irizhao-CSDN博客

原创开发安全之：Header Manipulation

假设在请求中提交了一个由标准字母数字字符组成的字符串，如“index.html”，则包含该 Cookie 的 HTTP 响应可能表现为以下形式： HTTP/1.1 200 OK ... location: index.html ... 然而，因为该位置的值由未经验证的用户输入组成，所以仅当提交给 some_location 的值不包含任何 CR 和 LF 字符时，响应才会保留这种形式。应用程序可能通过共享的数据存储器或其他可信赖的数据源接受输入，而该数据存储器所接受的输入源可能并未执行适当的输入验证。

2024-01-31 17:16:18 1167

原创安全漏洞大集合

线程阻塞、假死，出现服务器资源耗尽。、能获取用户身份信息的存储型。、伪造任意号码发送消息、任意账号。、涉及企业敏感信息的员工邮箱弱口。、可获取大量用户交易信息的接口，、应用加密可逆或明文的敏感信息泄。、可获取敏感信息或者执行敏感操作。、远程拒绝服务漏洞（可直接导致服。、程序逻辑错误（少量请求导致服务。（解析文件格式、网络协议产生的崩。、普通的设计缺陷或流程缺陷，比如。、用户登录、密码管理、支付安全、、没有实际意义的自动化扫描器报告。、无法证明漏洞是否存在或者危害，、密码和账户策略，如重置密码链接。

2024-01-30 16:32:11 261

原创备份数据提示Allowed memory size of 134217728 bytes exhausted的修复方法

PHP中，对于memory_limit配置中的定义解释是： memory_limit = 128M;也就是一个web请求，给予线程最大的内存使用量的定义。如果通过上面的方式修改后还会报这个错误，那你要检查一下你写的代码是否存在效率问题。（举例：从数据库查询到的数据加载到内存里面，然后php 进行数据处理，如果代码写的不是很严谨存在效率问题，特别是数据量非常大的时候也会导致内存耗尽）内存已耗尽，这关系到PHP的memory_limit的设置问题，根据自己的需要及参考本机的内存大小修改php内存限制。

2024-01-27 11:19:10 755

原创开发安全之：Cross-Site Scripting: DOM

针对 XSS 漏洞进行验证最安全的方式是，创建一份安全字符允许列表，允许其中的字符出现在 HTTP 内容中，并且只接受完全由这些经认可的字符组成的输入。然而，这种解决方法在 Web 应用程序中通常是行不通的，因为许多字符对浏览器来说都具有特殊的含义，编码时这些字符必须被视为合法输入，例如，一个 Web 设计电子公告栏就必须接受其用户提供的 HTML 片段。由于 XSS 漏洞在应用程序的输出中包含恶意数据时出现，因此，合乎逻辑的方法是在数据流出应用程序的前一刻对其进行验证。

2024-01-24 16:38:00 1253

原创开发安全之：Dynamic Code Evaluation: Insecure Transport

考虑以下 script 标签：如果攻击者正在监听用户和服务器之间的网络流量，则攻击者可以通过模仿或操纵来自 www.example.com 内容来加载自己的 JavaScript。通过未加密的通道可能包含来自网站的可执行内容，这使攻击者能够执行中间人 (MiTM) 攻击。控制网页加载的代码，如果代码来自单独的域，请确保始终通过安全连接加载代码。通过未加密的通道加载脚本。

2024-01-22 09:40:21 678 1

原创开发安全之Dangerous File Inclusion

这种能力经常用于赋予应用程序标准外观（应用模板），因而，人们可以共享各种功能而不需要借助编译的代码，或将代码分解成较小的更好管理的文件。在低于 PHP 4.2.0 的版本中，PHP 的安装包附带了默认启用的 register_globals，从而使攻击者很容易重写内部服务器的各种变量。通过将以下行包含在 php.ini 文件中来禁用 register_globals 选项： register_globals = 'off' 不要允许未验证的用户输入控制动态包含指令中使用的路径。

