2013-3-23

最新推荐文章于 2025-08-08 22:01:10 发布
原创 最新推荐文章于 2025-08-08 22:01:10 发布 · 153 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发工具

[b]1.Linux 权限[/b]
今天下午在ubuntu下安装eclipse-jee-juno和tomcat7,发现tomcat用tar解压后都是root权限,直接start 会报catalina.out: Permission denied。chmod也无济于事,只能用sudo才行,然后当eclipse add new server时总是不能load刚下载的tomcat7,(僵持了好几小时),用chown user tomcat -R 改成当前用户 (可能还有更好方法),居然立即能load,看来linux的用户组群真的很强大。
不知道别的开发者在linux下作业时是否直接chown到当前用户。
Linux下环境变量设置 在
[quote]~/.bashrc
export JAVA_HOME=/jvm/java/jdk1.7.0_17
export JRE_HOME=${JAVA_HOME}/jre
export CLASSPATH=.:${JAVA_HOME}/lib:${JRE_HOME}/lib
export PATH=${JAVA_HOME}/bin:$PATH
export TOMCAT_HOME=/usr/local/bin/apache-tomcat-7.0.37[/quote]
历年CSP-J初赛真题解析 | 2013年CSP-J初赛阅读程序(23-26)
COCO_gsta的博客
08-05 2329
学习C++从娃娃抓起!记录下CSP-J备考学习过程中的题目,记录每一个瞬间。在1到100中,如果是u的倍数,num++,答案为6。代码7-12行求出num数组:1 2 2 3 4 3。代码16-17用来求num数组中的最大值,为4。(简单),注意格式,输出内容中没有空格。二分法,查找f那个数字所在的下标。输入:1 100 15。【答案】:3+5=8。
2013-2014 ACM-ICPC, NEERC, Moscow Subregional Contest (2013区域赛练习)
Nicolas
10-29 4142
比赛链接:http://codeforces.com/gym/100257 比赛出了A,B,H,I,   队友在比赛中恶搞K题TLE,导致F题没时间调试,赛后加了一句flag = 0,F题就AC了,一个小细节没注意。 F题 是一半模拟  一半DP, 代码在下面。 #include #include #include #include #include #include #
Struts2_016_RCE CVE-2013-2251 漏洞复现
ADummy的博客
02-18 1707
Struts2_016_远程代码执行 by ADummy 0x00利用路线 ​ burpuite抓包—>修改payload—>重放包—>代码执行—>有回显 0x01漏洞介绍 ​ Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。它是WebWork和Struts社区合并后的产物。Apache Struts2的action:、redirect:和redirectAction:前缀参数在实现其功能的过程中使用了Ogn
Struts2_013_RCE CVE-2013-1966 漏洞复现
ADummy的博客
02-04 2280
Struts2_013_远程代码执行 by ADummy 0x00利用路线 ​ 直接url执行payload,由于浏览器url输入框的长度有限,可以使用Hackbar插件,或burpsuite抓包测试。 0x01漏洞介绍 ​ <s:a>includeParams=“all”>Click here.</s:a>,这个是struts2标签库的a标签,该标签会在页面上显示当前URL Struts2标签库中的url标签和a标签的includeParams这个属性,代表显示请求访
【Vulfocus解题复现】Struts2 S2-013 Struts2 远程命令执行漏洞 (CVE-2013-1966)
温氏效应
09-04 3205
漏洞介绍 名称:Struts2 S2-013 远程命令执行漏洞 漏洞版本:Apache Group Struts 2.0.0 - 2.3.14 CVE标识符:CVE-2013-1966 描述:url和s:a标记都提供includeparams属性。该属性的主要作用域是了解包含或不包含http://request参数的内容。INCLUDEParams的允许值为:none-在URL中不包含任何参数(默认),get-仅在URL中包含get参数,all-在URL中同时包含get和post参数。当INCLUDEPa
struts2 CVE-2013-4316 S2-019 Dynamic method executions Vul
收集盒 Book box
07-15 1473
catalog 1. Description 2. Effected Scope 3. Exploit Analysis 4. Principle Of Vulnerability 5. Patch Fix   1. Description Dynamic Method Invocation is a mechanism known to impose possible
哨兵2号(Sentinel-2)介绍、下载、预处理及批处理
热门推荐
GeoSuper的博客
04-17 41万+
哨兵2号是高分辨率多光谱成像卫星,携带一枚多光谱成像仪(MSI),用于陆地监测,可提供植被、土壤和水覆盖、内陆水路及海岸区域等图像,还可用于紧急救援服务。分为2A和2B两颗卫星。 第一颗卫星哨兵2号A于2015年6月23日01:52 UTC以“织女星”运载火箭发射升空。 6月29日,在轨运行4天的哨兵-2A卫星,传回了第一景数据,幅宽290km,卫星第一次扫描的范围是从瑞典开始,经过中欧和地中.........
