struts2框架又出高危漏洞

小白提问:struts2漏洞频出,为何还有那么多企业在用这个框架?

2个回答

没有完美的框架,重要的是开源

Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
其他相关推荐
struts2 高危漏洞修复
1.[code="java"] /** * 过滤器 */ public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain) throws IOException, ServletException { ...
Struts2 最新高危漏洞详解
由于计算机起源于美国,因此很多新兴技术和框架也都出于美国的一些大公司。虽然国内的BAT也在开源技术上有一些贡献,但目前来说还是比较缺少用户来支持。这也就导致了国内大部分互联网公司大量的依赖国外的技术。如果某些开源框架出了高危漏洞,就将影响一大批中国互联网公司。 最近 Struts2 又爆出了一个高危漏洞,据说影响了大半个中国互联网。涵盖金融、教育、医疗、电商等各个行业。哪么这个高危漏洞到
Struts2高危漏洞2.3.15.3
Struts2高危漏洞造成大规模的信息泄露,因此需对Struts2相关jar包升级。以下是将struts2相关包由低版本升级至2.3.15.3的步骤。
Struts2 最新高危漏洞解决方案
漏洞更新说明 由于commons-fileupload-*.*.*.jar中的上传解析器,存在漏洞的造成远程代码执行,甚至能够嵌入任意脚本,所以建议用户立即升级到Apache Struts 2.3.32 或 2.5.10.1 版本 1、如果是jdk1.6 请更新到2.3.32版本 2、如果是jdk1.7 请更新到2.5.10.1版本 更新文件说明 如果不方便升级可以删除commo
struts2 又出问题
我写了俩checkboxrn我的意思是想让它被选择的时候就显示1,不选择就显示0,rn可是,当我不选择的时候就出这个Invalid field value for field "role.moduleFlag".rn这是咋整啊?rn要贴代码吗?rn
struts-2.3.24-apps.zip包测试Struts2 S2-048高危漏洞
2017年7月7日,Apache Struts发布最新的安全公告,Apache Struts2-strus1-plugin插件存在远程代码执行的高危漏洞,漏洞编号为CVE-2017-9791(S2-048),主要受影响的Struts版本为:2.3.x。 攻击者可以构造恶意的字段值(value)通过Struts2的struts2-struts1-plugin的插件传递给被攻击主机,从而实现远程代码执行攻击,直接获取远程主机的控制权限。
FFMPEG的高危漏洞
https://hackerone.com/reports/242831 http://www.freebuf.com/vuls/138377.html该漏洞的特点: 利用avi文件中的GAB2字幕块,通过XBIN codec获取到视频转换网站的本地文件。涉及到的文件: ./libavformat/avidec.c /libavformat/bintext.cRoot Cause: 判断代
office高危漏洞
office的高危漏洞在360漏洞修复里没有,在驱动精灵里有,用修复吗?[img=https://img-bbs.csdn.net/upload/201311/20/1384952486_83623.png][/img][img=https://img-bbs.csdn.net/upload/201311/20/1384952501_956215.png][/img]
(Struts2)Struts2框架的数据封装
1、为什么要使用数据的封装?     >  作为MVC框架,必须要负责解析HTTP请求参数,并将其封装到Model对象中     >  封装数据为开发提供了很多便利之处     >  Struts2框架提供了很强大的数据封装的功能,不再需要使用Servlet的API完成手动封装!!!2、Struts2中提供了两种数据封装的方式      第一种方式:属性驱动           ...
细谈Struts2框架(三)Struts2框架之ModelDriven
所谓ModelDriven,意思是直接把实体类当成页面数据的收集对象,例如DepartmentAction。 假如要写一个Action,我们可以有三种方式: 1. 直接在Action中定义所有需要的属性,然后再JSP页面中直接用属性名称来提交数据。 坏处: 如果实体类的属性多,Action中也要定义相同的属性。 2. 直接在Action中定义Department对象,并添加Get和Set方法,然后再Jsp页面中通过对象.属性的方式来给对象赋值。 坏处: Jsp页面上表单域中的
struts2框架
struts2框架,官网2.5.12版本,struts2框架,官网2.5.12版本,struts2框架,官网2.5.12版本,
框架之Struts2
相比较hibernate简单了许多 案例:使用Struts2框架完成登录功能 需求分析 1. 使用Struts2完成登录的功能 技术分析之Struts2框架的概述 1. 什么是Struts2的框架 * Struts2是Struts1的下一代产品,是在 struts1和WebWork的技术基础上进行了合并的全新的Struts 2框架。 * 其全新的Strut...