2024-01-22 09:37:07 555

原创 Java开发安全之：Unreleased Resource: Streams需确保流得到释放

为了使对象的 finalize() 方法能被调用，垃圾收集器必须确认对象符合垃圾回收的条件。垃圾收集器最终运行时，可能出现这样的情况，即在短时间内回收大量的资源，这种情况会导致“突发”性能，并降低总体系统通过量。最后，如果某一资源回收操作被挂起（例如该操作需要通过网络访问数据库），那么执行 finalize() 方法的线程也将被挂起。FileInputStream 中的 finalize() 方法最终会调用 close()，但是不能确定何时会调用 finalize() 方法。－错误状况及其他异常情况。

2024-01-20 09:57:14 888

原创 java开发安全之：Portability Flaw: File Separator

例如，Microsoft Windows 系统使用“\”，而 UNIX 系统则使用“/”。应用程序需要在不同的平台上运行时，使用硬编码文件分隔符会导致应用程序逻辑执行错误，并有可能导致 denial of service。以下代码实现的功能与Example 1 相同，但会使用独立于平台的 API 来指定文件分隔符： ...调用第 127 行的 File() 可能会导致可移植性问题，因为它使用硬编码文件分隔符。为编写可移植代码，不应使用硬编码文件分隔符，而应使用语言库提供的独立于平台的 API。

2024-01-20 09:53:04 473

原创 java开发安全之：Password Management: Hardcoded Password

WebSphere 以及其他一些应用服务器通常都只提供过期的且相对较弱的加密机制，这对于对安全性要求较高的环境来说是远远不够的。因此，凭证可以存储在加密的数据库中。在系统中的任何位置采用明文的形式存储密码，会造成任何有足够权限的人均可读取和无意中误用密码。更糟的是，如果攻击者能够访问应用程序的字节代码，那么他们就可以利用 javap -c 命令访问已经过反汇编的代码，而这些代码中恰恰包含用户使用过的密码值。... 与Example 1 类似，该代码可以正常运行，但是有权访问此代码的任何人都可以获得此密码。

2024-01-20 09:49:52 925

原创开发安全之：Cross-Site Scripting: Poor Validation

然而，这种解决方法在 Web 应用程序中通常是行不通的，因为许多字符对浏览器来说都具有特殊的含义，编码时这些字符必须被视为合法输入，例如，一个 Web 设计电子公告栏就必须接受其用户提供的 HTML 片段。针对 XSS 漏洞进行验证最安全的方式是，创建一份安全字符允许列表，允许其中的字符出现在 HTTP 内容中，并且只接受完全由这些经认可的字符组成的输入。由于 XSS 漏洞在应用程序的输出中包含恶意数据时出现，因此，合乎逻辑的方法是在数据流出应用程序的前一刻对其进行验证。

2024-01-20 09:41:57 1271

原创开发安全之：Server-Side Request Forgery

例如，控制 URI 方案将使攻击者可以使用不同于 http 或 https 的协议，类似于下面这样： - up:// - ldap:// - jar:// - gopher:// - mailto:// - ssh2:// - telnet:// - expect:// 攻击者将可以利用劫持的此网络连接执行下列攻击： - 对内联网资源进行端口扫描。因此，在这种情况下，程序员通常会采用执行拒绝列表的办法。更好的方法是创建一个字符列表，允许其中的字符出现在资源名称中，且只接受完全由这些被认可的字符组成的输入。

2024-01-20 09:35:13 886

原创开发安全之：System Information Leak: External

在Example 1 中，泄露的信息可能会暗示有关操作系统类型、系统上安装了哪些应用程序以及管理员在配置程序时采取了哪些保护措施的信息。依据这一系统配置，该信息可转储到控制台，写入日志文件，或者显示给远程用户。例如，凭借脚本机制，可以轻松将输出信息从“标准错误”或“标准输出”重定向至文件或其他程序。或者，运行程序的系统可能具有将日志发送至远程设备的远程日志记录系统，例如“syslog”服务器。调试踪迹有时可能出现在不明显的位置（例如，嵌入在错误页 HTML 的注释中）。编写错误消息时，始终要牢记安全性。

