CIO发出有关TLS证书安全风险的警报该安全供应商对来自美国，英国，法国，德国和澳大利亚的550位CIO进行了调查，以更好地了解对日益用于保护流向受信任机器的数据的证书的态度。数字转换的努力已导致TLS证书的爆炸式增长，以保护现代计算系统，但是，这样做时，用于跟踪它们的手动或半自治过程不再适合于目的。这可能导致大量人员在没有IT知识的情况下到期，从而使组织面临风险。Venafi先前的一项研究表明，

网络安全研究人员今天发现了针对叙利亚和土耳其库尔德人社区的水坑攻击的新细节，以进行监视和情报渗透，该行动背后的高级持续威胁被称为StrongPity，已经用新策略进行了重组，以控制受感染的计算机。“ APT小组使用水坑策略选择性地感染受害者，并部署三层C＆C基础设施以阻止法医调查，从而利用Trojanized常用工具，例如存档器，文件恢复应用程序，远程连接应用程序，实用程序，甚至是安全软件，涵盖了

Vuln ID： CVE-2019-20415发布时间： 2020年6月30日03：15：09Z说明：受影响版本的Atlassian Jira Server和Data Center允许远程攻击者通过跨站点请求伪造（CSRF）漏洞来修改日志记录和配置文件设置。受影响的版本是7.13.3之前的版本，以及8.1.0之前的8.0.0版本。

Vuln ID： CVE-2019-20416发布时间： 2020年6月30日03：15：09Z说明：受影响的Atlassian Jira Server和Data Center版本允许远程攻击者通过项目配置功能中的跨站点脚本（XSS）漏洞注入任意HTML或JavaScript。受影响的版本早于版本8.3.0。

巴西联邦警察报告了对网络犯罪组织调查的进展，该组织据称负责揭露包括总统贾尔·博尔索纳罗在内的高级政府官员的个人详细信息。黑客组织“匿名巴西”（Anonymous Brazil）声称，本月早些时候发生了一次泄露事件，涉及与博尔索纳罗，他的儿子和支持者以及各大臣有关的个人信息。包括涉嫌个人拥有的假定资产在内的信息已发布在Twitter上的个人资料中，该个人资料很快被社交网络删除。当时，Bolsonar

攻击者已攻击数十家美国公司，其中包括八家财富500强公司。赛门铁克是Broadcom的一个部门，已识别出并警告我们的客户，其攻击者试图在其网络上部署WastedLocker勒索软件（Ransom.WastedLocker）对美国公司进行了一系列攻击。这些攻击的最终目标是通过对受害者的大多数计算机和服务器进行加密来削弱受害者的IT基础架构，以要求获得数百万美元的赎金。至少有31个客户组织受到了攻击，

Lucifer:加密劫持和DDoS攻击本月，Unit 42团队说明，他们确定了两种版本的Lucifer恶意软件，这些恶意软件利用已知漏洞在目标系统上渗透和执行恶意活动。自传播的混合恶意软件变种（称为Lucifer）利用已知漏洞在Windows平台上传播和执行恶意活动，例如加密劫持和分布式拒绝服务（DDoS）攻击。Lucifer恶意软件针对Rejetto HTTP文件服务器（CVE-2014-628

没有扩展安全更新的Windows 7和Server 2008 R2用户刚刚收到了CVE-2020-1299的微补丁，CVE-2020-1299是另一个“类似于Stuxnet的”严重LNK远程代码执行问题，仅通过使用Windows查看文件夹即可在用户计算机上执行代码资源管理器。Microsoft通过2020年6月更新修补了此漏洞，但没有扩展安全更新的Windows 7和Server 2008用户仍然

DLL代表动态链接库，并且是在Windows或任何其他操作系统上运行的应用程序的外部部分。大多数应用程序本身并不完整，它们将代码存储在不同的文件中。如果需要代码，则将相关文件加载到内存中并使用。这样可以减少应用程序文件的大小，同时优化RAM的使用。本文介绍了什么是DLL劫持以及如何检测和防止它。什么是DLL文件或动态链接库DLL文件是动态链接库，从名称上可以明显看出，它们是不同应用程序的扩展。我们