《Struts2框架 》学习之搭建Struts2框架环境!
搭建 Struts2 的环境:加入 jar 包: 从Struts2官网下载jar包在 web.xml 文件中配置 struts2: 复制 struts\apps\struts2-blank1\WEB-INF\web.xml 文件中的过滤器的配置到当前 web 应用的 web.xml 文件中在当前 web 应用的 classpath 下添加 struts2 的配置文件 struts.xml: 复制 ...
细谈Struts2框架(一) Struts2框架之原理
Struts 最早是作为Apache Jakarta项目的组成部分,项目的创立者希望通过对该项目的研究,改进和提高JavaServer Pages、Servlet、标签库以及面向对象的技术水准。最初的struts1.x很快在企业开发中流行起来,与此同事,当时还有一个非诚优秀的web框架诞生,webwork,webwork简洁、灵活功能强大,是一个标准的command模式框架实现,并且完全从web层脱离出来,但是webwork并没有像struts那样流行起来,而是进行了和struts合并。于是就诞生了Stru
Struts2框架
该资源系统的描述了Struts2的重要知识点,能帮助你快速提高struts2开发能力
框架struts2
框架struts2
struts2与框架
action里有个集合属性bookes,此action对应的物理视图是main.jsp(是个主框架页,包含bright.jsp),请问在bright.jsp里怎么取得集合bookes????rnrnrn我只明白在main.jsp里可以用取得
struts2讲义,讲解struts2的框架
传智博客的struts2的讲义,ppt格式,很好的东西。
灾难日:中国互联网惨遭Struts2高危漏洞摧残
Struts是Apache基金会Jakarta项目组的一个开源项目,Struts通过采用Java Servlet/JSP技术,实现了基于Java EE Web应用的Model-View-Controller(MVC)设计模式的应用框架,是MVC经典设计模式中的一个经典产品。目前,Struts广泛应用于大型互联网企业、政府、金融机构等网站建设,并作为网站开发的底层模板使用,是应用最广泛的Web应用框架之一。rnrn近日,Struts2曝出2个高危安全漏洞,一个是使用缩写的导航参数前缀时的远程代码执行漏洞,另一个是使用缩写的重定向参数前缀时的开放式重定向漏洞。这些漏洞可使黑客取得网站服务器的“最高权限”,从而使企业服务器变成黑客手中的“肉鸡”。rnrnApache Struts团队已发布了最新的Struts 2.3.15.1,修复了上述漏洞,建议采用Struts 2.0至Struts 2.3的网站开发者尽快升级至最新版。rnrn据乌云平台漏洞报告,淘宝、京东、腾讯等大型互联网厂商均受此影响,而且漏洞利用代码已经被强化,可直接通过浏览器的提交对服务器进行任意操作并获取敏感内容。Struts漏洞影响巨大,受影响站点以电商、银行、门户、政府居多,而且一些自动化、傻瓜化的利用工具开始出现,填入地址可直接执行服务器命令,读取数据甚至直接关机等操作。rnrn灾难日:中国互联网惨遭Struts2高危漏洞摧残rnrn[img=http://static.oschina.net/uploads/img/201307/18161504_0eAC.jpg][/img]rn最后再次提醒广大网站管理员,尽快将Struts 2升级到最新的2.3.15.1版本。rnStruts 2.3.15.1官方下载:http://struts.apache.org/download.cgi#struts23151rnrn来源:http://www.oschina.net/news/42396/struts-security-hole
CVE-2017-11780 windows高危漏洞
针对CVE-2017-11780的Windows SMB(SMBv1)远程代码执行漏洞, 针对CVE-2017-11771的Windows Search远程代码执行漏洞
Struts2升级版本至2.5.10,高危漏洞又来了
前情概要漏洞年年有,最近特别多。2017年3月6日,Apache Struts2被曝存在远程命令执行漏洞,漏洞编号:S2-045,CVE编号:CVE-2017-5638,官方评级为高危,该漏洞是由于在使用基于Jakarta插件的文件上传功能条件下,恶意用户可以通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行任意系统命令,导致系统被黑客入侵。漏洞分析请移步:https://y
struts2 2013年7月份高危漏洞测试及快速解决方法
本文介绍struts2 2013年7月份高危漏洞的测试及快速解决方法 转自:http://www.devnote.cn/article/150.html 此次漏洞的严重性不言而喻,几乎所有所有struts2网站,项目无一幸免。 漏洞测试方法: 关闭项目所在linux服务器,在项目任意action地址后追加: ?redirect:%25{(new+java.lang.Process...
