphinx?

(segmentfault很靠谱) & 待查:

安装在Linux上的则需要进行转编码(urlencode / base64_encode / json_encode / 区位 / 拼音)等方案,具体方案参看其它博文。

2017年06月5日 6:26 下午 i新传 分类: 产品, 新传
  • 邮箱与微信强势结合,可随时通过微信操作邮箱收发邮件,未来还将打通更多微信上的企业化功能。
  • 个性化登录页、邮件归档、日志监控、限制登录发信、建立分级管理员,全局统筹掌控易如反掌。
  • 用企业网盘共享资料、用中转站发送超大附件、邮件撤回、分别发送,满足您不同办公场景的特殊需要。
  • 绑定微信登录服务号;使用微信动态密码登录;绑定QQ,PC端一键登录;支持Pop
    /Exchang/Imap/
    Wap等多种协议。
  • 覆盖全球的高速网络、数据热备、负载均衡、反垃圾反病毒、SSL加密、腾讯安全管家10年的安全领域运营经验。
  • Foxmail客户端无缝接入,整合RTX腾讯通、企业QQ,通过API接口打通企业OA/CRM/
    ERP系统,实现一站式办公。
2017年05月25日 6:48 下午 i新传 分类: 怀旧, 社会化媒体

Andy Pan 写作虽美,莫如沉思
https://www.zhihu.com/people/andypan/answers

你心目中最难忘的侯捷老师的文章有哪些?
https://www.zhihu.com/question/30354267

最後﹐給侯先生摘錄幾條一個Python暢銷書作者Mark Lutz自己列于網站的講課收費標準作參考﹐也讓大家看看什麼是美國的知識有價。($40k-$60k在這裡屬於中產階級的收入﹐大家可以比較一下)

Standard course fee: $7500 (3 days), $6000 (2 days)
Travel expenses fee: $1000 (average, or fixed)
For a 3-day on-site course, 15 students, you make copies: $8500
To keep things simple, I prefer to charge the $6000/$7500 flat-rate fee (plus expenses) for the course. But as a basis of comparison, at the $6000 2-day rate, this comes out to $3000 per day, or $400 per student (for 15 students). At the $7500 3-day rate, that’s $2500 per day, or $500 per student. Depending on your situation, also add in the copying costs and travel expenses to get more accurate day/student figures.

詳見: http://home.rmi.net/~lutz/mytrain.html

摘自:http://jjhou.boolan.com/article03-11.htm

EVP

2017年05月25日 6:24 下午 i新传 分类: 知识原野

员工价值主张(Employment Value Proposition,缩写为EVP)是从客户价值主张引申出来的一个概念。客户价值主张探究的是,为什么客户从你的公司而不是你的竞争对手那里购买产品/服务?他们为了什么而付出钞票?你的公司如何才能比竞争对手做得更好?你公司的产品/服务能否为客户提供与众不同的价值?相似的,员工价值主张探究的是员工为什么会选择到你的公司而不是其他公司工作?

2017年05月23日 4:55 下午 i新传 分类: i18n, 知识原野
2016年10月10日 11:12 上午 fisher 分类: Open, 后端, 手机, 知识原野

智能手机的GPS定位是一种综合服务,它是包括GPS模块、Wifi及移动网络基站定位等在内的综合定位服务。
GPS模块最终给当前设备计算出一个位置,包括经纬度,还可能包括海拔、移动速度以及室内位置等。

华米公司微信公众号刚推送一篇GPS手表机理的文章,讲述GPS手表如何定位。
地址在这里:华米运动手表大讲堂:关于手表GPS的那些事儿

小米Max手机的GPS模块,支持美国GPS、俄罗斯格林纳达导航、中国北斗卫星导航等三种系统。
根据MIUI米柚论坛相关板块的帖子,小米Max本身并不在ROM层面进行编码,而是由手机GPS驱动模块完成的。 换言之,可能是芯片厂商高通或者GPS模块厂商,他们已在出厂时内置多家GPS导航卫星的模块驱动级支持。

根据相关贴子的推荐,下载了一个名为 AdroiTs的 开源android gps test 软件。

screenshot_2016-10-09-14-24-57-696_com-androits-gps-test-proscreenshot_2016-10-09-14-24-50-373_com-androits-gps-test-pro目前全球已知的四种全球卫星定位系统,在这个APP系统罗盘内都可以直接看到,包括卫星编号、经纬度、信号强度。