2024-01-20 09:32:40 943

原创开发安全之：Server-Side Request Forgery

如果需要提供用户数据来构建目的地 URI，请采用间接方法：例如创建一份合法资源名的列表，并且规定用户只能选择其中的文件名。但在某些情况下，这种方法并不可行，因为这样一份合法资源名的列表过于庞大，维护难度过大。但是，任何这样一个列表都不可能是完整的，而且将随着时间的推移而过时。更好的方法是创建一个字符列表，允许其中的字符出现在资源名称中，且只接受完全由这些被认可的字符组成的输入。网络连接源自于应用程序服务器内部 IP 地址，因此攻击者将可以使用此连接来避开网络控制，并扫描或攻击没有以其他方式暴露的内部资源。

2024-01-20 09:28:47 846

原创开发安全之：Password Management: Password in HTML Form

对 HTML 表单中的密码字段进行填充会让任何人都能在 HTML 源中看到它们的值。此外，存储在密码字段中的敏感信息可能会被代理或浏览器缓存。在 HTML 表单中，请不要设置敏感输入的 value 属性。<input type="password" />对 HTML 表单中的密码字段进行填充可能会危及系统安全。请不要填充密码类型的表单字段。

2024-01-20 09:02:20 449

原创开发安全之：XML Injection

XML injection 更为严重的情况下，攻击者可以添加 XML 元素，更改身份验证凭据或修改 XML 电子商务数据库中的价格。XML Injection 之所以不同于 XML External Entity (XXE) Injection，是因为攻击者通常会控制插入到 XML 文档中部或末尾的输入。如果攻击者控制了已解析 XML 文档的前部或全部内容，则可能会发生这种攻击的一种更严重的形式，称为 XML External Entity (XXE) Injection。在这种情况下，XML 将传递到。

2024-01-20 08:58:02 1543

原创开发安全之：System Information Leak: External

在编码的过程中，尽量避免使用繁复的消息，提倡使用简短的错误消息。调试踪迹有时可能出现在不明显的位置（例如，嵌入在错误页 HTML 的注释中）。其他错误消息可以揭示有关该系统的更多间接线索。在Example 1 中，泄露的信息可能会暗示有关操作系统类型、系统上安装了哪些应用程序以及管理员在配置程序时采取了哪些保护措施的信息。例如，凭借脚本机制，可以轻松将输出信息从“标准错误”或“标准输出”重定向至文件或其他程序。或者，运行程序的系统可能具有将日志发送至远程设备的远程日志记录系统，例如“syslog”服务器。

2024-01-20 08:55:18 896

原创开发安全之：Password Management: Hardcoded Password

使用硬编码方式处理密码绝非好方法。这不仅是因为所有项目开发人员都可以使用通过硬编码方式处理的密码，而且还会使解决这一问题变得极其困难。在代码投入使用之后，除非对软件进行修补，否则将无法更改密码。在系统中采用明文的形式存储密码，会造成任何有充分权限的人读取和无意中误用密码。较为安全的解决方法来是采用由用户创建的所有者机制，而这似乎也是如今唯一可行的方法。该代码可以正常运行，但是有权访问该代码的任何人都能得到这个密码。一旦程序发布，除非修补该程序，否则可能无法更改数据库用户“scott”和密码“tiger”。

2024-01-19 16:57:17 429

原创开发安全之：Open Redirect

dest=%77%69%6C%79%68%61%63%6B%65%72%2E%63%6F%6D" 那么，即使再聪明的最终用户也可能会被欺骗，打开该链接。当 Web 应用程序将客户端重定向到攻击者可以控制的任意 URL 时，就会发生 Open redirect 漏洞：攻击者可能利用 Open Redirect 漏洞诱骗用户访问某个可信赖的站点的 URL，然后将他们重定向到恶意站点。这种情况下，有一种类似的方法也能限制用于重定向用户的域，这种方法至少可以防止攻击者向用户发送恶意的外部站点。

