标签:Struts2

Java

struts2架构网站漏洞修复详情与利用漏洞修复方案

3

hanze 发布于 2018-12-03

struts2从开发出来到现在,很多互联网企业,公司,平台都在使用apache struts2系统来开发网站,以及应用系统,这几年来因为使用较多,被攻击者挖掘出来的struts2漏洞也越来越,从最一开始S2-001到现在的最新的s2-057漏洞,本文着重的给大家介绍一下strut...

阅读(27)评论(0)赞 (0)

Java

springboot+shiro 整合与基本应用

12

xiaoli.wang 发布于 2018-11-30

简介 Apache Shiro是Java的一个安全框架。目前,使用Apache Shiro的人越来越多,因为它相当简单,对比Spring Security,可能没有Spring Security做的功能强大,但是在实际工作时可能并不需要那么复杂的东西,所以使用小而简单的Shiro...

阅读(42)评论(0)赞 (0)

Java

初试Vulhub

2

darida 发布于 2018-11-27

Vulhub 是github上的一个开源项目。 Vulhub是一个面向大众的开源漏洞靶场,无需docker知识,简单执行两条命令即可编译、运行一个完整的漏洞靶场镜像。 使用 安装好docker后 # 启动docker服务 service docker start # 安装comp...

阅读(63)评论(0)赞 (0)

Java

Spring Cloud Alibaba,中国Javaer的福音,为微服务续上18年

changyuan.xu 发布于 2018-11-26

Java 界最近发生了一件大事,Spring Cloud 官方宣布阿里开源 Spring Cloud Alibaba ,并推出首个预览版。 据介绍,Spring Cloud Alibaba 由阿里开源组件和阿里云产品组件两部分组成,其致力于提供微服务一站式解决方案,方便开发者通过...

阅读(53)评论(0)赞 (0)

Java

Struts2 安全机制研究

50

hellas 发布于 2018-11-26

本文将从struts2漏洞出发,研究struts2安全机制从无到有的过程,研究漏洞发生的原因以及修复的方式。 为了不让本文过于冗长,本文将适度对一些细节有所删减,具体详情请自行查找相关文档。 S2-001(Struts 2.0.0 – Struts 2.0.8) 这个...

阅读(47)评论(0)赞 (0)

Spring

Spring Cloud Alibaba,中国 Javaer 的福音,为微服务续上 18 年

dulong 发布于 2018-11-26

Java 界最近发生了一件大事,Spring Cloud 官方宣布阿里开源 Spring Cloud Alibaba ,并推出首个预览版。 据介绍,Spring Cloud Alibaba 由阿里开源组件和阿里云产品组件两部分组成,其致力于提供微服务一站式解决方案,方便开发者通过...

阅读(41)评论(0)赞 (0)

Java

作为武器的CVE-2018-11776:绕过Apache Struts 2.5.16 OGNL 沙箱

15

puefu.he 发布于 2018-11-22

翻译自: https://lgtm.com/blog/apache_struts_CVE-2018-11776-exploit 翻译:聂心明 这篇文章我将介绍如何去构建CVE-2018-11776的利用链。首先我将介绍各种缓解措施,这些措施是Struts 安全团队为了限制OGNL...

阅读(42)评论(0)赞 (0)

Java

使用Docker快速搭建漏洞分析环境

13

yeseng 发布于 2018-11-13

起因 需求源于痛苦。很多人可能已经深有体会,搭建环境的时间可能会远大于真正做事时间。我最近在看一些Java的漏洞,但我不是Java开发者,并没有现成的Java环境。而且最近我没有自己的电脑用,需要管理员权限的操作我都不能执行。用着并不熟悉的IDEA,拉下来的代码编译无数遍都没有通...

阅读(41)评论(0)赞 (0)

Java

高并发'大杀器'异步化、并行化

10

yeseng 发布于 2018-11-13

编辑推荐: 本文来自于51cto,文章从异步化和并行化两个方案中给大家介绍如何处理架构设计中的高并发这个问题。 高并发的大杀器:异步化 同步和异步,阻塞和非阻塞 同步和异步,阻塞和非阻塞,这几个词已经是老生常谈,但是还是有很多同学分不清楚,以为同步肯定就是阻塞,异步肯定就是非阻塞...

