标签:Struts2

Spring

一文读懂SpringMVC中的数据绑定

1

hanze 发布于 2018-09-26

Struts2 和 SpringMVC 都是 Web 开发中视图层的框架,两者都实现了数据的自动绑定,都不需要我们手动获取参数然后关联到对应的属性上,下面就谈谈两者的区别。 Spring MVC 是基于方法的,通过形参接收参数;Struts2 是基于类的,通过模型驱动封装接收参数...

阅读(3)评论(0)赞 (0)

Spring

SpringMVC中的数据绑定总结

2

hellas 发布于 2018-09-20

本文是对 SpringMVC 中数据绑定的总结。 1、SpringMVC 和 Struts2 的区别 Struts2 和 SpringMVC 都是 Web 开发中视图层的框架,两者都实现了数据的自动绑定,都不需要我们手动获取参数然后关联到对应的属性上,下面就谈谈两者的区别。 Sp...

阅读(29)评论(0)赞 (0)

Java

曲速未来 :1.455亿用户数据被偷走的黑客事故分析

3

changyuan.xu 发布于 2018-09-19

事件回顾 区块链安全公司 曲速未来 表示:Equifax公司黑客入侵事件发生在2017年5月,共导致1.455亿用户信息暴露,黑客得以访问到姓名、社保号码、出生日期、居住地址甚至是一部分民众的驾驶证件号码与信用卡号码。 有安全研究人员发现针对企业的Mirai和Gafgyt新变种。...

阅读(40)评论(0)赞 (0)

Java

【Struts2-代码执行漏洞分析系列】S2-057

15

yeseng 发布于 2018-09-10

https://cwiki.apache.org/confluence/display/WW/S2-057 问题: It is possible to perform a RCE attack when namespace value isn’t set for a result...

阅读(81)评论(0)赞 (0)

Java

CVE-2018-11776:如何通过Semmle QL找到Apache Struts的远程执行代码漏洞

2

changyuan.xu 发布于 2018-09-07

前言 2018年4月,一个新的Apache Struts远程代码执行漏洞被报告。在Struts特定配置下,访问特制的URL可以触发该漏洞。漏洞编号为CVE-2018-11776(S2-057)。本文将介绍发现漏洞的过程。 映射攻击面 许多漏洞涉及从不受信任的源(例如,用户输入)流...

阅读(93)评论(0)赞 (0)

Java

所有和Java中代理有关的知识点都在这了

2

尖兵 发布于 2018-08-31

对于每一个Java开发来说,代理这个词或多或少都会听说过。你可能听到过的有代理模式、动态代理、反向代理等。那么,到底什么是代理,这么多代理又有什么区别呢。本文就来简要分析一下。 代理技术,其实不只是Java语言特有的技术,其实在互联网早期就已经出现了这种技术。 在计算机网络层面,...

阅读(81)评论(0)赞 (0)

Java

关于Apache Struts2 S2-057远程代码执行漏洞分析

11

songhua.gao 发布于 2018-08-28

前言 Apache Struts框架是一个基于 Java Servlets,JavaBeans, 和 JavaServer Pages (JSP)的Web应用框架的开源项目,Struts基于Model-View-Controller (MVC)的设计模式,可以用来构件复杂的Web...

阅读(126)评论(0)赞 (0)

Java

Struts2-Upgrade

xiaoli.wang 发布于 2018-08-27

遇到总结一下项目中有关Struts2升级中遇到的坑。项目大概开始于09年左右,维护近10年,由于Struts2安全漏洞问题决定升级版本,由于版本跨度比较大,一些方法已经弃用或配置变更等 Main Maven Dependency // old <dependency>...

阅读(72)评论(0)赞 (0)

Java

Structs2-Upgrade

xubiao.zhuang 发布于 2018-08-27

遇到总结一下项目中有关Structs2升级中遇到的坑。项目大概开始于09年左右,维护近10年,由于Structs2安全漏洞问题决定升级版本,由于版本跨度比较大,一些方法已经弃用或配置变更等 Main Maven Dependency // old <dependency&g...