2024-01-19 16:55:37 491

原创开发安全之：Often Misused: File Upload

如果允许攻击者向某个可通过 Web 访问的目录上传文件，并能够将这些文件传递给代码解释器（如 JSP/ASPX/PHP），他们就能促使这些文件中包含的恶意代码在服务器上执行。如果程序容易出现 path manipulation、command injection 或危险的 file inclusion 漏洞，那么攻击者就可能上传带恶意内容的文件，并利用另一种漏洞促使程序读取或执行该文件。如果程序必须允许文件上传，则应当只接受程序需要的特定类型的内容，从而阻止攻击者提供恶意内容。

2024-01-19 16:52:32 595

原创开发安全之：Log Forging

根据应用程序自身的特性，审阅日志文件可在必要时手动执行，也可以自动执行，即利用工具自动挑选日志中的重要事件或带有某种倾向性的信息。最理想的情况是，攻击者可能通过向应用程序提供包括适当字符的输入，在日志文件中插入错误的条目。更阴险的攻击可能会导致日志文件中的统计信息发生偏差。更好的方法是创建一个字符列表，允许其中的字符出现在日志条目中，并且只接受完全由这些经认可的字符组成的输入。在大多数 Log Forging 攻击中，最关键的字符是“\n”换行符，这样的字符决不能出现在日志条目允许列表中。

2024-01-19 16:19:18 873

原创开发安全之：Key Management: Hardcoded Encryption Key

请勿对加密密钥进行硬编码，因为这样会使所有项目开发人员都能查看该加密密钥，并且还会使解决这一问题变得极其困难。如果受加密密钥保护的帐户遭受入侵，组织将必须在安全性和可用性之间做出选择。应用程序一经发布，除非对程序进行修补，否则将无法更改加密密钥。永远不要将加密密钥签入您的源代码控制系统，也不要对它们进行硬编码。始终在外部源中混淆和管理加密密钥。在系统中的任意位置采用明文形式存储加密密钥会使拥有足够权限的任何人都能够读取并可能误用该加密密钥。硬编码加密密钥可能会削弱安全性，一旦出现安全问题将无法轻易修正。

2024-01-19 16:17:15 452

原创开发安全之：file_get_contents()漏洞利用

但在某些情况下，这种方法并不可行，因为这样一份合法资源名的列表过于庞大，维护难度过大。但是，任何这样一个列表都不可能是完整的，而且将随着时间的推移而过时。如果程序以足够的权限运行，且恶意用户能够篡改配置文件，那么他们可以通过程序读取系统中以扩展名 .txt 结尾的任何文件。例如，在某一程序中，攻击者可以获得特定的权限，以重写指定的文件或是在其控制的配置环境下运行程序。2. 攻击者可以通过指定特定资源来获取某种权限，而这种权限在一般情况下是不可能获得的。1.攻击者能够指定某一文件系统操作中所使用的路径。

2024-01-18 09:34:49 1060

原创开发安全之：split()安全漏洞

标签（例如 "Hello123%00alert("XSS")

2024-01-18 09:24:22 978

原创开发安全之：SQL Injection

当构造一个 SQL 查询时，程序员应当清楚，哪些输入的数据将会成为命令的一部分，而哪些仅仅是作为数据。参数化 SQL 指令是用常规的 SQL 字符串构造的，但是当需要加入用户输入的数据时，它们就需要使用捆绑参数，这些捆绑参数是一些占位符，用来存放随后插入的数据。例如，攻击者可以： — 把没有被黑名单引用的值作为目标 - 寻找方法以绕过某些需要转义的元字符 - 使用存储过程隐藏注入的元字符手动去除 SQL 查询中的元字符有一定的帮助，但是并不能完全保护您的应用程序免受 SQL injection 攻击。