[漏洞复现]Apache Struts2/S2-013 (CVE-2013-1966)
k5664524的博客
01-17 1270
2.3.1.2 之前的 Apache Struts 允许远程攻击者绕过 ParameterInterceptor 类中的安全保护并执行任意命令。
[漏洞复现]Apache Struts2/S2-015 (CVE-2013-2135)
k5664524的博客
01-21 1214
2.3.14.3 之前的 Apache Struts 2 允许远程攻击者通过一个包含“${}”和“%{}”序列的特制值的请求执行任意 OGNL 代码,这会导致 OGNL 代码被评估两次。
S2-016 远程代码执行漏洞
a1b2c3是弱口令
12-11 6902
在struts2中,DefaultActionMapper类支持以"action:"、“redirect:”、"redirectAction:"作为导航或是重定向前缀,但是这些前缀后面同时可以跟OGNL表达式,由于struts2没有对这些前缀做过滤,导致利用OGNL表达式调用java静态方法执行任意系统命令。 漏洞记录 S2-016 CVE-2013-2251 影响版本:Struts 2.0....
KindEditor 4.1.10 (2013-11-23)
12-03
KindEditor ASP.NET 本ASP.NET程序是演示程序,建议不要直接在实际项目中使用。 如果您确定直接使用本程序,使用之前请仔细确认相关...3. 打开浏览器,输入http://localhost:[P0RT]/kindeditor/asp.net/demo.aspx。
材料、设备采购合同(北京国建2013-04-23)试行.docx
02-09
- **合同基本信息**:这份材料设备采购合同是北京国建于2013年4月23日制定的一个试行版本,旨在规范材料和设备的采购流程。 - **合同参与者**:合同主要涉及两方,即需方(甲方)和供方(乙方)。甲方通常是指工程...
ntfs-3g的2个rpm包
11-27
NTFS-3G是一个开源的文件系统驱动程序,它允许Linux用户以读写模式挂载Windows的NTFS文件系统。这个驱动程序是FUSE(Filesystem in Userspace)框架的一部分,这意味着它可以作为非特权用户运行,而不需要对内核进行...
3GPP TS 23.401 V12.3.0 (2013-12)
12-26
3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; General Packet Radio Service (GPRS) enhancements for Evolved Universal Terrestrial Radio Access Network ...
需求EAV模型的优化与思考
HAN_789的博客
08-06 668
针对EAV(Entity-Attribute-Value)存储模型及Elasticsearch集成需求,以下是详细方案设计和实现建议。
Java集合中的链表
最新发布
Y409001的博客
08-08 494
本文详细介绍了Java中LinkedList的实现原理及其应用。首先分析了ArrayList在插入删除操作上的效率问题,引出链表结构的必要性。文章详细讲解了单向链表的基本概念、8种链表结构分类,以及不带头单向链表的具体实现,包括节点定义、接口设计和基本操作方法(增删改查)。重点说明了头插法、尾插法和任意位置插入的实现细节与注意事项。最后提供了9个链表相关的经典面试题及其解决方案,包括链表反转、中间节点查找、回文判断、环检测等。
Java中的RabbitMQ完全指南
H1658554092的博客
07-31 1134
Java中的RabbitMQ完全指南
Flash循环存储的地址回绕处理:跨边界写入的三种实现方案
u010360138的博客
08-05 1236
本文介绍了三种实现Flash循环存储地址计算的方法:1)条件判断法通过显式判断是否溢出实现地址回绕,逻辑清晰通用性强;2)模运算法利用取模运算自动处理地址回绕,代码简洁;3)位掩码法在存储区大小为2的幂时使用位与运算替代模运算,性能最优。三种方法功能等效但各有特点,选择时应考虑存储区特性、性能需求和代码可读性。关键注意事项包括写入延迟、地址有效性检查和边界条件处理。
SpringMvc的原理深度剖析及源码解读
gonghua0502的专栏
08-07 701
文章主要讲解了SpringServletContainerInitializer类初始化的过程。拦截器与过滤器区别及应用场景。DispatcherServlet处理流程。控制器初始化涉及文件解析器、本地化解析器等组件配置。适配器模式支持多种handler类型,包括Controller继承、HTTP请求和注解方式。异步实现可通过@Async注解或Callable类,需在配置类中开启异步支持。
CVE-2013-4547
03-29
