Struts2被曝远程代码执行漏洞；叮咚买菜抢菜工具；find替代方案…|叨资讯

哈喽，大家好，我是强哥。

Struts2被曝远程代码执行漏洞；Facebook开源文本编辑器库Lexical；PyCharm 2022.1 正式发布；一起开发一个马里奥的小游戏；叮咚买菜抢菜工具；你的Spring项目有漏洞吗？；find替代方案。

科技资讯

Struts2被曝远程代码执行漏洞

Struts2是一个基于MVC设计模式的Web应用框架，它本质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器(Controller)来建立模型与视图的数据交互。

虽然现在用的人比较少了，但是有些公司的旧项目可能用的还是这个。

Apache官方发布了Apache Struts2存在远程代码执行漏洞的风险通告（CVE-2021-31805），远程攻击者可利用该漏洞对受影响的服务器实施远程攻击，导致任意代码执行从而控制目标系统。该漏洞危害等级：高 ，受影响版本为Struts 2.0.0 - Struts 2.5.29。目前，开发者可使用以下措施进行临时缓解：

1. 将输入参数的值重新分配给某些Struts的标签属性时，始终对其进行验证，不要在值以外的标签属性中使用%{...} 语法引用用户可修改的输入；

2. 开启ONGL表达式注入保护。

Facebook开源文本编辑器库Lexical

Facebook开源可扩展文本编辑器库Lexical，采用MIT许可证。Lexical的核心是一个文本编辑引擎，一个构建功能丰富的Web编辑器平台。Facebook相信用户不应该在每一个实现中重复编写相同的富文本功能。Lexical提供了一组模块化包，可用于添加常见功能如列表、链接和表格。

PyCharm 2022.1 正式发布

v2022.1 版本是 PyCharm 在 2022 年的第一个版本，该版本专注于完善现有功能和工作流程，而不是添加新功能，尤其是改善在之前的版本中所引入的多个期待已久的功能之后，例如对 Jupyter 的支持和远程开发等。

PyCharm 2022.1 的更新内容包括：

• IDE: 对自定义软件包库的认证支持:可以配置基本的 HTTP 认证来访问自定义软件包库，并通过 PyCharm 管理依赖项，而无需切换到终端进行手动安装。
• 代码洞察: ypedDict 的增强代码补全；改进的 TypedDict 警告。
• 改进的 Markdown 支持: 从 Markdown 文件运行命令；复制 Markdown 的代码片段。
• Jupyter 支持[Pro]: 代码单元在执行后仍处于编辑模式；优化的单元格复制粘贴。

详细地址：https://blog.jetbrains.com/pycharm/2022/04/2022-1

开源热点

一起开发一个马里奥的小游戏

a-little-game-called-mario是一个一个使用 Godot 引擎制作的简单 2D 平台游戏，主人公还是我们熟悉的马里奥。它的存在是为了所有人都能享受——不仅作为玩家，而且作为游戏开发者。

它捕捉集体想象力的能力，作者相信当人们在一个共同的目标下组织起来时，他们可以做一些非常了不起的事情。不知道你是不是也在想，下次有人问，“哦，你是游戏开发者？” 你可以自豪地说：“是的。我参与了一个叫马里奥的小游戏。”

游戏开发使用Godot Engine，是一款用于制作视频游戏的免费开源工具。比较容易入门。有兴趣的小伙伴可以下载项目源码然后一起参与游戏开发哦。

地址：https://iznaut.itch.io/a-little-game-called-mario

叮咚买菜抢菜工具

这个不用多说了，最近上海疫情如此严重，APP上抢菜成了人们的日常必做任务。所以，现在对于抢菜插件也是非常的热门，强哥就为大家找到了这些天比较热门的抢菜工具。

安卓上使用的叮咚买菜抢菜插件：

1. 插件比手动下单更慢，不推荐在高峰期使用，可以在高峰期过后尝试，但也无法保证100%下单成功。

2. 插件不保证兼容所有机型与安卓版本，如果发现无法使用，请及时卸载。

地址：https://github.com/Skykai521/DingDongHelper

Java叮咚抢菜工具：

叮咚自动下单：并发调用接口方式，多人高峰期实战反馈10秒以内成功 ；自动将购物车能买的商品全部下单，只需自行编辑购物车和最后支付即可。

非常详细的操作步骤：

地址：https://github.com/JannsenYang/dingdong-helper

你的Spring项目有漏洞吗？

spring4shell-scan是一个用于查找 Spring4Shell (CVE-2022-22965) 和 Spring Cloud RCE (CVE-2022-22963) 漏洞的全自动、可靠且准确的扫描程序。

如果你觉得自己的公司的项目很重要且需要避免项目中有包含比较严重的Spring框架漏洞，就可以使用这个项目进行扫描处理。

地址：https://github.com/fullhunt/spring4shell-scan

find替代方案

fd是一种简单ㄡ快速和用户友好的find替代方案。

• 方便语法: fd PATTERN而不是find -iname 'PATTERN'.
• 彩色终端输出 (类似于ls)
• 它是快速的 (见基准下面) .
• 聪明案例: 默认情况下,搜索不区分大小写. 如果模式包含大写字符*, 则切换为区分大小写字符. .
• 默认情况下,忽略隐藏的目录和文件.
• 忽略匹配你.gitignore文件中的模式,默认情况.
• 正则表达式.
• Unicode感知.
• 命令输入量*50%优于find: -)
• 用类似于GNU穿行的语法，执行并行命令.

地址：https://github.com/chinanf-boy/fd-zh