2024-01-18 09:19:53 1094

原创开发安全之：Path Manipulation

但在某些情况下，这种方法并不可行，因为这样一份合法资源名的列表过于庞大，维护难度过大。但是，任何这样一个列表都不可能是完整的，而且将随着时间的推移而过时。更好的方法是创建一个字符列表，允许其中的字符出现在资源名称中，且只接受完全由这些被认可的字符组成的输入。例如，在某一程序中，攻击者可以获得特定的权限，以重写指定的文件或是在其控制的配置环境下运行程序。如果程序以足够的权限运行，且恶意用户能够篡改配置文件，那么他们可以通过程序读取系统中以扩展名 .txt 结尾的任何文件。进入程序的值，这一数值用于通过。

2024-01-18 09:14:21 899

原创开发安全之：JSON Injection

将 %22,%22role%22:%22 附加到其用户名中，并将该值传递到 username URL 参数，则最终保存到 ~/user_info.json 的 JSON 将为： { "role":"default", "username":"mallory", "role":"admin", "password":"Evil123!在更为严重的情况下，例如涉及 JSON Injection，攻击者可能会插入无关的元素，从而允许对 JSON 文档或请求中对业务非常关键的值执行可预见操作。

2024-01-17 11:05:59 1058

原创开发安全之：Cookie Security: Cookie not Sent Over SSL

.. 如果应用程序同时使用 HTTPS 和 HTTP，但没有设置 Secure 标记，那么在 HTTPS 请求过程中发送的 cookie 也会在随后的 HTTP 请求过程中被发送。

2024-01-17 10:56:47 654

原创开发安全之：Access Control: Database

为了突出显示未经验证的输入源，Fortify 安全编码规则包会对 Fortify Static Code Analyzer（Fortify 静态代码分析器）报告的问题动态重新调整优先级，即在采用框架验证机制时降低这些问题被利用的几率并提供指向相应证据的指针。任何情况下都不允许用户在没有取得相应权限的情况下获取或修改数据库中的记录。如果没有适当的 access control，mysql_query执行一个 SQL 指令时，如果该指令包含一个受攻击者控制的主键，从而允许攻击者访问未经授权的记录。

2024-01-17 10:53:56 988

原创开发安全之：Insecure Transport: Weak SSL Protocol

传输层安全 (TLS) 协议和安全套接字层 (SSL) 协议提供了一种保护机制，可以确保在客户端和 Web 服务器之间所传输数据的真实性、保密性和完整性。每次新的修订都旨在解决以往版本中发现的安全漏洞。使用不安全版本的 TLS/SSL 会削弱数据保护力度，并可能允许攻击者危害、窃取或修改敏感信息。SSLv2、SSLv23、SSLv3、TLSv1.0 和 TLSv1.1 协议包含使它们变得不安全的缺陷，不应该使用它们来传输敏感数据。- 使用弱密码套件这些属性的存在可能会允许攻击者截取、修改或篡改敏感数据。

2024-01-16 16:04:29 720 1

原创开发安全之：Dynamic Code Evaluation: Insecure Transport

2024-01-16 15:58:46 689

原创开发安全之：Dangerous Function: Unsafe Regular Expression

标签（例如 "Hello123%00alert("XSS")

2024-01-16 15:56:58 588

原创开发安全之：Database access control

为了突出显示未经验证的输入源，Fortify 安全编码规则包会对 Fortify Static Code Analyzer（Fortify 静态代码分析器）报告的问题动态重新调整优先级，即在采用框架验证机制时降低这些问题被利用的几率并提供指向相应证据的指针。

2024-01-16 15:51:03 670

原创开发安全之：Cross-Site Scripting (XSS) 漏洞

由于 XSS 漏洞在应用程序的输出中包含恶意数据时出现，因此，合乎逻辑的方法是在数据流出应用程序的前一刻对其进行验证。针对 XSS 漏洞进行验证最安全的方式是，创建一份安全字符允许列表，允许其中的字符出现在 HTTP 内容中，并且只接受完全由这些经认可的字符组成的输入。然而，这种解决方法在 Web 应用程序中通常是行不通的，因为许多字符对浏览器来说都具有特殊的含义，编码时这些字符必须被视为合法输入，例如，一个 Web 设计电子公告栏就必须接受其用户提供的 HTML 片段。内容安全策略（CSP）