2020年5月3日，阿里云应急响应中心监测到近日国外某安全团队披露了SaltStack存在认证绕过致命令执行漏洞以及目录遍历漏洞。漏洞描述SaltStack是基于Python开发的一套C/S架构配置管理工具。国外某安全团队披露了SaltStack存在认证绕过漏洞（CVE-2020-11651）和目录遍历漏洞（CVE-2020-11652）。在CVE-2020-11651认证绕过漏洞中，攻击者通过构

Kali LinuxKali Linux是最著名的Linux发行版，用于道德黑客和渗透测试。Kali Linux由Offensive Security开发，之前由BackTrack开发。Kali Linux基于Debian。它带有来自安全和取证各个领域的大量渗透测试工具。现在，它遵循滚动发布模型，这意味着您集合中的每个工具将始终保持最新状态。它是目前最先进的渗透测试平台，可支持各种设备和硬件平台。

Linux系统提供各种系统服务（例如进程管理，登录，syslog，cron等）和网络服务（例如远程登录，电子邮件，打印机，Web托管，数据存储，文件传输，域名）解析度（使用DNS），动态IP地址分配（使用DHCP）等等。

在软件方面，尤其是在操作系统级别，端口是一种逻辑结构，用于标识特定的进程/应用程序或网络服务的类型，并且在Linux系统上运行的每个网络服务都使用特定的协议（最常见的是TCP（传输控制协议）和UDP（用户数据报协议）以及用于与其他进程或服务进行通信的端口号。

默认使用 org.apache.struts2.dispatcher.multipart.JakartaMultiPartRequest 类对上传数据进行解析。其在处理 Content-Type 时如果获得非预期的值的话，将会抛出一个异常，在此异常的处理中会对错误信息进行OGNL表达式解析。漏洞复现影响范围Struts 2.3.5 - 2.3.31, Struts 2.5 - 2.5.10漏洞分析

CVE-2020-0796NVD的描述Microsoft服务器消息块3.1.1（SMBv3）协议处理某些请求的方式中存在一个远程执行代码漏洞，也称为“ Windows SMBv3客户端/服务器远程执行代码漏洞”。

Vuln ID：CVE-2020-15306发布时间：2020年6月26日01：15：10Z漏洞详情：在v2.5.2之前的OpenEXR中发现了一个问题。无效的chunkCount属性可能会导致IlmImf / ImfMisc.cpp中的getChunkOffsetTableSize（）中的堆缓冲区溢出。Vuln ID：CVE-2020-15305发布时间：2020年6月26日01：15：10Z漏

漏洞描述Apache Spark 是专为大规模数据处理而设计的快速通用的计算引擎。由于Apache Spark的认证机制存在缺陷，导致共享密钥认证失效。攻击者利用该漏洞，可在未授权的情况下，远程发送精心构造的过程调用指令，启动Spark集群上的应用程序资源，获得目标服务器的权限，实现远程代码执行。阿里云应急响应中心提醒Apache Spark 用户尽快采取安全措施阻止漏洞攻击。影响版本Apache

顾名思义，云表示巨大且存在于大面积区域中的东西。顾名思义，在技术领域，云是一种虚拟的东西，可以通过存储，托管应用程序或虚拟化任何物理空间的形式向最终用户提供服务。如今，小型和大型组织都使用云计算来存储数据或为客户提供上面列出的优势。与云相关的服务主要包括三种类型：SaaS（软件即服务），用于允许用户访问大型组织的其他公共可用云，以存储其数据，例如Gmail；PaaS（平台即服务），用于托管应用程序

可靠的分布式计算系统和应用程序已成为杰出业务的基石，尤其是在自动化和管理关键任务业务流程以及向客户提供服务方面。作为这些系统和应用程序的开发人员和系统管理员，您应该提供各种信息技术（IT）解决方案，以确保您拥有最有效的系统。这包括诸如为系统/应用程序性能，可靠性，可用性和可伸缩性设计，测试和实施策略的任务，以为最终用户提供令人满意的服务水平。缓存是您可以依赖的许多非常基本但有效的应用程序交付技术之

总览Microsoft SMBv3在压缩处理中包含一个漏洞，该漏洞可能允许未经身份验证的远程攻击者在易受攻击的系统上执行任意代码。此漏洞被称为“ SMBGhost和CoronaBlue”。描述Microsoft Server Message Block 3.1.1（SMBv3）在处理使用压缩的连接的方式中包含一个漏洞。此漏洞可能允许未经身份验证的远程攻击者在易受攻击的系统上执行任意代码。据报道，此