阅读(65)评论(0)赞 (0)

Java

CNCERT:Apache Struts2 Commons FileUpload反序列化远程代码执行漏洞安全公告

刘莉莉 发布于 2018-11-07

安全公告编号:CNTA-2018-0029 2018年11月7日,国家信息安全漏洞共享平台(CNVD)收录了Apache Struts2 Commons FileUpload反序列化远程代码执行漏洞(CNVD-2016-09997,对应CVE-2016-1000031)。攻击者利...

阅读(90)评论(0)赞 (0)

Java

JDK8环境下使用struts2

xubiao.zhuang 发布于 2018-11-07

最近将组内项目的部署环境进行了一次升级。将JDK1.7S升级为1.8,Resin替换为Tomcat。在升级替换的过程中遇到了一些问题。特记录再次,希望能帮助有同样需求的朋友。 Struts2 和 JDK8 项目中使用的 Struts2 版本是 2.3.35 。 <depen...

阅读(51)评论(0)赞 (0)

Spring

微服务领域是不是要变天了?Spring Cloud Alibaba正式入驻Spring Cloud官方孵化器!

xubiao.zhuang 发布于 2018-10-31

引言 微服务这个词的热度自它出现以后,就一直是高烧不退,而微服务之所以这么火,其实和近几年互联网的创业氛围是分不开的。 与传统行业不同,互联网企业有一个特点,那就是市场扩张速度非常之快,可能也就是几天的时间,一家原本名不经传的互联网公司就会人尽皆知,一家独角兽公司也就诞生了。 而...

阅读(53)评论(0)赞 (0)

Java

中间件漏洞及修复汇总

1

小丁 发布于 2018-10-28

Nginx文件解析漏洞 漏洞等级 : 高危 漏洞描述 : nginx文件解析漏洞产生的原因是网站中间键版本过低,可将任意文件当作php可执行文件来执行,可导致攻击者执行恶意代码来控制服务器。 漏洞危害 : 机密数据被窃取; 核心业务数据被篡改; 网页被篡改; 数据库所在服务器被攻...

阅读(73)评论(0)赞 (0)

Java

圣思园《精通Spring Boot/Cloud》与《精通Java并发》课程现已宣布

yanxinchi 发布于 2018-10-24

0. 序言 2016年12月19日,全新圣思园首门课程《Java 8深入剖析与实战》正式开始发布,这也标志着全新圣思园的回归,是圣思园发展史上的一个里程碑事件;在这之后,圣思园以极其稳健的节奏陆续发布了《精通并发与Netty》、《Kotlin语言深入解析》及《深入理解JVM》等课...

阅读(110)评论(0)赞 (0)

Java

高并发的“大杀器”:异步化、并行化

12

xiaoli.wang 发布于 2018-10-18

高并发的大杀器:异步化 同步和异步,阻塞和非阻塞 同步和异步,阻塞和非阻塞,这几个词已经是老生常谈,但是还是有很多同学分不清楚,以为同步肯定就是阻塞,异步肯定就是非阻塞,其实他们并不是一回事。 同步和异步关注的是结果消息的通信机制: 同步:调用方需要主动等待结果的返回。 异步:不...

阅读(71)评论(0)赞 (0)

Java

Struts2 漏洞exp从零分析

14

songhua.gao 发布于 2018-10-15

0x00 前言 从零开始分析struts2代码执行exp,其中不但包括了struts2自己设置的防护机制绕过,还有ognl防护绕过。以s2-057为列,因为有三个版本的exp,从易到难,比较全。文章中包含的前置内容也比较多。 0x01 前置知识OGNL struts2命令执行是利...

阅读(71)评论(0)赞 (0)

Spring

一文读懂SpringMVC中的数据绑定

1

hanze 发布于 2018-09-26

Struts2 和 SpringMVC 都是 Web 开发中视图层的框架,两者都实现了数据的自动绑定,都不需要我们手动获取参数然后关联到对应的属性上,下面就谈谈两者的区别。 Spring MVC 是基于方法的,通过形参接收参数;Struts2 是基于类的,通过模型驱动封装接收参数...

阅读(68)评论(0)赞 (0)

Spring

SpringMVC中的数据绑定总结

2

hellas 发布于 2018-09-20

本文是对 SpringMVC 中数据绑定的总结。 1、SpringMVC 和 Struts2 的区别 Struts2 和 SpringMVC 都是 Web 开发中视图层的框架,两者都实现了数据的自动绑定,都不需要我们手动获取参数然后关联到对应的属性上,下面就谈谈两者的区别。 Sp...

阅读(73)评论(0)赞 (0)