Redis高危漏洞,数据恢复
2015年10月10日以来,很多redis服务遭受攻击,如果及时发现,redis中的数据是有机会恢复的, 但国内某云服务商竞以此要求用户付费去恢复,实在是无法忍受,我本人平时无写blog的习惯,但还是要在此贴出一个恢复方法。 这次攻击的原理,可能大多数受害者已经知道了,我在这儿把redis的作者写的原理link一下:http://antirez.com/news/96, 有兴趣的可以看一
ImageMagick被爆高危漏洞
昨天收到阿里云的漏洞报告邮件,邮件内容 ImageMagick被爆高危漏洞(CVE-2016-3714),此漏洞允许攻击者通过上传恶意构造的图像文件,在目标服务器执行任意代码。黑客可利用此类漏洞盗取权限窃取数据。由于ImageMagick应用十分广泛,目前已确定Wordpress等知名应用受此漏洞影响。 影响范围:  ImageMagick 当时没有在意,今天早上有收到百度发过来的邮件才开始注
Windows SMB高危漏洞
针对CVE-2017-11780的Windows SMB(SMBv1)远程代码执行漏洞,CVE-2017-11771的Windows Search远程代码执行漏洞 。
Linux 磁盘高危漏洞 - 1
检测命令 dmsetup status | awk 'BEGIN {FS=":"} ; /crypt\s*$/ {print "Encrypted: " $1}'# 返回空代表正常 修复 sed -i 's/GRUB_CMDLINE_LINUX_DEFAULT="/GRUB_CMDLINE_LINUX_DEFAULT="panic=5 /' /etc/default/grub grub-instal
【ORACLE】Oracle11g,12c 高危漏洞
【性质】高危漏洞 【危害】仅有查询权限的用户可以对数据进行增、删、改操作 【影响范围】广泛,包括11.2.0.3,11.2.0.4,12.1等版本(10g版本不包含)。 【修复】2014年7月的CPU中被修正,强烈建议您检查所有Oracle数据库,确认是否存在该安全风险。与此有关的CVE号包括:CVE-2013-3751、CVE-2014-4236、CVE-2014-4237、CVE-2014-42
微软MS06-040高危漏洞
http://it.rising.com.cn/Channels/Info/Virus/2006-08-15/1155614555d37125.shtmlrnrnrn瑞星全球反病毒监测网在国内率先截获到两个利用系统高危漏洞进行传播的恶性病毒——“魔波(Worm.Mocbot.a)”和“魔波变种B(Worm.Mocbot.b)病毒。据瑞星客户服务中心统计,目前国内已有数千用户遭受到该病毒攻击。rnrn 该病毒会利用微软MS06-040高危漏洞进行传播。当用户的计算机遭受到该病毒攻击时,会出现系统服务崩溃,无法上网等症状。
又出错了
Microsoft OLE DB Provider for SQL Server 错误 '80004005' 事务(进程 ID 127)与另一个进程已被死锁在 lock 资源上,且该事务已被选作死锁牺牲品。请重新运行该事务。 /Expert/ForumList_Search.asp,行 191 s
又出BUG了
在地铁等老婆,迟到20多分钟,还特别蛮不讲理,于是只好哄。哄了这么多年,倒也轻车熟路。“谁欺负你了?”(知道没人,打个铺垫),“累了?”,“出BUG了?”一下猜对,我都有点佩服自己了。据说是配置文件写错,就发出去了,少了两个测试步骤,量产了2k的产品重测时测不下去了。 按说lp是做硬件的,这些年做硬件的人也开始写code了,而且主要工作就是coding。写软件就要有 BUG,而且经常出现,
又出错了!?
import java.util.*;rnclass MyArrayrnrn public static void main(String [] args)rn rn rn ArrayList al=new ArrayList();rn al.add(new Student(2,"zhangsan"));rn al.add(new Student(1,"lisi"));rn al.add(new Student(3,"wangwu"));rn Collections.sort(al);rn rn Iterator it=al.iterator();rn while(it.hasNext())rn System.out.println(it.next());rn rnrnclass Student implements Comparablernrn int num;rn String name;rn public Student(int num,String name)rn rn this.num=num;rn this.name=name; rn rn public int compareTo(Object o)rn rn Student s=(Student)o;rn return num>s.num?1:numjavac MyArray.javarn注意:MyArray.java 使用了未经检查或不安全的操作。rn注意:要了解详细信息,请使用 -Xlint:unchecked 重新编译。rnrn应该是泛型的问题!怎么解决啊!盼朋友解决一下;
又出新病毒了.