2024-01-16 15:44:24 1246

原创 URLConnection（）和openStream（）两个方法产生SSRF的原理和修复方法

web安全之URLConnection

2024-01-04 17:30:24 466

原创小总结----长度

来个小总结吧：完成团队建设，招聘11人。完成26项开发，内部9项，科创10项。2023发明专利申请两项，软著申请11项，还发表了三篇论文。看了上一篇文章，已经一年没发了。CSDN也越来越封闭了，查点东西，也很不友好。继续努力，明年这个时候全部翻番！

2023-11-25 12:09:14 150

原创 .apk] cannot be opened because it does not exist解决方案

springboot里面添加一个下载功能，提示：cannot be opened because it does not exist。主要是找不到资源，需要在pom文件指定一下位置。

2023-01-13 10:25:05 461 1

原创 tomcat，要管理app，提示403处理方法（两步）

打开/webapps/manager/META-INF/目录下context.xml文件，不是conf/目录下的context.xml文件，一定不要搞错了！然后重启tomcat，重新访问manager app页面，如果此时仍然出现403 Access Denied错误，那么就是访问的ip限制，重启tomcat，重新访问manager app页面。分两步解决：添加管理账户、添加管理IP。

2022-12-29 09:59:01 1409

原创 tomcat支持多个ssl证书设置

SSLHostConfig可以添加多个，就是多个ssl证书。tomcat8.5以上支持。

2022-12-29 09:35:15 952

原创 tomcat10安装ssl证书异常处理

C:\Windows;28-Dec-2022 17:18:23.990 信息 [main] org.apache.catalina.startup.VersionLoggerListener.log 命令行参数： -Djava.util.logging.config.file=D:\Env\Tomcat10\conf\logging.properties。

2022-12-28 17:59:05 1375

原创 Unable to start ServletWebServerApplicationContext due to missing ServletWeb解决办法

但这个没动过，唯一就是不是最新版本，好吧，替换为最新的。估计是IDE的依赖文件错乱了。启动成功 v1.7.3。

2022-11-10 09:15:43 1388 2

若依框架使用的log4j2.16.0，修复log4j漏洞log4j2下载最新log4j2.16.0下载

2021-12-16

修复log4j漏洞log4j2下载最新log4j2.16.0下载 log4j-api-2.16.0.jar

apache下载太慢，特搬到国内下载。修复log4j漏洞log4j2下载最新log4j2.16.0下载

2021-12-16

redis5 windows ZIP免安装版本

redis5 windows ZIP免安装版本。国外下载太慢，放到这里来。最新版可以在Windows上安装的exe版本的Redis。First release of Redis 5.x for Windows, updated to be in sync with antirez/5.0.9. Redis 5.0.9

2020-10-28

redis5 windows msi 安装版本

redis5 windows msi 安装版本。国外下载太慢，放到这里来。最新版可以在Windows上安装的exe版本的Redis。First release of Redis 5.x for Windows, updated to be in sync with antirez/5.0.9. Redis 5.0.9

2020-10-28

mysql-connector-java-5.1.44最新版本2017.8

mysql-connector-java-5.1.44最新版本2017.8月。JAVA通过jdbc访问mySQL数据库时需要该包支持,即在你的java工程中要把这个jar包添加进工程

2017-09-30

guava.jar包 NFC用到

在打开NFCDemo时， import com.google.common.base.Charsets; import com.google.common.base.Preconditions; import com.google.common.collect.ImmutableMap; import com.google.common.collect.Iterables; 报错，找不到这些类解决：要用guava.jar包 Guava 中文是石榴的意思，该项目是 Google 的一个开源项目，包含许多 Google 核心的 Java 常用库。目前主要包含： •com.google.common.annotations •com.google.common.base •com.google.common.collect •com.google.common.io •com.google.common.net •com.google.common.primitives •com.google.common.util.concurrent

