腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
首页
学习
活动
专区
工具
TVP
最新优惠活动
返回腾讯云官网
Urahara Blog
专栏作者
举报
34
文章
41596
阅读量
25
订阅数
订阅专栏
申请加入专栏
全部文章(34)
网络安全(8)
安全(7)
php(6)
shell(6)
sql(4)
http(4)
windows(4)
bash(3)
json(3)
数据库(3)
linux(3)
https(3)
其他(2)
java(2)
python(2)
javascript(2)
xml(2)
云数据库 Redis(2)
apache(2)
编程算法(2)
开源(2)
ssh(2)
dns(2)
powershell(2)
html(1)
云数据库 SQL Server(1)
access(1)
git(1)
github(1)
jar(1)
struts(1)
tomcat(1)
bash 指令(1)
apt-get(1)
spring(1)
文件存储(1)
爬虫(1)
安全漏洞(1)
搜索文章
搜索
搜索
关闭
Apache Struts2 Remote Code Execution (S2-052)
网络安全
安全
文件存储
xml
json
根据官方漏洞描述,Struts2 REST插件在使用XStreamHandler反序列化XStream实例的时候没有对类进行任何限制,导致将xml数据转换成Object时产生远程代码执行漏洞(RCE)。同时,官方的解决方案是将Struts2的版本升级至2.5.13 或 2.3.34,那么先对比一下官方的版本升级代码,发现struts-2.5-2.13\src\plugins\rest\src\main\java\org\apache\struts2\rest\handler\XStreamHandler.java对类进行了一些白名单处理。
风流
2019-12-11
943
0
Hacking via XXE
网络安全
安全
json
xml
XML 指可扩展标记语言(EXtensible Markup Language),有点类似 HTML,但它与HTML的区别在于其设计宗旨是传输数据,而非显示数据。XML常被用来作为配置文件(spring、Struts2等)、文档结构说明文件(PDF、RSS等)、图片格式文件(SVG header)及数据传输共享。
风流
2019-12-11
565
0
Couchdb命令执行
开源
数据库
java
json
背景介绍 CouchDB是一个开源的面向文档的数据库管理系统,可以通过 RESTful JavaScript Object Notation (JSON) API 访问。CouchDB 可以安装在大部分 POSIX 系统上,包括 Linux和 Mac OS X。 漏洞介绍 Couchdb默认会在5984端口开放Restful的API接口,如果使用SSL的话就会监听在6984端口,用于数据库的管理功能。其HTTP Server默认开启时没有进行验证,而且绑定在0.0.0.0,所有用户均可通过API访问导致未授
风流
2018-06-07
2.4K
0
没有更多了
社区活动
腾讯技术创作狂欢月
“码”上创作 21 天,分 10000 元奖品池!
立即发文
Python精品学习库
代码在线跑,知识轻松学
立即查看
博客搬家 | 分享价值百万资源包
自行/邀约他人一键搬运博客,速成社区影响力并领取好礼
立即体验
技术创作特训营·精选知识专栏
往期视频·千货材料·成员作品 最新动态
立即查看
领券
问题归档
专栏文章
快讯文章归档
关键词归档
开发者手册归档
开发者手册 Section 归档