鬼影病毒rn  3月15日,金山安全实验室捕获一种被命名为“鬼影”的电脑病毒,该病毒寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法将该病毒清除。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。“鬼影”病毒也因此成为国内首个“引导区”下载者病毒。rn[编辑本段]鬼影病毒特征——重装系统也杀不掉rnrn  以前,常听用户说,中毒了没关系,大不了重装系统。但现在,这句话将成为历史。3月15日,金山安全实验室捕获一种被命名为“鬼影”的电脑病毒,该病毒寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法将该病毒清除。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。rn  颠覆传统 重装系统无法清除rn  金山安全反病毒专家表示,“一般的电脑病毒是Windows系统下的应用程序,在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录(MBR),在电脑启动过程中先于系统核心程序直接加载到电脑内存中运行。对于已经寄生于MBR中的病毒,安全软件无法进行拦截。因病毒比安全软件的启动还要早。rn  李铁军表示,“鬼影”病毒是国内首个引导区下载者病毒,颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势,不仅做到了“三无”特性——无文件、无系统启动项、无进程模块,而且即使用户重装了系统,该病毒依然会再次进入用户新系统;全新的病毒技术,突破了普通杀毒软件的自保护,“鬼影”病毒可以说是一个具有“划时代”特征的电脑病毒。rn  安全软件失效 电脑明显变慢rn  金山安全实验室的研究人员分析发现,这个“鬼影”病毒是随某些共享软件捆绑安装进入电脑的,目前的日感染电脑约2-3万台。“鬼影”病毒入侵后,会释放驱动程序改写硬盘MBR(主引导记录),驱动程序在开机过程中攻击众多杀毒软件,令杀毒软件失效,再下载传统的AV终结者木马下载器,最终目的依然是通过传播盗号木马,窃取用户虚拟财产牟利。中毒后,最直观的现象是安全软件无法正常运行,电脑明显变慢,IE主页被改。rn  罕见技术型病毒 源于国外rn  “鬼影”病毒是近年来较为罕见的技术型病毒,病毒作者具有高超的编程技巧。因WinXP系统的限制,一般手法改写MBR会被系统判定为非法,这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制,直接改写MBR的技术主要在国外技术论坛传播,在“鬼影”病毒之前,这一技术少有被黑客实际大规模利用的案例。金山安全实验室工程师说,目前“鬼影”病毒只针对Winxp系统,该病毒尚不能破坏Vista和Windows 7系统。rn  另据金山安全实验室研究人员透露,在目前国内安全厂商和民间反病毒高手中,能够完整分析“鬼影”病毒的人屈指可数。因病毒寄生于硬盘的主引导记录(MBR),病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具,在已经中毒的情况下,很难使用现有工具完成病毒清除,金山安全实验室正在编写针对“鬼影”病毒的专杀工具。rn  金山毒霸已经升级,可查杀传播“鬼影”病毒的母体文件,避免更多用户受“鬼影”病毒之害,用户只需要在线升级即可获得相应防御能力。金山网盾已将传播该病毒的恶意网页加入阻止访问的列表,防止更多用户下载这个神秘的“鬼影”病毒。rn[编辑本段]“鬼影”病毒分析报告rnrn  一、简介rn  该病毒一旦进入电脑,就像恶魔一样,隐藏在系统之外,无文件、无系统启动项、无进程模块,比系统运行还早,结束所有杀毒软件,下载av终结者,盗号木马,ie主页修改等大量多品种病毒,最重要的是重装系统都不能清除该病毒。rn  二、具体行为 rn  1、该病毒伪装为某共享软件,欺骗用户下载安装。rn  病毒文件中包含3部分文件:rn  A、原正常的共享软件。rn  B、“鬼影”病毒,修改系统引导区(mbr),结束杀软,下载AV终结者病毒。rn  C、捆绑IE首页篡改器,修改用户浏览器首页,桌面添加多余的快捷方式。rn  2,“鬼影”病毒运行后,会释放2个驱动到用户电脑中,并加载。rn  3,驱动会修改系统的引导区(mbr),并将b驱动写入磁盘,保证病毒是优先于系统启动,且病毒文件保存在系统之外。