阅读(42)评论(0)赞 (0)

Java

Struts2-057(CVE-2018-11776)漏洞分析

7

xubiao.zhuang 发布于 2018-08-26

Struts2-057,2018/8/22刚爆发的一个struts2的远程代码执行漏洞,网上已经有很多复现的文章了,这里并不打算对漏洞做复现,只是在代码层面研究漏洞。 官方对这次漏洞的描述是: 1.定义XML配置时如果namespace值未设置且上层动作配置(Action Con...

阅读(174)评论(0)赞 (0)

Java

Struts2-057/CVE-2018-11776两个版本RCE漏洞分析(含EXP)

17

yanxinchi 发布于 2018-08-24

作者:Ivan 0x01 前言 2018年8月22日,Apache Strust2发布最新安全公告,Apache Struts2存在远程代码执行的高危漏洞(S2-057/CVE-2018-11776),该漏洞由Semmle Security Research team的安全研究员...

阅读(246)评论(0)赞 (0)

Java

CIM 3.5.0 版本更新,全面重写 websocket 实现

songhua.gao 发布于 2018-08-24

项目介绍 CIM是基于mina和netty框架下的推送系统,我们平常使用第三方的推送SDK,如极光推送,百度推送,小米推送,以及腾讯信鸽等来支撑自己的移动端的业务,或许有一些用户自己实现即时通讯系统的需求,那么CIM为您提供了一个解决方案或者思路,目前CIM支撑 webcokse...

阅读(54)评论(0)赞 (0)

Java

S2-057 技术分析

7

hellas 发布于 2018-08-24

作者:廖新喜 公众号: 廖新喜 Struts2 CVE-2018-11776 S2-057 RCE Ognl 漏洞公告 北京时间8月22日13时,Apache官方发布通告公布了Struts2中一个远程代码执行漏洞(CVE-2018-11776)。该漏洞在两种情况下存在,第一,在x...

阅读(279)评论(0)赞 (0)

Java

Struts2远程代码执行(S2-057)漏洞分析

14

changyuan.xu 发布于 2018-08-23

在github上进行Tag对比。 分析patch,定位 问题点 。 环境搭建 根据漏洞作者的博客描述,直接使用Struts2-2.3.34的showcase项目,修改struts-actionchaining.xml。 使用${1+1}验证漏洞存在。 漏洞分析 DefaultAc...

阅读(332)评论(0)赞 (0)

Spring

Spring框架学习笔记2(IOC注解方式&AOP)

12

xubiao.zhuang 发布于 2018-08-23

Spring框架的学习路线: Spring第一天:Spring的IOC容器之XML的方式,Spring框架与Web项目整合 Spring第二天:Spring的IOC容器之注解的方式,Spring的AOP技术 Spring第三天:Spring的事务管理、Spring框架的JDBC模...

阅读(125)评论(0)赞 (0)

Java

CNCERT:关于Apache Struts2 S2-057远程代码执行漏洞的安全公告

2

小丁 发布于 2018-08-23

安全公告编号:CNTA-2018-0025 2018年8月22日,国家信息安全漏洞共享平台(CNVD)收录了Apache Struts2 S2-057远程代码执行漏洞(CNVD-2018-15894,对应CVE-2018-11776)。攻击者利用该漏洞,可在未授权的情况下远程执行...

阅读(219)评论(0)赞 (0)

Java

S2-057原理分析与复现过程(POC)

14

xubiao.zhuang 发布于 2018-08-23

0x00 漏洞简介 加固建议: 对 Structs 2 版本进行升级以更新安全补丁: Struts 2.3.x 版本升级到 2.3.35 Struts 2.5.x 版本升级到 2.5.17 0x01 补丁分析 在github上进行Tag对比 分析patch,定位问题点 https...

阅读(348)评论(0)赞 (0)

Java

【Struts2-命令-代码执行漏洞分析系列】S2-057

xiaoli.he 发布于 2018-08-23

漏洞公告 https://cwiki.apache.org/confluence/display/WW/S2-057 问题: It is possible to perform a RCE attack when namespace value isn’t set f...

阅读(283)评论(0)赞 (0)