这里值得一提的是AGPS的技术标准,GPS领衔的各家全球卫星定位系统应该都使用这种统一的技术标准。

欧洲的卫星导航系统一直是个故事,当年中国本来要和欧洲一起搞,结果欧洲人傲慢不干,中国就不客气,直接先发了卫星占了信号发射频段,让自负而动作缓慢的欧洲人憋气。据报道,印度也在研发他们自家的导航系统。

左右两张截图很有意思,9、5、4、0。

在软件园楼下停车场开阔地带,GPS有9颗,俄罗斯5颗,北斗有4颗,第四家(欧洲?日本?)0颗。当时我想,这大概就是卫星导航领域现实的寓意,9=5+4,其他为0(更新:其实是MIMAX内置GPS驱动没有匹配欧洲日本共建卫星导航系统)。美俄中是空中主角,其他不入流(也不好说)。

2016年02月4日 11:05 下午 i新传 分类: 后端, 技术, 项目

有人问我什么是 SRS,这里简单解释一下

首先是要理解 SPF,https://en.wikipedia.org/wiki/Sender_Policy_Framework
就是域名拥有者通过 DNS TXT 记录,声明哪些IP地址发出来的标记Sender为本域的邮件是可以被信任的
SPF很好的过滤了伪造Sender的行为,从而Sender的信誉可以被积累和建立

但是SPF对 autoforward 这种配置造成了困扰
一封邮件从Google发送到Hotmail,然后Hotmail将其转发到Sohu
转发过程中Hotmail将如何声明Sender?
如果是原始发件人的话,就违背了Google的SPF声明

所以需要重写Sender,让Sohu信任这封看起来是来自Hotmail的邮件
不过Hotmail除了重新Sender,还得支持当这封信soft-bounce之后,能正确的将弹回邮件再弹给Google
于是还得有一个防重写伪造的机制,确认这封弹回的邮件的确是从Google来的然后重写转发的

最终专业从事 email gateway/forwarding 的人提出了 SRS,https://en.wikipedia.org/wiki/Sender_Rewriting_Scheme
希望采用 SPF 验证的服务器,上面的例子中是Sohu,能认可Hotmail的这种重写行为,http://www.openspf.org/SRS

Topic:
2015年11月5日 7:27 下午 i新传 分类: Open, 怀旧, 社会化媒体

百度已实现全站https化,在BAT中率先完成全站加密,以推动网络环境安全。为了进一步保护用户隐私,防止第三方窃听和篡改,百度已于6月25日正式 取消referer中关于关键词的显示,更好的保护站点流量关键词数据信息,令站点数据更加私密化。站长需要获得网站流量关键词时,仍然可以使用百度站长平台提供的流量与关键词工具或者百度统计相关功能进行查询。(url

此前,阿里称“数据不再对外开放”,而百度声称“令站点数据更加私密化”故对外屏蔽搜索关键词。

与此同时,阿里频频“营销”收购或自有的用户资源,包括基础网络用户、社交网络用户、金融支付工具用户,手段包括群发邮件推荐;百度则将用户搜索关键字直接显示在百度搜索联盟页面上,以提高关键词广告匹配率。百度用的这个手段,近乎于自扇“进一步保护用户隐私”的耳光。

2014年11月11日 7:14 下午 i新传 分类: HTML5, javascript, Open, 产品, 后端, 微信, 技术, 新传, 用户体验UE, 知识原野, 社会化媒体

 漫步云端 – 个人云轨迹之初体验

2014-11-06 老兵新传 新传

新传推出一实验室项目:个人云轨迹

 

大数据时代,云API、云端存储渐成主流,主角当属云应用。

此次新传学院借助新传服务号(XCSTWX)推出个人云端轨迹,以微信“我的位置”为主动数据源,结合LBS云端服务解决方案,在已实现的数据云端创建、存储、分析基础之上,以可视化方式进行个性化展示。

 

此项实验项目很有趣味性,但我们也注重您的个人隐私,您可以自行选择是否分享到朋友、微信群或朋友圈,未来我们还会提供更多的隐私保护或自由分享的选择。

 

剧透至此,感兴趣的同学可以点开新传服务号自定义菜单[体验]->[个人云轨迹]。

 

 

点开获得您的个人云轨迹链接,打开可以看到类似下面的可视化页面。

 

微信扫一扫,关注新传公众号

qrcode_for_gh_5a323564022a_258