首先打开模板存放目录打开demo模块目录打开index文件找到{dede:include filename=head.htm/}更改为{dede:include

本篇文章带大家了解一下JavaScript中的数组和伪数组。有一定的参考价值，有需要的朋友可以参考一下，希望对大家有所帮助。伪数组和数组在JavaScript中

我们都知道放大镜效果一般都是用于一些商城中的，例如每当我们打开淘宝，天猫等pc端时，看到心仪的物品时，点击图片时，便呈现出放大镜的效果。下面本篇文章给大家介绍如

CSS+JS如何实现动态下划线效果？本篇文章通过示例来给大家介绍实现动态下划线效果的方法。有一定的参考价值，有需要的朋友可以参考一下，希望对大家有所帮助。本文主

浏览器是怎么将标签转成 DOM 的？下面给大家介绍一下浏览器将标签转成 DOM 的过程。有一定的参考价值，有需要的朋友可以参考一下，希望对大家有所帮助。浏览器基

CSS尺寸样式属性：height属性和width属性定义元素内容区的高度和宽度，在内容区外面可以增加内边距、边框和外边距。行内非替换元素会忽略这两个属性。尺寸样

其实毛玻璃的模糊效果技术上比较简单，只是用到了 css 滤镜（filter）中的 blur 属性。但是要做一个好的毛玻璃效果，需要注意很多细节。比如我们需要将下

普通函数和箭头函数的是什么？区别是什么？下面本篇文章就来给大家对比一下普通函数和箭头函数，介绍两者的区别。有一定的参考价值，有需要的朋友可以参考一下，希望对大家

本篇文章给大家介绍一下JavaScript中的4种调用模式。有一定的参考价值，有需要的朋友可以参考一下，希望对大家有所帮助。在js中，一共4中调用方式。需要注意

在JavaScript中有三种声明变量的方式:var、let、const。下面本篇文章就来给大家介绍一下js中三种定义变量的方式const, var, let的

文档流指的是元素排版布局过程中，元素会默认自动从左往右，从上往下的流式排列方式。并最终窗体自上而下分成一行行，并在每行中从左至右的顺序排放元素。标准文档流介绍我

CSS能够对网页中元素位置的排版进行像素级精确控制，拥有对网页对象和模型样式编辑的能力。本文为大家介绍了css设置背景的方法，希望对大家有一定的帮助。本文将详细

CSS能够对网页中元素位置的排版进行像素级精确控制，拥有对网页对象和模型样式编辑的能力。本文就来为大家介绍一下css中对尖角的处理方法。在各种网站里面，我们会经

如何去除chrome中input自动填充背景？下面本篇文章就来给大家介绍一下在HTML中去除chrome中input自动填充背景的方法。有一定的参考价值，有需要

网页中如何设置默认图片？下面本篇文章就来给大家介绍一下在网页中设置默认图片，防止当图片资源失败时出现的问题。有一定的参考价值，有需要的朋友可以参考一下，希望对大

怎么使用CSS z-index属性？下面本篇文章就来给大家浅谈一下CSS z-index属性的使用方法。有一定的参考价值，有需要的朋友可以参考一下，希望对大家有

本篇文章就来给大家介绍一下CSS3中的结构伪类选择器和伪元素选择器。有一定的参考价值，有需要的朋友可以参考一下，希望对大家有所帮助。结构伪类选择器介绍结构伪类选

CSS如何设置文本和元素阴影效果？下面本篇文章给大家介绍一下使用CSS设置文本阴影和元素阴影的方法。有一定的参考价值，有需要的朋友可以参考一下，希望对大家有所帮

用CSS如何实现仿王者匹配时的粒子按钮动画效果？下面本篇文章就来给大家介绍一下使用CSS3实现仿王者匹配时的粒子按钮动画效果。有一定的参考价值，有需要的朋友可以

CSS初学感觉很简单，但随着学习的深入才感觉CSS的水由多深，平常总会遇到各种坑，先总结一些经常遇到的坑，希望对大家有一定的帮助。大小写不敏感虽然我们平时在写C