这样进入系统后,病毒加载入内存,但找不到任何启动项、找不到病毒文件、在进程中找不到任何进程模块。rn  4,病毒母体自删除。rn  5,重启系统后,存在在引导区中的恶意代码会对windows系统的整个启动过程进行监控,发现系统加载ntldr文件时,插入恶意代码,使其加载写入引导区第五个扇区的b驱动。rn  6,b驱动加载起来后,会监视系统中的所有进程模块,若存在安全软件的进程,直接结束。rn  7,b驱动会下载av终结者到电脑中,并运行。rn  8,av终结者会修改系统文件,对安全软件进程添加大量的映像劫持,下载大量的盗号木马。进一步盗取用户的虚拟财产。rn  三、小结rn  “鬼影”病毒是第一个引导区下载者病毒,超越了传统的引导区病毒和下载者病毒,不光做到了三无特性,而且就算用户重装了系统,他也会阴魂不散的再次进入用户新系统,全新的结束手法,突破杀毒软件的自保护。“鬼影”病毒是一个划时代的病毒。rn[编辑本段]病毒防治办法:rnrn  rn磁盘主引导记录(MBR)简介:rnrn  rn  MBR(Master Boot Record),中文意为主引导记录。电脑开机后,主板自检完成后,被第一个读取到的磁盘位置。硬盘的0磁道的第一个扇区称为MBR,它的大小是512字节,它是不属于任何一个操作系统,也不能用操作系统提供的磁盘操作命令来读取。DOS时代泛滥成灾的引导区病毒多寄生于此。rn  电脑系统开机过程介绍:rn  开启电源开机自检-->主板BIOS根据用户指定的启动顺序从软盘、硬盘或光驱进行启动-->系统BIOS将主引导记录(MBR)读入内存。然后,将控制权交给主引导程序,再检查分区表的状态,寻找活动的分区。最后,由主引导程序将控制权交给活动分区的引导记录,由引导记录加载操作系统。rn  rn病毒清除方法:rnrn  rn  在WINDOWS时代之所以很少见,并不是因为做不到——早在1998年,CIH就告诉病毒编写者如何利用驱动技术绕开WINDOWS的核心保护机制——而是因为这么做的投入产出不成比例。DOS下的自启动项目很少,病毒要自启动的话,除了寄生于文件,就只能依靠MBR了;而WINDOWS的自启动项目实在是太多了,随便在注册表里改一下,一般用户根本看不出来病毒已经启动,所以没有人纯粹为了一个自启动的目的去写个驱动来改动MBR,这纯属费力不讨好。其实从这点就可以看出,写WINDOWS下的病毒木马,技术门槛比DOS下要低一些。rn  不过这个病毒作者还是有一点创意:他将存放在磁盘第5扇区的病毒的主要代码插入到ntldr文件中,这样就解决了自身代码在WINDOWS下的加载问题,比写个中断服务程序要简单得多。这一思路也为真正的BIOS病毒提供了一个非常好的实现方法。rn  解决这个病毒的方法其实也很简单,格式化C盘后,再重装系统之前,先用 fdisk/mbr 命令清除掉主引导区的病毒引导代码,再重装系统就没是事了。rnrn不知道它英文名叫啥.
又出新问题了!!
我想在提交页面覆盖原页面,应该怎么办?rn比如1.asp里rnrnfunction istable()rnrnform1.action="2.asp?istable=1";rnform1.submit();rnrn点提交按钮后提交到2.asp,但是2.asp是格外有打开了一个窗口,我怎样才能让再1.asp所在的窗口打开呢rn
Struts2框架(五)
十三.静态参数和动态参数的封装13.1 如何封装静态请求参数struts.xml文件中的配置<action name="action1" class="com.itheima.web.action.Demo1Action" method="addUser"> <!-- 当我们不写任何拦截器时,默认的拦截器栈defaultStack它来为我们工作。
搭建EXTJS和STRUTS2框架
搭建EXTJS和STRUTS2框架 大家放心收藏! saivicky出品,必属精品!
山寨struts2框架
一个山寨版struts2框架,集合和struts2,spring mvc等一些框架的某些特定。比较适合开发web网站。默认采用velocity模板技术。欢迎大家指点。 qq:418148757,邮箱418148757@qq.com
相关热词 c# login 居中 c# 考试软件 c# 自然语言分析 c# 分段读取文件 c# 泛型反射 c#打断点 c# 时间转多少秒 c# 线程函数加参数 c# modbus 读取 c#查询集合表