滥用专题
【深度好文】反模式:10种滥用设计模式案例分析
Hello,大家好,我是V哥。很多文章都在介绍设计模式怎么用,讲解设计模式的原理等等,设计模式的思想是编程中的精髓,用好了可以让代码结构利于维护和扩展,同时代码风格也更加优雅,V 哥也写过这样一篇文章,但很少有人从反模式的角度来讲一讲,过度滥用设计模式将给项目带来灾难。 设计模式反模式(Anti-Pattern)是指那些表面上看起来像是设计模式,但实际上会导致软件设计问题的做法。这些做法可能会
Redis功能强大,那也顶不住被滥用啊!
点击上方“朱小厮的博客”,选择“设为星标” 后台回复”加群“加入公众号专属技术群 Redis功能强大,数据类型丰富,再快的系统,也经不住疯狂的滥用。通过禁用部分高风险功能,并挂上开发的枷锁,业务更能够以简洁、通用的思想去考虑问题,而不是绑定在某种实现上。 Redis根据不同的用途,会有不同的持久化策略和逐出策略,所以,在使用和申请 Redis 集群前,请明确是用来做缓存还是存储。
滥用 Docker 目录的搜索权限来提升权限
在最近的一次活动中,我们发现了与/var/lib/docker权限相关的不熟悉的配置。此配置与许多其他低风险问题相结合,导致了一条攻击路径,允许低权限用户将权限提升至 root。 由于这种配置是非标准的,很少见,我们想与更广泛的社区分享我们的观察结果和利用这一特定弱点的方法。我们将通过一个示例来实现这一点,该示例部署到 WithSecure 实验室环境,并且仅复制了在参与过程中观察到的与我们将要
什么?!90%的ThreadLocal都在滥用或错用!
最近在看一个系统代码时,发现系统里面在使用到了 ThreadLocal,乍一看,好像很高级的样子。我再仔细一看,这个场景并不会存在线程安全问题,完全只是在一个方法中传参使用的啊!(震惊) 难道是我水平太低,看不懂这个高级用法?经过和架构师请教和确认,这完全就是一个 ThreadLocal 滥用的典型案例啊!甚至,日常的业务系统中,90%以上的 ThreadLocal 都在滥用或错用!快来看看说的
滥用Jsdelivr之存储视频/m3u8,并使用DPlayer加载
对于博客来说,媒体资源的存取方式至关重要,借助Jsdelivr加速Github上存储的图片已经是公认的方案,但对于视频来说,面对动辄几百兆的视频资源,你几乎无法找到一个免费的“视频床”,在第三方直接防盗链能力日渐完善的当下,急切需要一种折中方案。本文就借鉴前辈的尝试,将视频存放在Github之上并利用Jsdelivr实现加速,并利用DPlayer将其插入到自己的博客中。 核心问题 Github上
Web应用安全测试-业务功能滥用(二)
Web应用安全测试-业务功能滥用(二) 7、未验证的URL跳转 漏洞描述:服务端未对传入的跳转url变量进行检查和控制,可能导致可恶意构造任意一个恶意地址,诱导用户跳转到恶意网站。由于是从可信的站点跳转出去的,用户会比较信任,所以跳转漏洞一般用于钓鱼攻击,通过转到恶意网站欺骗用户输入用户名和密码盗取用户信息,或欺骗用户进行金钱交易;也可能引发的XSS漏洞(主要是跳转常常使用302跳转,即设置H
友元函数的正确用法和滥用方法
重点:友元函数用于左移(<<)和右移(>>)运算符的重载, 而其他的运算符都要写成成员函数,最好不要滥用友元函数。 第一种情况:所有函数写在类的内部代码如下:#include "stdafx.h"#include "iostream"using namespace std;template <typename T>class Complex{<span style="color:#ff00
js代码中关于async await的滥用 async await的滥用
概念: 返回值: async返回一个promise---这个返回值是默认自发行为 async function name1(params) {console.log(params)}let result = name1('lion')console.log(result) // Promise { undefined }result.then(res => console.log(re
滥用 Kubernetes 资源登上月球