2015-10-24

NXP Semiconductors NFC标签读取TagInfo

NXP Semiconductors NFC标签读取TagInfo可通过安卓android手机NFC功能读取银行卡信息,IC卡，ID卡信息，功能强大！ com.nxp.taginfolite.apk

2015-10-24

GridLayout 支持4.0以下版本实用的包

GridLayout是android 4.0新增的,API Level 14,在这个版本以前的sdk 都需要导入项目。在2.2下使用GridLayout需要导入为library

2014-07-29

支付宝快捷支付简明教程

支付宝快捷支付简明教程。1，申请快捷支付接口，并审核通过才能做集成~~~ 2，下载快捷支付接口文档，两个地方可以下载 1） https://b.alipay.com/newIndex.htm （左下--更多产品--图标打开--选择技术集成--里面有代码下载） 2）http://club.alipay.com/read-htm-tid-9976972.html 直接打开选快捷支付（无线）下载 3，解压后，导入到工程中，导入后是这样的：需要alip_lib和alipay_sdk_demo是关联的，一般一起导入就可以了，或者把alipay_lib往alipay_sdk_demo工程中拖下，查看是否关联看这里（注：这个可以右键点击空白处，然后点properties查看） 4，关键的来了 1）打开alipay_sdk_demo中的src—keys文件绿色的是支付宝公钥，dmeo中已经配置好了，如果demo中没有配置，到规则文档22页或者服务端demo中找下，复制到这里来即可，红色的是partner seller和 private私钥，这三个是需要大家配置的，其中的partner和default_seller可以配置成一样的，也可以把default_seller设置为你申请接口的支付宝账号，private这个就需要大家自己动手生成了，之前下载的接口代码中，解压后有个opensSL文件的 2）命令语句和生成方式都在绿色的pdf文档中有的，生成工具在opensSL中有，现在打开opensSL工具来生成商户的公私钥，打开opensSL文件后是这样滴： 3）打开生成命令txt文件和bin下的opensSL.exe：这样就可以把生成命令输入到opensSL中了，三条命令输入后是这样滴：红色框中的命令生成的从上到下的顺序的商户私钥pem文件和商户公钥pem文件，绿色框中的是转过pkcs8的商户私钥，转过pkcs8的私钥就是我们要配置在keys文件中的private，也是快捷支付接口中需要用到的商户私钥，去掉-----BEGIN PRIVATE KEY-----和下面的-----END PRIVATE KEY-----直接配置在keys文件的private参数后面（注意填写的时候前后不要有空格）。 4）然后还有个重要的步骤就是上传商户公钥，请看代码包中规则文档22页商户公钥上传地址，应该是在查询：https://b.alipay.com/order/serviceIndex.htm（需要登录），在我的商家服务里面就是查pid key的页面下面有个rsa dsa的框，在这里上传rsa。打开商户公钥pem 文件后是这样滴： 5）需要做的一步是把商户公钥格式改下：删除文件头“-----BEGIN PUBLIC KEY-----”与文件尾“-----END PUBLIC KEY-----”及空格、换行。最后得到一行字符串并保存该txt文件为“public_key.txt”。样例就是这样滴：（因为去掉公钥中的开头和结尾注释的话比较长我这里把文件放小了，不是换行！真实中就是像keys文件中的支付宝公钥一样是一行的）

2014-07-02

info.plist查看修改编辑工具软件pledit编辑器

可查看ipa文件里的info.plist文件，可找到包的bundle identifier等信息。比如微信的是：<key>CFBundleIdentifier</key> <string>com.tencent.xin</string>

2014-05-08

Java如何访问字符串指针？（调用dll）

2018-12-21

TA创建的收藏夹 TA关注的收藏夹

TA关注的人