### CVE-2013-4547 漏洞详情 CVE-2013-4547 是 Apache Struts 2 中的一个远程代码执行漏洞。此漏洞源于 Struts 2 的 `Action` 类中的方法调用功能未正确处理用户输入的数据,从而允许攻击者通过构造特定的 HTTP 请求来触发 OGNL 表达式的解析并最终实现任意代码执行[^3]。 #### 影响范围 受影响的主要版本包括但不限于: - Apache Struts 2.0.x 至 2.3.15 版本。 这些版本中存在缺陷的核心组件是 `struts2-core.jar` 文件内的某些类及其方法调用逻辑。 --- ### 攻击原理 当应用程序使用了基于动态方法调用的功能(Dynamic Method Invocation,DMI),并且启用了参数拦截器时,如果用户的输入数据被错误地解释为 OGNL 表达式,则可能导致恶意代码被执行。具体来说,攻击者可以通过发送如下形式的 URL 参数: ```plaintext http://example.com/app?method:%23memberAccess%3d@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS,%23res%3d%40org.apache.struts2.ServletActionContext%40getResponse(),%23res.getWriter().println(%22HelloWorld%22),%23res.getWriter().flush(),%23res.getWriter().close() ``` 上述请求利用了 DMI 功能以及 OGNL 解析机制,在服务器端运行指定命令或脚本[^3]。 --- ### 修复方案 针对 CVE-2013-4547 的修复措施主要包括以下几个方面: #### 方法一:升级框架版本 最直接有效的解决办法是将 Apache Struts 升级到不受影响的安全版本。建议至少升级至 **Apache Struts 2.3.16 或更高版本**,因为官方已经在这些版本中修补了相关漏洞[^3]。 #### 方法二:禁用 Dynamic Method Invocation (DMI) 如果不打算立即升级整个应用环境,可以考虑关闭 DMI 功能作为临时缓解手段之一。修改配置文件 (`struts.xml`) 添加以下设置即可完成操作: ```xml <constant name="struts.enable.DynamicMethodInvocation" value="false"/> ``` 这样能够阻止潜在威胁来自滥用动态方法调用的行为发生。 #### 方法三:过滤特殊字符 另一种方式是在 Web 应用防火墙(WAF)或者自定义过滤器层面增加防护策略,比如检测并拒绝包含 `${}` 和 `%{}` 结构的内容提交给后端服务处理前先做预清洗工作[^2]。 以下是 Java Servlet Filter 示例代码片段用于演示如何实现简单的字符串替换过滤过程: ```java import javax.servlet.*; import java.io.IOException; public class SecurityFilter implements Filter { @Override public void init(FilterConfig filterConfig) throws ServletException {} @Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { String paramValue = request.getParameter("inputParam"); if(paramValue != null){ // Remove dangerous patterns such as ${ and %} paramValue = paramValue.replaceAll("\\$\\{|%", ""); ((HttpServletRequest)request).getSession().setAttribute("cleanedInput",paramValue); } chain.doFilter(request,response); } @Override public void destroy() {} } ``` 注意以上仅为简化版示例实际部署需综合考量业务需求与性能开销等因素后再决定采用何种技术路径最为合适。 --- ### 总结 综上所述,CVE-2013-4547 主要是因为 Struts2 对于用户可控数据缺乏足够的校验而导致严重的安全隐患问题;推荐优先选择官方发布的最新稳定补丁包来进行彻底根治;其次也可以结合其他辅助性的防御机制共同构建更加坚固的信息安全保障体系结构[^3]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值