by ·6条评论

     请看80sec公布的漏洞利用原理 http://www.80sec.com/nginx-securit.html

     请看cnbeta的新闻。http://www.cnbeta.com/articles/111711.htm

解决方案1:修改/usr/local/php/etc/php.ini将cgi.fix_pathinfo设为0 (注:前面可能有注释符号; 需要删除掉。),执行/usr/local/php/sbin/php-fpm restart重启。

lnmp一键安装包用户可以直接执行命 令:sed -i ‘s/; cgi.fix_pathinfo=0/cgi.fix_pathinfo=0/g’ /usr/local/php/etc/php.ini 再执行:/usr/local/php/sbin/php-fpm restart重启即可修复完成。

解决方案2:为nginx虚拟主机添加如下内容:

if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
}

此方法我的测试结果为二级目录就报错403错误了。不建议采用。

nginx真的存在文件类型解析漏洞吗? 结果证明是php-fpm的问题。汗·

—–以下转发文章。请用php fpm的同学速度修复

继续阅读

by ·一条评论

     来至cnbeta

尽管视频已经成为核心的网络体验,但目前还没有一个开放并免费的可用于网络视频的格式,所以在收购On2之后的10个月,Google终于将其拥有的VP8视频编码技术开源,并免费提供给所有开发者使用。同时,Google发布WebM开 放网络媒体项目,一个可以帮助开发者为开放网络制作出世界级媒体格式的社区。

WebM包括:

  • VP8:高质量的视频编码,以BSD式的免费授权形式提供给所有人使用
  • Vorbis:开源并已经被广泛部署使用的音频编码
  • 一个基于Matroska子集的视频容器

VP8的视频编码非常高效,这也意味着使用VP8编码的视频会占用更小的带宽,同时提供更高的视频质量。VP8编码非常简单,可以轻松整合到现有环境里。很多软件和硬件厂商都将支持WebM,包括:

同时,Google也宣布今晚放出的新版Chromium会加入对WebM的支持,包括VP8视频编码,几周后会加入Chrome Dev分支。

Via WebM Project Blog and The Chromium Blog
谷奥——探寻谷歌的奥秘 ( http://www.google.org.cn )

by ·0评论

      新闻来源cnbeta

据最新内部消息,HTC自2010年7月16日起全面接管大陆市场,HTC中国公司已经通过工商注册了,dopod退出市场。当然这个退出是需要一个漫长的过程的,据内部人员称,此次退出会是“逐步退出”。众多网友可能不明白HTC与多普达的关系,权子在此就稍稍为大家简单介绍一下。

 

继续阅读

by ·0评论

新闻来源:speckboy.com
几乎所有的富 Web 应用都基于一个或多个 Web UI 库或框架,这些 UI 库与框架极大地简化了开发进程,并带来一致,可靠,以及高度交互性的用户界面。本文介绍了 15 个非常强大的 JavaScript Web UI 库,非常适合各种各种规模的富 Web 应用的开发。

LivePipe
LivePipe UI 基于 Prototype Javascript 框架,包含了一整套经严格测试并高度可扩展的 UI 控件,拥有很好的文档,在不支持 JavaScript 的环境中,可以无缝降级使用。包括 Tab, 窗体,文本框,多选框,评分控件,进度条,滚动条,右键菜单等多种控件。
LivePipe 首页与下载
LivePipe 演示与示例

UKI

UKI 是一套简单的 JavaScript UI 工具集,用于快速创建桌面风格的 Web 应用。包含的控件从滑动条,到分栏视图,不一而足。熟悉 jQuery 的开发者会发现这个工具很容易上手,非常简洁,无需安装框架,不依赖 CSS 引用。
UKI 主页与下载
UKI 控件,演示,示例

 

继续阅读

by ·4条评论

      我反正是以前没看到过,转了。娱乐·

      一同学,大三,要去相亲,于是去夜市买了一条大金链子,15块,屎黄屎黄的,拴在脖子上。
同学问小摊的mm:总不会掉色吧?
小摊mm老板说:绝对不会掉!
同学问:掉色那怎么办?
小摊mm打包票:掉色你操我大爷!
第二天同学就去相亲了,约定时间到,对方露面,一瞧,惊!居然是昨天那个小摊mm。
我同学非常尴尬,汗都下来了,更悲剧的是,这时候,金链子掉色了。。。

     今天我哥出院回家,因为刚做好手术,还不是恢复的特别好,所以想买个卧铺票。可是排了半天轮到我的时候卧铺票卖完了,很无奈地往外走。
这时看到门口有个pol.ice叔叔,我想起来郭德纲说的问pol.ice票贩子在哪的段子,于是就想恶作剧一下。走过去跟pol.ice说:麻烦您知道票贩子在哪吗?我想买个卧铺票。
这时雷人的来了,pol.ice叔叔盯着我看了足足有一分钟,我正害怕他抓我呢,他来一句:我就是……
我就是……
就是……
是……
原来是无间道~

     昨天晚上带老婆去和一群哥们儿吃饭,哥们儿A有点喝多了,也不知道怎么就说到他新找的女朋友,他说“**GB的,非说自己是CN,我特意开着灯,r头,y唇都不是粉红色的!cao~~“说完,饭桌上一阵沉默,很尴尬,因为很多人都带老婆或者女友去的,只有A没带。我扭头弱弱的看了老婆一眼,老婆也有点喝多了,只见她回望了我一眼之后“刷”的站了起来,端起一杯酒就冲A泼了过去,嘴里骂道:“NB,还粉红色,你以为你找的是HelloKitty啊…..”
HelloKitty……..HelloKitty……..HelloKitty……..

      哥哥是厨师也是老板,一天一女的过来问他:老板,你这需要老板娘吗?-_-

      我刚查turf这个词,第一个意思是草,第二个意思是泥,第三个意思是马。绝了!

继续阅读

by ·0评论

Google是支持开源运动的最大公司之一,它们现在总共发布有超过500个的开源项目(大部分都是利用它们的API来完成),本文将列举一些有趣的开源项目,其中很可能有不少你不知道的哦。

文本文件处理:

Google CRUSH (Custom Reporting Utilities for SHell)

CRUSH是为命令行或shell scripts处理特定文字数据而制作的一系列工具,这里有指南

C++库和源代码:

Google Breakpad

一个开源的多平台崩溃报告系统。

Google GFlags

Gflags是一个命令行标记的处理库,它可以替代“getopt()”,其内置对C++的支持比如string。指南在此

Google Glog

Glog库可执行应用级的登陆,提供基于C++式的登陆API,可用于Linux、BSD和Windows。指南见此

Google PerfTools

这个工具可让开发创建更强大的应用程序,特别是那些用C++模版开发的多线程应用程序,包括TCMalloc, heap-checker, heap-profiler 和cpu-profiler。指南见此还有这里

Google Sparse Hash

非常节省内存的hash-map。指南见此

继续阅读