struts2 CVE-2010-1870 S2-005 XWork ParameterInterceptors bypass allows remote command execution
分类:
其他好文 时间:
2015-06-29 21:53:46
阅读次数:
356
一、将struts 2的lib文件夹下地commons-fileupload.jar、commons-io.jar、freemarker.jar、javassist.jar、ognl.jar、struts2-core.jar和xwork-core.jar必需类复制到web应用的WEB-INF/li....
分类:
其他好文 时间:
2015-06-16 18:17:50
阅读次数:
114
把项目框架的jar包升级后,MyEclipse控制台无法打印错误,tomcat日志也如此。导致遗漏异常并增加了Debug难度。 搜了许多之后,才发现这是Struts2搞的鬼。 xwork中的ExceptionMappingInterceptor拦截器默认将异常打...
分类:
其他好文 时间:
2015-06-16 13:10:57
阅读次数:
117
struts2-core-2.1.6.jar、 xwork-2.1.2.jar、 freemarker-2.3.13.jar、 ognl-2.6.11.jar、 commons-logging-1.0.4.jar、 commons-fileupload-1.2.1.ja...
分类:
其他好文 时间:
2015-06-02 17:14:14
阅读次数:
105
exploit-db网站在7月14日爆出了一个Struts2的远程执行任意代码的漏洞。漏洞名称:Struts2/XWork 这样的标签在struts2.0中是可以使用的,但是新版中就不解析了,原因就是“#”的问题导致的,补了漏洞,正常的使用也用不了了。所以sebug网站上的建议升级到2.2版本是不可...
分类:
其他好文 时间:
2015-05-30 16:25:17
阅读次数:
182
“将Web页面中的输入元素封装为一个(请求)数据对象”,这个对象就是ActionInvocation类型.对于Xwork 而言,前端的Webwork 组件为其提供的是一个Map 类型的数据结构。而Action面向的却是Model对象所提供的数据结构。在何时、何处对这两种不同的数据结构进行转换?写一个...
分类:
Web程序 时间:
2015-05-29 00:46:47
阅读次数:
223
Struts2的类型转换Struts2的类型转换是基于XWork的,实际上是基于OGNL的,它是一种强大的表达式语言Struts2主要是通过实现OGNL类中的TypeConverter接口的方式,来完成类型转换而该接口比较复杂,它只是描述了最通用的一种情况,所以通常都不会直接实现该接口OGNL本身又...
分类:
其他好文 时间:
2015-05-01 16:01:38
阅读次数:
126
今天搭建了一个ssh项目环境,整合后,访问项目首页,登录不进去,控制台报错,后来调试代码后,在获取数据库数据后,返回到action时,又进入了action导致死循环,其实这里是两个问题,控制台报错如下:2015-4-27 20:57:56 org.apache.catalina.core.Stand...
分类:
编程语言 时间:
2015-04-27 21:42:12
阅读次数:
341
一 xwork2---struts2的基础
struts2框架有两部分组成,xwork和struts2。xwork是一个命令模式框架,他是struts2的基础。xwork提供很多核心功能IOC(控制反转)容器,强大的表达式语言、数据类型转换,验证和可插入的配置。xwork框架的核心包括action、拦截器、result。struts2扩展了这些概念的基础实现,用于支持web应用程序的开发。
在...
分类:
其他好文 时间:
2015-04-01 00:32:38
阅读次数:
186