Sysdig 2024 年云原生安全和使用报告强调了不断变化的威胁形势,但更重要的是,随着容器和 Kubernetes 等云原生技术的采用不断增加,并非所有组织都遵循最佳实践。当攻击者在 Kubernetes 等操作中利用容器来利用资源时,这最终会给攻击者带来优势。 平衡资源管理与安全不仅是一项技术挑战,也是一项战略任务。令人惊讶的是,研究报告发现,不到一半的 Kubernetes 环境有 CP
CSS的滥用:变得难于理解,难于维护
CSS声明式控制UI,形式上简单;编写简单。 一旦被滥用,就会出现相反的情形:产生冗余,冗余很难定位和清除,难于理解,动一处而牵扯全局。 CSS只是代码的一种形式,仍然需要浏览器在运行期间先把它转译成逻辑代码,然后动态执行(渲染,绘制)。 CSS随着代码的嵌套关系和覆盖关系的增加变得复杂起来。 10行CSS你看的很清爽,很清晰,很舒服,但是超过百行CSS估计就开始蒙圈了吧,1000行
Day75:WEB攻防-验证码安全篇接口滥用识别插件复用绕过宏命令填入滑块类
目录 图片验证码-识别插件-登录爆破&接口枚举 登录爆破 接口枚举 图片验证码-重复使用-某APP短信接口滥用 滑块验证码-宏命令-某Token&Sign&滑块案例 知识点: 1、验证码简单机制-验证码过于简单可爆破 2、验证码重复使用-验证码验证机制可绕过 3、验证码智能识别-验证码图形码被可识别 4、验证码接口调用-验证码触发接口可枚举 图片验证码-
写给蓝军的滥用 DPAPI 操作指南(下)
证书管理器和 Windows Vault 提醒一下: 我没有想出下面所要描述的任何内容,我只是记录下来,并尽我所能解释它。 下面所有的荣誉都归功于本杰明在这个领域的杰出工作。 从 Windows 7开始,凭证管理器允许用户存储网站和网络资源的凭证。 凭据文件存储在C:\Users\<USER>\AppData\Local\Microsoft\Credentials\ for users 和 %
《火箭联盟》游戏迷要小心了!已有攻击者滥用HTTP路径正常化和缓存来窃取你的账户了
《火箭联盟》是一款由美国独立游戏工作室Psyonix开发的网络游戏。该游戏一经推出即在海内外获得好评无数,玩家数屡创新高,截至目前全球玩家数超过3000万; 由于在过去的几年中,漏洞披露和漏洞赏金计划的使用已大大增加。现在,奇热这些计划几乎可以很容易地报告日常用户的安全漏洞,并快速发布关于安全报告处理的信息。 在《火箭联盟》上寻找到的漏洞 当黑客破解游戏时,他们总是首先关注的是游戏在网络
答应我,在vue中不要滥用watch好吗?
前言 上周五晚上8点,开开心心的等着产品验收完毕后就可以顺利上线。结果产品突然找到我说要加需求,并且维护这一块业务的同事已经下班走了,所以只有我来做。虽然内心一万头草泥马在狂奔,但是嘴里还是一口答应没问题。由于这一块业务很复杂并且我也不熟悉,加上还饿着肚子,在梳理代码逻辑的时候我差点崩溃了。需要修改的那个vue文件有几千行代码,迭代业务对应的ref变量有10多个watch。我光是梳理这些watc
滥用生成式人工智能的安全威胁的应对
文章目录 前言一、生成式人工智能滋生了恶意大模型的新威胁(一)对维护国家安全提出新挑战(二)对行业应用创新造成新冲击(三)对生产生活方式带来新威胁 二、生成式人工智能安全治理难点(一)包容审慎存在失衡,政策尺度有待细化(二)协同治理能力不足,联动合力有待提升(三)监管手段相对滞后,技术赋能有待加强 三、生成式人工智能安全治理对策建议(一)健全制度规则,提升政企协同治理能力(二)加强技术创新,
bt协议当中一些易被滥用的地方
对于seeder缺少奖励机制使其留在网络中tracker成为系统瓶颈上传速率作为结点选择依据具有片面性 一人多结点连接seeder,会使seeder对其他结点的上传减低,一人多节点连接其他peer,会妨碍其他peer找到更好的peer仅仅选择seeder下载数据,避免了上传仅仅以最低速率上传数据来防止被其他结点choke恶意结点发送不符合要求的chunk来获得较高的上传速率
2.Hive表结构变更时,滥用MSCK REPAIR TABLE语句,导致变更语句执行时间过长
1.分析原因 很多人可能都知道这个语句是用来修复分区的,但具体修复了什么,就说不上来了。 2.解决办法 搞清楚这个命令的作用就不会滥用了。 3.实战演习 (1)查看官方文档 (a)从这一段说明可以看出,元数据中存储着一个关于分区的列表,如果通过hadoop 命令或者其他方式(非hive命令)在hdfs上添加了分区,元数
被滥用的 “ 架构师 ” !
