- 資訊安全:
1.VNC拒绝服务漏洞(CVE-2015-5239)分析 by 360安全卫士
VNC采用RFB通信协议。RFB ("remote 帧缓存 ") 是一个远程图形用户的简单协议。通过这个协议,用户可以远程模拟鼠标点击、键盘按键以及文本复制/剪切等功能。本文所讲述漏洞就是在文本复制/剪切时触发的。
QEMU在通过vnc读取报文中存储的剪切板中的数据时,由于其未对报文中用于描述数据长度的字段进行严格限制,进而导致其出现逻辑错误进入死循环。
攻击者利用该漏洞可以导致虚拟机拒绝服务,并且保持对cpu的高占用率,继而会影响宿主机以及其他虚拟机的正常执行。 我们在测试环境中对该漏洞进行测试,触发前后的截图如下。可以看到,在漏洞触发后qemu-kvm无法远程访问,并占有极高的CPU使用率,严重影响其它程序的运行。
2.别用Chrome浏览这篇文章,会崩溃! by Freebuf
URL末尾的%%300被转换成(0x30是ASCII码的0),这样就在网址的末尾插入了一个空字节。这行URL被传递给GURLToDatabaseURL() 函数,该函数调用ReplaceComponents()函数。
上述行为引起URL被重复处理,并进行至空字节。浏览器认为这个空字节不应该出现,于是标记该URL为无效;
代码路径又返回到The code path returns to GURLToDatabaseURL() 函数,但该函数认为这个URL应该是有效的,然后调用spec()函数;但该URL实际上是无效的,于是DCHECK()函数引起软件 bail out;
当鼠标指针停留在URL的上面时,这个被认为无效的网址被发送到浏览器认为是有效地址的处理部分,最终标签页发生崩溃。
3.菲律宾匿名者攻击菲律宾电信委员会网站来抗议网速缓慢 by 360安全播报
菲律宾匿名者于星期日下午黑掉了国家电信委员会(NTC)的官方网站,并且在该官方网站上挂了黑页。此次黑客行动是因为人们不满于菲律宾缓慢的网速,以及NTC发布的相关宽带收费价格。
VNC采用RFB通信协议。RFB ("remote 帧缓存 ") 是一个远程图形用户的简单协议。通过这个协议,用户可以远程模拟鼠标点击、键盘按键以及文本复制/剪切等功能。本文所讲述漏洞就是在文本复制/剪切时触发的。
QEMU在通过vnc读取报文中存储的剪切板中的数据时,由于其未对报文中用于描述数据长度的字段进行严格限制,进而导致其出现逻辑错误进入死循环。
攻击者利用该漏洞可以导致虚拟机拒绝服务,并且保持对cpu的高占用率,继而会影响宿主机以及其他虚拟机的正常执行。 我们在测试环境中对该漏洞进行测试,触发前后的截图如下。可以看到,在漏洞触发后qemu-kvm无法远程访问,并占有极高的CPU使用率,严重影响其它程序的运行。
2.别用Chrome浏览这篇文章,会崩溃! by Freebuf
URL末尾的%%300被转换成(0x30是ASCII码的0),这样就在网址的末尾插入了一个空字节。这行URL被传递给GURLToDatabaseURL() 函数,该函数调用ReplaceComponents()函数。
上述行为引起URL被重复处理,并进行至空字节。浏览器认为这个空字节不应该出现,于是标记该URL为无效;
代码路径又返回到The code path returns to GURLToDatabaseURL() 函数,但该函数认为这个URL应该是有效的,然后调用spec()函数;但该URL实际上是无效的,于是DCHECK()函数引起软件 bail out;
当鼠标指针停留在URL的上面时,这个被认为无效的网址被发送到浏览器认为是有效地址的处理部分,最终标签页发生崩溃。
3.菲律宾匿名者攻击菲律宾电信委员会网站来抗议网速缓慢 by 360安全播报
菲律宾匿名者于星期日下午黑掉了国家电信委员会(NTC)的官方网站,并且在该官方网站上挂了黑页。此次黑客行动是因为人们不满于菲律宾缓慢的网速,以及NTC发布的相关宽带收费价格。
- 自我成長:
1.有關舒適圈內的自滿,以及舒適圈外的成長 by PINSOUL
我們會面臨自我檢驗的時刻,是因為站在我們的舒適圈外,就是會讓我們恐慌的區域,一個會讓我們覺得走太遠,走太快,一切太過白熱化而讓我們想要回頭的狀態。
但這個時候,是我們可以練習社會與情緒智商的時刻,也是我們可以練習對自己憐憫,對他人憐憫的時刻,我們可以試著平衡自己的一切動作,讓我們可以對抗自己自滿的狀態,使我們可以更投入當下,而不會再自滿中留下許多遺憾。
2.「實體捐贈」的陷阱 by 張小虹
陷阱一:「實體捐贈」捐的只是工程主體的大樓「粗胚」,而往往興建所需前置作業與配套措施(尤其是室內裝修經費)的龐大經費,必須由受贈方自行買單。
陷阱二:「實體捐贈」不論採用命名或不命名大樓的方式,榮耀與光圈都會「加倍」集中在捐贈方的義行善舉,社會大眾其實看不到也不了解受贈方其實負擔了另一半龐大經費的支出。
陷阱三:「實體捐贈」若採用指定建築師形式,興建大樓的建築設計主導權便在捐贈方而非受贈方手中,而受贈方若對建築設計提出重大疑義,就必須甘冒捐贈方撤資走人的風險。最常聽到的講法:別人送你的禮物怎麼可以嫌東嫌西,即便是這份禮物將來要成為受贈方的新門面,也必須要尊重建築師的專業與風格。
陷阱四:「實體捐贈」多只在乎工程主體的豐功偉業,往往嚴重疏忽完工使用後受贈方經營維護經費的例行支出是否過於龐大,愈好大喜功的建築師,愈容易產生痛苦不堪的使用者,而台灣許多「耗能大樓」也就此產生。
3.组织设计实施通用步骤 by 周正勇
组织设计实施步骤:
(1)确立组织目标
(2)划分业务工作
(3)提出组织结构的基本框架
(4)确定职责和权限
(5)设计组织的运作方式
(6)决定人员配备
(7)形成组织结构
(8)调整组织结构
设计关注九大要素:
(1)设计重点组织的目标性
(2)组织的成长性
(3)组织的稳定性
(4)组织的简单性
(5)组织的弹性
(6)组织的均衡性
(7)指挥的统一性
(8)权责明确化
(9)作业制度化
我們會面臨自我檢驗的時刻,是因為站在我們的舒適圈外,就是會讓我們恐慌的區域,一個會讓我們覺得走太遠,走太快,一切太過白熱化而讓我們想要回頭的狀態。
但這個時候,是我們可以練習社會與情緒智商的時刻,也是我們可以練習對自己憐憫,對他人憐憫的時刻,我們可以試著平衡自己的一切動作,讓我們可以對抗自己自滿的狀態,使我們可以更投入當下,而不會再自滿中留下許多遺憾。
2.「實體捐贈」的陷阱 by 張小虹
陷阱一:「實體捐贈」捐的只是工程主體的大樓「粗胚」,而往往興建所需前置作業與配套措施(尤其是室內裝修經費)的龐大經費,必須由受贈方自行買單。
陷阱二:「實體捐贈」不論採用命名或不命名大樓的方式,榮耀與光圈都會「加倍」集中在捐贈方的義行善舉,社會大眾其實看不到也不了解受贈方其實負擔了另一半龐大經費的支出。
陷阱三:「實體捐贈」若採用指定建築師形式,興建大樓的建築設計主導權便在捐贈方而非受贈方手中,而受贈方若對建築設計提出重大疑義,就必須甘冒捐贈方撤資走人的風險。最常聽到的講法:別人送你的禮物怎麼可以嫌東嫌西,即便是這份禮物將來要成為受贈方的新門面,也必須要尊重建築師的專業與風格。
陷阱四:「實體捐贈」多只在乎工程主體的豐功偉業,往往嚴重疏忽完工使用後受贈方經營維護經費的例行支出是否過於龐大,愈好大喜功的建築師,愈容易產生痛苦不堪的使用者,而台灣許多「耗能大樓」也就此產生。
3.组织设计实施通用步骤 by 周正勇
组织设计实施步骤:
(1)确立组织目标
(2)划分业务工作
(3)提出组织结构的基本框架
(4)确定职责和权限
(5)设计组织的运作方式
(6)决定人员配备
(7)形成组织结构
(8)调整组织结构
设计关注九大要素:
(1)设计重点组织的目标性
(2)组织的成长性
(3)组织的稳定性
(4)组织的简单性
(5)组织的弹性
(6)组织的均衡性
(7)指挥的统一性
(8)权责明确化
(9)作业制度化
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言