Skip to main content

moregeek program

OGNL表达式struts2标签“%,#,$”-多极客编程

http://www.myexception.cn/software-architecture-design/411840.htmlOGNL表达式struts2标签“%,#,$”一、什么是OGNL,有什么特点?    OGNL(Object-Graph Navigation Language),大概可以理解为:对象图形化导航语言。是一种可以方便地操作对象属性的开源表达式语言。OGNL有如下特点:

Read More

struts2中property标签组合OGNL的用法-多极客编程

http://www.myexception.cn/web/764111.html struts2中property标签结合OGNL的用法User对象属性获取如User中有username和password字段获取username属性<s:property value="user.username" />获取password属性<s:property value="user.pa

Read More

分页查询大致方案-多极客编程

pageBean:package page;import java.util.List;public class pageBean {private List list; // 要返回的某一页的记录列表private int totalRow; // 总记录数private int totalPage; // 总页数private int currentPage; // 当前页private in

Read More

struts url 传递多个参数   配合使用-多极客编程

传值方jsp:<s:url value="update.jsp" id="url"escapeAmp="false"><s:param name="id" value="id" /><s:param name="name" value="name" /><s:param name="email" value="email" /><s:param

Read More

全面分析 Spring 的编程式事务管理及声明式事务管理(转)-多极客编程

摘要Spring 的事务管理是 Spring 框架中一个比较重要的知识点,该知识点本身并不复杂,只是由于其比较灵活,导致初学者很难把握。本教程从基础知识开始,详细分析了 Spring 事务管理的使用方法,为读者理清思路。Spring 事务属性分析在 Spring 中,事务是通过 TransactionDefinition 接口来定义的。该接口包含与事务属性有关的方法。具体如清单1所示:清单1. T

Read More

Jsp之include指令-多极客编程

今天在做BBS的时候,因为需要为每个页面增加登录检查所以每个页面都要上如下代码<%String login = (String)session.getAttribute("login");if(login != null && login.equals("true")) {}else {response.sendRedirect("Login.jsp");return;}%&

Read More

struts2拦截器interceptor的三种配置方法-多极客编程

struts2拦截器interceptor的三种配置方法方法1. 普通配置法<struts> <package name="struts2" extends="struts-default"> <interceptors> <interceptor name="myInterceptor" class=

Read More

struts2最近量产漏洞分析-多极客编程

http://netsecurity.51cto.com/art/201307/403739.htm2013-07-18 15:09 佚名 比特网论坛日前,Apache Struts2发布漏洞公告,称其Struts2 Web应用框架存在一个可以远程执行任意命令的高危漏洞。利用该漏洞,黑客可轻易攻陷网站服务器,获取网站注册用户的帐号密码和个人资料,而Struts2框架正广泛应用在国内大量知名网站上,

Read More

struts2最近量产漏洞分析-多极客编程

http://netsecurity.51cto.com/art/201307/403814.htm2013-07-19 09:36 空虚浪子心在struts中,框架接收到的用户输入,除了参数、值以外,还有其他地方,比如文件名。这个漏洞,是struts2对url中的文件名做了解析,导致的ognl代码执行.可能是由于沟通问题,导致struts2官方对我提交的S2-012漏洞名称理解错误,漏洞描述为s

Read More

Struts2漏洞疯狂来袭 WEB安全危机四伏-多极客编程

2012-07-12 12:26 晓忆 51CTO.com http://netsecurity.51cto.com/art/201207/347548.htmApache Struts2 框架最早于2010年7月14日被发现存在一个严重命令执行漏洞,但随之出现了防范技术,最近随着近期Struts2带回显功能的POC被公布,出现大量的利用工具,并导致大量使用此框架的网站沦陷,并呈扩散趋势。关于Ap

Read More

Struts2漏洞浅析之Ongl代码执行分析-多极客编程

一、简述2010年7月exploitdb爆出的《Struts2/XWork < 2.2.0 Remote Command Execution Vulnerability》,可以称之为神一样的漏洞,攻击者只要构造出合适的语句,就有很大的几率获得系统权限(System或者root,因为tomcat默认都会以这样的权限运行),而且时至今日存在这个漏洞的网站仍然大有存在。本文将从源码层面简单的分析S