在很多程序员的大脑中,都会有这样一个打怪升级的路径: 曾经,我对这个路径深信不疑,现在想想,也许是因为初出茅庐的我所看到的江湖太小。慢慢地,在江湖中久了、视野开了,就发现自己想得太简单了。 第1个对“架构师”的定义 十多年前,在我初入江湖的时候,首先进入了一家位于深圳的大型软件公司,研发人员的规模上千。面试我的人据说是公司中的架构师,我当时心里真的是对这个架构师充满了仰慕之情,以至于至今我都依
Vue中避免滥用this去读取data中数据
template模板中如何避免 提前处理v-for循环所用的数据,不要在v-for循环中去读取数组、对象类型的数据。在上述template模板中滥用this的例子中可以这样优化。 假设list、arr、obj皆是服务端返回来的数据,且arr和obj没有用到任何模块渲染中,可以这样优化 优化前: <template><div class="wrap"><div v-for=item in l
循环反思-for循环的滥用
本博刚刚从学校毕业,刚进去公司工作也已经接近两个月了。 最近我的pl分配了一个功能给我,主要涉及到了两个bean,然后两个bean都有一个projectID,然后我要做的就是通过匹配相同的projectID,把两个bean合并成一个bean反馈给前端,让前端显示相关功能。 一开始思路 for(int i = 0;i<bean1.size();i++){ Bean1 bean = be
Google上架:2024年一月政策限制之设备和网络滥用
为确保 Google Play 用户能够获得安全、值得信赖的使用体验,Google会定期更新开发者计划政策。今天就来讲解一下关于一月新政策《设备和网络滥用》。 目录 首次草拟公布日期:2023-04-05草拟内容 正式公告公布日期:2023-07-12正式内容 截止时间2024-01-31 首次草拟
Google 提示:切忌滥用 DORA 指标
谷歌的 DevOps 研究与评估团队从事指标交易,即 DevOps 指标。但其最新的相关报告也警告不要过度使用这些指标。 DevOps 研究与评估小组(DORA)建议 IT 专业人员根据四个关键指标来评估团队绩效:部署频率,变更准备时间,变更失败率,失败部署恢复时间,即之前的平均服务恢复时间(MTTR)。自 2018 年谷歌收购 DORA 以来,初创公司和成熟的软件开发供应商(包括 Sle
Google 提示:切忌滥用 DORA 指标
谷歌的 DevOps 研究与评估团队从事指标交易,即 DevOps 指标。但其最新的相关报告也警告不要过度使用这些指标。 DevOps 研究与评估小组(DORA)建议 IT 专业人员根据四个关键指标来评估团队绩效:部署频率,变更准备时间,变更失败率,失败部署恢复时间,即之前的平均服务恢复时间(MTTR)。自 2018 年谷歌收购 DORA 以来,初创公司和成熟的软件开发供应商(包括 Sle
华为OD机试 - 区间交集 - 深度优先搜索dfs算法(滥用)(Java 2023 B卷 200分)
目录 专栏导读一、题目描述二、输入描述三、输出描述备注用例1、输入2、输出3、说明 四、解题思路1、核心思路:2、具体步骤 五、Java算法源码再重新读一遍题目,看看能否优化一下~解题步骤也简化了很多。 六、效果展示1、输入2、输出3、说明 华为OD机试 2023B卷题库疯狂收录中,刷题点这里 专栏导读 本专栏收录于《华为OD机试(JAVA)真题(A卷+B卷)》
华为OD机试 - 区间交集 - 深度优先搜索dfs算法(滥用)(Java 2023 B卷 200分)
目录 专栏导读一、题目描述二、输入描述三、输出描述备注用例1、输入2、输出3、说明 四、解题思路1、核心思路:2、具体步骤 五、Java算法源码再重新读一遍题目,看看能否优化一下~解题步骤也简化了很多。 六、效果展示1、输入2、输出3、说明 华为OD机试 2023B卷题库疯狂收录中,刷题点这里 专栏导读 本专栏收录于《华为OD机试(JAVA)真题(A卷+B卷)》
go --不要滥用math.Min和math.Math
比较大小我们经常使用,但非常奇怪的是:go的math.Max()和math.Min()函数只接收float64类型的?为什么? 外国一个博主给了非常棒的分析: https://mrekucci.blogspot.jp/2015/07/dont-abuse-mathmax-mathmin.html