在这里，我们将研究设计中最简单、因而常常被低估的活动之一，即线框图的设计。了解什么是线框图，为什么需要设计它们以及如何充分利用线框图。什么是线框图？线框图，也称

亲爱的甲方：我是Ralph Theodori，Vectornator的设计总监，有些事憋在心里不吐不快：很多经营设计工作室或是做自由设计职业的朋友们经常纠结于与

对于设计师而言，最好的工具始终是能让设计过程更加便捷、更出效果、更加快速的那些工具。而如今的新工具也正是向着这个方向前进的。这一期的设计圈干货大合集就包含了不少

每个人对插画的兴趣，都是从某天被某类风格的插画所吸引，而开始痛下决心要学的（也很有可能是三分钟热度）。而对于究竟有多少插画风格，大概很多人都只有个模糊的概念。很

人人都在尽可能增加自己的认知，但往往忘记了一点：你的认知是在一个单一的、陈旧的、其实已经无效的维度上添砖加瓦呢？还是要找到另外的一个维度、另外的一种思维？这里就

设计师的工作是做设计么？当然。但是设计师的工作只是做设计么？不尽然。在很多时候，尤其是在没有图片素材和视觉化的素材的前提之下，设计师没法直接借用视觉语言来「沟通

和大家分享一下，杨杨在年前做的一套新年主题图标，整个过程成长很大，也希望能给大家一些启发。其实一套主题图标对于一个刚毕业的大学生来说，难度不小，但只要愿意学习，

Tips：以下说的「网易云音乐小程序」均为重设计尝试版DEMO前言最近写了一篇关于小程序的文章，得到了很多同学的认可，非常感谢。在此基础上，运用理论逻辑推理，对

设计大多是服务于商业的，或许设计过程中我们会遇到很多奇葩的要求，但这基本是每个设计师都会经历的，我们要学会留给自己一些空间，去发现设计中的乐趣，这样才不会觉得枯

我，一名UI。一名出设计稿的时候，连一像素的视觉分割线都要纠结好几次的UI；一名走查设计落地时总是心怀不甘觉得前端落地可以再完美一点的UI；一名很爱前端小哥但是

天气渐热，随着一档档节目进入宣发阶段，「综艺的夏天」即将到来，优秀的综艺人配上炫酷的舞台、视觉的包装，呈现给了观众高品质的节目效果，同一时刻，设计师们的设计小雷

图形是平面设计的核心元素之一，故图形设计也是设计师必须掌握的重要能力，不论是海报设计、广告设计、包装设计、UI 设计、Logo 设计都离不开图形设计，其中最具代

当观众越来越习惯在互联网进行沟通，或大量沉浸在视频观看里时，设计们也在挖空心思让电影物料有更多新花样。这是一部电视剧，但却有着电影级别的物料质感。△ 「风犬少年

编者按：这篇文章来自 UI 设计师 Diana Malewicz，她在日常工作中会非常注意 UI设计的流行趋势，而这篇总结就是她梳理总结的10个小趋势。它们更多

从2019年下半年iOS 13的发布开始，「Dark Mode」越来越多地出现在大众的视野中，近期更是随着微信的适配再引热议。那么这样一个系统模式到底是从何而来

前不久我在讲标签栏专题的时候，有聊到过一次图标。（前文已提及到部分规范，本文将直接引用，为防止新读者理解脱节，建议先看前文）。往期回顾：掏空家底！图标设计落地全

日常设计中，我们可以收集一些类型海报，去分析它们的特点进行练习，逐渐熟练掌握各个风格特征。我们知道，透过现象看本质，才能实现真正意义上的认识。其实版式设计也是一

和重新设计网站不一样，网站重设计的项目通常都会更麻烦一些。由于网站本身是企业、产品和内容承载的重要平台，通常一个网站设计完成之后会使用好几年，但是随着时间推移，

不论是手机还是 PC端，面包屑都是用来寻找路径的重要组件，可以让用户了解当前页面在整个网站结构的所处位置。NN/g 从1995年就开始推荐大家使用面包屑，因为它

Apple 致力于让每件产品都赏心悦目，与其说官网是产品展示平台，倒不如说它是苹果产品分支的延续。我相信，从 Apple.com 找设计灵感是每一位设计师都做过