阅读更多

0顶
3踩

非技术

原创新闻 聪明的程序员会绕开这些雷

2016-12-13 10:58 by 副主编 mengyidan1988 评论(0) 有6782人浏览
12月10日,京东数据事件——

“一个京东的12G 数据包近期在黑市上流通,其中包括用户名、密码、邮箱、QQ号、电话号码、身份证等多个维度,数据多达数千万条。随后也有京东用户反映,自己的京东白条近期被盗刷。”

12月11日,京东回应还有“极个别”系统使用Struts2框架,但已经过妥善升级,“暂不会出现安全问题”。

有人说

前人在利用基础语言进行操作时发现了共性,便将基础性的内容提取,于是就有了框架。而开源框架指的是,不仅给你框架,还将这个框架的搭建方法,以及源码一并给你。任何人都可以根据需要更改框架,甚至还可以在此过程中发现框架的不足与漏洞。

然并卵

许多程序员面临的问题是,公司要求快速迭代,产品明天要上线,你今天还要写框架,费时费力,索性就直接借助开源框架。

那些雷

Struts 2官方起初曾就框架可能存在的安全漏洞进行了声明。开发人员在运用该框架编写代码时,需要进行必要的安全处理。



当出现漏洞是,Struts会提示用户升级,但若暂时无法升级,系统会发布最高安全等级为“重要”或是“极其重要”不等的提示,并会附上相应的解决措施。



所有Struts2开发人员必读,最高安全等级为“极为重要”的安全提示。

这就像是已经告诉你,冬天很容易感冒,要多穿点衣服。但若是你还是少穿衣服,没有应用这个安全处理措施,那感冒就怪不了别人了。

Struts2是什么?

Struts是基于Java语言的一款开源框架,类似基于PHP语言的Yii和Laravel。

Struts是Apache基金会的一个开源项目,广泛应用于大型互联网企业、政府、金融机构等网站建设,并作为网站开发的底层模板使用。

Struts 2是Struts的下一代产品,是在Struts 和WebWork的技术基础上进行合并,形成的全新框架。

2013年7月17日,Struts2曾出现高危漏洞。包括国内很多知名网站在内的大量网站,受到此漏洞不同程度的影响。攻击者可以利用该漏洞执行恶意java代码,最终导致网站数据被窃取、网页被篡改等严重后果,使网站及网民安全受到了极大的威胁。

一些观点
引用

框架就像是一个柜子,轮廓已经在那里了,怎么隔层,放哪些东西都是由你自己决定。隔层、放置的东西都是小问题,但是若框架出现问题,那影响就是根本性。

Struts在早期是Java后端开发很成熟的解决方案,被大量采用,后来陆续爆发了不少问题和漏洞,但是企业要重新更换整体框架,不管是在技术层面,还是运营层面,都有不少阻力。

Java语言的开发效率低于PHP,但是运行速度优于后者,相对来说更适合项目较大的系统。国内的电商平台一般都使用 Java语言, 例如淘宝、京东。

在此,推荐Struts避雷宝典

感谢 @zhhy88 图谱绘制,47个Struts资源



或者 直接访问 Java SE官网知识库
  • 大小: 26.1 KB
  • 大小: 29.8 KB
  • 大小: 59.9 KB
0
3
评论 共 0 条 请登录后发表评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

  • 湖水汤汤,其名骆马

    湖水汤汤,其名骆马

  • 【汤汤java特性】

    java特性 简单性:就是c++的纯净版,没有文件,没有指针,也不用分配内存 面向对象:模拟的人的思维去编写程序,万物皆对象 具有可移植性:即为跨平台性,不管你的mac,windows,linux都能运行。...

  • 用一句话证明你是一名程序员——烫烫烫烫汤汤汤汤汤

    程序员的世界,给大家来普及下。当今最热门的职业属程序员莫属。互联网发展的迅速,市场的需求很大。薪资待遇高。尽管这样,程序员也是很招黑的,说程序员秃头闷骚修电脑的...汤汤汤- 内存溢出,会输出烫烫烫 ...

  • 这篇寒门博士论文致谢火了:回首望过去,可怜无数山

    本文来源:奔流新闻·兰州晨报 记者邢剑扬、安之若素德之至 微信平台、澎湃新闻,编辑:募格学术“可怜无数山”近日,一位甘肃籍博士的论文致谢和回望“火”了,有网友称读后“泪眼婆娑,戳到了灵魂”,也有网友评价...

  • 潜岳苍苍,江淮汤汤

    《安徽大学校歌》释义 潜岳苍苍,江淮汤汤。夏商肇启,雍容汉唐。文化丕成,民族是昌。莘莘多士,跻兹上庠。《安徽大学校歌》系1933年省立安徽大学校务委员会审定通过,词作者乃时任省立安徽大学校长的程演生,曲...

  • 汤汤汤安卓万能外置卡修改教程之2013轻松版

    2012年汤汤汤曾在百度空间发表一篇教程汤汤汤安卓万能外置卡修改教程实例,但此文操作比较麻烦,很多电脑基础不是很好的新手朋友看不太懂,汤汤汤决定写一篇让所有人都能看懂的教程,为与前文相区别,于是命名为汤...