Read More

Struts2漏洞分析之Ognl表达式特性引发的新思路-多极客编程

一、摘要在Ognl表达式中,会将被括号“()”包含的变量内容当做Ognl表达式执行。Ognl表达式的这一特性,引发出一种新的攻击思路。通过将恶意代码存储到变量中,然后在调用Ognl表达式的函数中使用这个变量来执行恶意的代码,从而实现攻击。本文将会以CVE-2011-3923漏洞作为示例,描述这种利用思路的具体过程。但是,本文的内容绝不仅仅局限于这个漏洞,在实际的审计过程中,这种思路可以用来发现很多

Read More

Struts2最新远程代码执行漏洞(S2-016)描述-多极客编程

Struts又爆远程代码执行漏洞了!在这次的漏洞中,攻击者可以通过操纵参数远程执行恶意代码。Struts 2.3.15.1之前的版本,参数action的值redirect以及redirectAction没有正确过滤,导致ognl代码执行。描述影响版本 Struts 2.0.0 - Struts 2.3.15报告者 Takeshi Terada of Mitsui Bussan Secure Dir

Read More

Struts自爆0day 导致国内互联网血雨腥风-多极客编程

Struts是Apache软件基金会赞助的一个Java开源项目。通过采用JavaServlet/JSP技术,实现了基于Java EE Web应用的MVC设计模式的应用框架,是MVC经典设计模式中的一个经典产品,也是国际上应用最广泛的Web应用框架之一。网上银行、政府网站、主要门户网站都大量使用Struts。近日,Apache Struts2发布漏洞公告,声称Struts2应用框架出现一个高危漏洞。

Read More

struts.xml namespace package action-多极客编程

在struts.xml文件中包含其他配置文件在默认情况下,Struts2框架将自动加载放在WEB-INF/classes路径下的struts.xml文件。为了避免随着应用规模的增加,而导致的struts.xml文件过于庞大,臃肿,从而是该文件的可读性下降。我们可以将一个struts.xml配置文件分解成多个配置文件,然后在struts.xml文件中包含其他配置文件。<struts> &

Read More

ValueStack对象-多极客编程

众所周知,Strut 2的Action类通过属性可以获得所有相关的值,如请求参数、Action配置参数、向其他Action传递属性值(通过chain结果)等等。要获得这些参数值,我们要做的唯一一件事就是在Action类中声明与参数同名的属性,在Struts 2调用Action类的Action方法(默认是execute方法)之前,就会为相应的Action属性赋值。要完成这个功能,有很大程度上,Str

Read More

Struts2应用的5个配置文件-多极客编程

影响Struts2应用的配置文件可以分为以下几种,插件的配置文件除外Default.properties、Struts-default.xml、Struts.xml、Struts.properties、Web.xmlØweb.xml文件中可以安装Struts 2的过滤器类并设置过滤器参数,同时还可以配置Struts 2常量Østruts.properties文件也可以配置Struts 2常量,通常

Read More

ssh配置双机信任工作记录20130615-多极客编程

为了进行批量关机工作,前提要配置好ssh的双机信任。A机192.168.1.241B机192.168.1.212在A机上获取一个pub密钥,即为公共密钥。执行这个命令后:ssh-keygen  -t  rsa在 ~/.ssh/目录下使用scp命令,将公钥拷贝到B机suse-linux:~/.ssh # scp id_rsa.pub root@192.168.1.212:/tmp/拷贝完成进入B机c

Read More

@SuppressWarnings("serial")在Java中有什么作用?-多极客编程

简介:java.lang.SuppressWarnings是J2SE 5.0中标准的Annotation之一。可以标注在类、字段、方法、参数、构造方法,以及局部变量上。作用:告诉编译器忽略指定的警告,不用在编译完成后出现警告信息。使用:@SuppressWarnings(“”)@SuppressWarnings({})@SuppressWarnings(value={})根据sun的官方文档描述:

Read More

事务管理(DataSourceTransactionManager,HibernateTransactionManger,JTATransactionManager)-多极客编程

autoProxyCreator 自动代理1、传统使用JDBC的事务管理  以往使用JDBC进行数据操作,使用DataSource,从数据源中得到Connection,我们知道数据源是线程安全的,而连接不是线程安全的,所以对每个请求都是从数据源中重新取出一个连接。一般的数据源由容器进行管理,包括连接池。例如TOMCAT,WEBSPHERE,WEBLOGIC等这些J2EE商业容器都提供了这个功能。 

Read More