利用jenkins从git仓库拉取前端源码并打包成静态资源文件。前面也有一篇介绍用jenkins打包maven后端项目的文章也可以参考下https://ranjuan.cn/jenkins-maven-jar-gittag/。

一、确保jenkins已经安装了打包前端代码所需的插件

在jenkins插件管理里查看是否安装了nodejs插件，如果没有就搜索安装，然后在jenkins地址后面加/restart进行重启

有node插件后需要在系统全局配置里安装node版本。我本地前端项目使用的node版本是14.17.5，所以最好jenkins也安装相同的版本！开发[……]

通达OA2017版本以及V11.x～V11.5都存在此问题。官方已经给出了相关的修复。

关于此漏洞可以移步阿里云的安全公告查看： https://help.aliyun.com/noticelist/articleid/1060277736.html?spm=a2c4g.789213612.n2.6.7d854c077uDTo0

通达OA漏洞复现过程

一、使用python写的POC脚本获得管理员session

oa_poc.py

在dos窗口执行以下命令，即可获得cookie，如果是v11版本则将下面命令里面的2017换成11。

二、替换[……]

一、需要确保jenkins所在服务器安装了java及maven环境

一般只要jenkins能运行说明java环境都是已经安装好了的，另外maven的安装可以使用jenkins自动安装

在jenkins的全局工具配置里，选择Maven，我选的是3.6.1版本，并给该版本取名为“maven3.6.1”实际根据项目情况选择，因为我是测的ruoyi前后端分离版本，3.6.1这个版本正好也是intellij IDEA用的版本。

这里选择保存应用后并不会立即下载maven，只有在你第一次构建有用到他的时候才会下载。

二、创建构建maven项目的任务

如果你新建项目时没[……]

一般来讲如果安卓app涉及到社区属性的提交应用市场时都需要安全评估报告，否则大部分应用市场可能会上架被拒，正好最近处理一个app的安全评估报告最终在第二次提交的时候通过审核并成功上线华为应用市场。

一、现在全国互联网安全管理服务平台注册帐号

官方地址http://www.beian.gov.cn/ 这个网站在访问量大的时候可能会提示系统维护，一般过几分钟再试就可以访问了。

选择评估报告登录，然后注册帐号

注册登录后提示开办主体选择，点确定进入后选择“单位”即可。

照实填写相关资料，注意负责人信息必须填写法人的信息，否则会审核被拒

主体审核通过[……]

YAPI是一个广泛使用的api接口管理系统，本文讲的这个远程命令执行漏洞其实已经在最新的几个yapi版本中修复了。漏洞利用过程概括起来就是YAPI开放了注册功能，然后恶意用户注册后新建项目并在接口的Mock功能里面添加了恶意脚本，最终执行了脚本里的命令。

如果要看YAPI的安装昨天有写一篇安装教程的文章，其实当时也是为了本文验证YAPI漏洞而做的准备工作（事实上安装的YAPI版本已经修复了该漏洞，导致我测试时没有复现）：

下面讲下复现过程

安装完YAPI后发现mock脚本并不能执行脚本，后来发现我安装的是最新的1.10.2版本，漏洞已经被修复了，如果使用恶意mock浏览器[……]

为什么使用宝塔，因为对懒人和不喜欢折腾的人来说是安装常用的服务器软件是很方便的！宝塔的安装也很简单去官网有详细教程https://www.bt.cn/bbs/thread-19376-1-1.html

一、安装MongoDb和Nodejs

直接在宝塔的软件商店搜索安装即可。mongoDB安装完可以不用配置使用默认值就可以了。

我这里用的是PM管理器5.2来管理使用nodejs，需要注意的是在管理器里不要使用高于V12的版本，我用的v12.22.7

二、安装yapi

执行完yapi server后会打开yapi的安装服务，我因为之前使用的是nod[……]