  • 热评云厂商:金蝶云19.12亿元,SaaS大势汤汤,顺之者昌

    全球云观察《云白皮书(2020-2021)》热评云厂商60家之二十七 2020年,金蝶集团营收为33.56亿元,同比增长0.9%,亏损3.35亿元,企业资源管理计划业务(ERP)收入同比下降28.2%。但是,在推进云战略转型上,2020...

  • 汤汤水水

    三红补血益颜粥制法:红枣12枚,枸杞30克,血糯米50克,红糖30克。洗净红枣、枸杞、血糯米,置于铁锅中加清水,先用旺火煮沸,改用文火煨粥,粥成时加入红糖,调匀。每日1剂,早、晚分服。有养肝补血,补肾固精,丰...

  • nginx实现均衡负载、nginx第三方模块的添加

    done 给nginx添加第三方模块 因为1.14.0版本不支持添加第三方模块,所以关闭nginx,再下载一个1.10.1版本的nginx,下载nginx的 第七十二章 “研究所” 拿到“星之杖”的同时,克莱恩另外一只手从空气里取出了一枚...

  • IOS开发之第三方常用大全

    晚上的时候,笔记还没有整完,老师就浩浩汤汤的发了一大串的第三方,说是以后工作的时候常用; 所谓,工欲善其事,必先利其器; 正所谓,滴水穿石, 所谓者无畏; 还是记着吧, 有备无患, 其实,我再看见...

  • 柳河东独钓寒江雪,范文正心怀天下忧!

    衔远山,吞长江,浩浩汤汤,横无际涯;朝晖夕阴,气象万千;此则岳阳楼之大观也,前人之述备矣。然则北通巫峡,南极潇湘,迁客骚人,多会于此,览物之情,得无异乎? (被贬的官员都有哪些不同的状态呢?)  ...

  • [机缘参悟-108] :一个IT人关于顺势而为的思考:势在哪儿?

    总的来说,"天下大势,浩浩汤汤"强调了世界的宏大和复杂,提醒我们要深入洞察和把握时代变化,以适应和应对不断变化的世界。 五、"势"在国家的政策中 "势"在国家的政策中扮演着重要的角色。 国家政策的制定通常是...

  • 为了我的侄儿,我爬了高考前必背古诗文

    朝天子咏喇叭 王磐 陶渊明 桃花源记 岳阳楼记 范仲淹 醉翁亭记 欧阳修 湖心亭看雪 张岱 长歌行 汉乐府 望洞庭湖赠张丞相 孟浩然 山居秋暝 王维 渔家傲 李清照 长相思 纳兰性德 毛泽东 忆秦娥娄山关 沁园春雪 毛泽东 ...

  • 活着也是修行啊

    伯牙鼓琴,钟子期听之,方鼓琴而志在太山,钟子期曰:“善哉乎鼓琴,巍巍乎若泰山。”少选之间而志在流水,钟子期又曰:“善哉乎鼓琴,汤汤乎若流水。” 这就是知音了。传闻,有三样东西不问东西:音乐、舞蹈、爱情...

  • 鸿蒙磅礴不可以涯际夕 四,阅读文言文,回答问题。 岳阳楼记 范仲淹 ①庆历四年春,滕子京谪守巴陵郡。越明年,政通人和,百废具兴。乃重修岳阳楼,增其旧制,刻唐贤今人诗赋于其上。属予作文以记...

    3.(2019九上·建瓯月考)阅读下面的文字,完成下面小题。我们总以为来日方长今夜,窗外的桂树在秋天清凉的夜色中散发着芬芳,青翠的绿叶在风中轻轻款摆,不知人间忧欢。我情不自禁地想起了我的外婆。...

  • 蜀道难,难于上青天,做pacs难,难于上蜀道

    蜀道难,难于上青天,做pacs难,难于上蜀道。现在是晚上21点整,一边听着水木年华的《蝴蝶花》一边调bug。昨天把程序初步调试完成,今天约西门子工程师联调。说是写程序,给客户装机器,搬机器的活都得跟着干,没办法,做项目啊,客户是上帝。老杨把笔记本给我拿来的时候,问我是不是中午没吃饭,我才想起来从昨晚到那下午3点钟还没吃饭,好在西门子工程师满嘴的酒气让我刚刚升腾起来的食欲消失的无影无踪,这位醉醺

  • 七月末之哈尔滨之行

    今天拿到了回北京的票 七月,哈尔滨,天气凉爽,逃离了闷热的北京,暂时体会到了一点家乡的凉意,回家,没有见到哥哥,父母都很好,欣慰,小侄女开始缠人了,跟我很亲,血缘关系吧 着急回北京,托人买到了软卧,出门这么多年,是第一次坐软卧,这两天要把这边的事情处理好,有好多事情要做,艳子身体不好,做手术,有压力,但人生可能就是这样,总要面对那些意想不到的困难,总要去面对,总要去解决,望着阴天的窗外,心里默念,

  • 珍爱生命

    人是种脆弱的动物,因为一个人的生命只有一次,      我从不相信有来生,      况且,今生能够实现的,为什么要等到来生?         曾读过一个故事,      从小一起长大的男孩对女孩说: 如果有来生,我要娶你      为什么要等,明明今生就可以实现的      人,一生能做多少真正无悔的事情,      当生命的最后一瞬,总会有那么多的遗憾,      看到jac

Global site tag (gtag.js) - Google Analytics