首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往
您找到你想要的搜索结果了吗?
是的
没有找到

Apache Commons工具集类库简单说明和使用

1.2.简介 Apache Commons是一个非常有用的工具包,解决各种实际的通用问题,下面是一个简述表,详细信息访问 http://jakarta.apache.org/commons/index.html  BeanUtils  Commons-BeanUtils 提供对 Java 反射和自省API的包装 Betwixt  Betwixt提供将 JavaBean 映射至 XML 文档,以及相反映射的服务. Chain  Chain 提供实现组织复杂的处理流程的“责任链模式”. CLI  CLI 提供针对命令行参数,选项,选项组,强制选项等的简单API. Codec  Codec 包含一些通用的编码解码算法。包括一些语音编码器, Hex, Base64, 以及URL encoder. Collections  Commons-Collections 提供一个类包来扩展和增加标准的 Java Collection框架 Configuration  Commons-Configuration 工具对各种各式的配置和参考文件提供读取帮助. Daemon  一种 unix-daemon-like java 代码的替代机制 DBCP  Commons-DBCP 提供数据库连接池服务 DbUtils  DbUtils 是一个 JDBC helper 类库,完成数据库任务的简单的资源清除代码. Digester  Commons-Digester 是一个 XML-Java对象的映射工具,用于解析 XML配置文件. Discovery  Commons-Discovery 提供工具来定位资源 (包括类) ,通过使用各种模式来映射服务/引用名称和资源名称。. EL  Commons-EL 提供在JSP2.0规范中定义的EL表达式的解释器. FileUpload  FileUpload 使得在你可以在应用和Servlet中容易的加入强大和高性能的文件上传能力 HttpClient  Commons-HttpClient 提供了可以工作于HTTP协议客户端的一个框架. IO  IO 是一个 I/O 工具集 Jelly  Jelly是一个基于 XML 的脚本和处理引擎。 Jelly 借鉴了 JSP 定指标签,Velocity, Cocoon和Xdoclet中的脚本引擎的许多优点。Jelly 可以用在命令行, Ant 或者 Servlet之中。 Jexl  Jexl是一个表达式语言,通过借鉴来自于Velocity的经验扩展了JSTL定义的表达式语言。. JXPath  Commons-JXPath 提供了使用Xpath语法操纵符合Java类命名规范的 JavaBeans的工具。也支持 maps, DOM 和其他对象模型。. Lang  Commons-Lang 提供了许多许多通用的工具类集,提供了一些java.lang中类的扩展功能 Latka  Commons-Latka 是一个HTTP 功能测试包,用于自动化的QA,验收和衰减测试. Launcher  Launcher 组件是一个交叉平台的Java 应用载入器。Commons-launcher 消除了需要批处理或者Shell脚本来载入Java 类。.原始的 Java 类来自于Jakarta Tomcat 4.0 项目 Logging  Commons-Logging 是一个各种 logging API实现的包裹类. Math  Math 是一个轻量的,自包含的数学和统计组件,解决了许多非常通用但没有及时出现在Java标准语言中的实践问题. Modeler  Commons-Modeler 提供了建模兼容JMX规范的Mbean的机制. Net  Net 是一个网络工具集,基于 NetComponents 代码,包括 FTP 客户端等等。 Pool  Commons-Pool 提供了通用对象池接口,一个用于创建模块化对象池的工具包,以及通常的对象池实现. Primitives  Commons-Primitives提供了一个更小,更快和更易使用的对Java基本类型的支持。当前主要是针对基本类型的 collection。. Validator  The commons-validator提供了一个简单的,可扩展的框架来在一个XML文件中定义校验器 (校验方法)和校验规则。支持校验规则的和错误消息的国际化。

01

Nexus Repository Manager 3 几次表达式解析漏洞

Nexus Repository Manager 3最近曝出两个el表达式解析漏洞,编号为CVE-2020-10199[1],CVE-2020-10204[2],都是由Github Secutiry Lab团队的@pwntester发现。由于之前Nexus3的漏洞没有去跟踪,所以当时diff得很头疼,并且Nexus3 bug与安全修复都是混在一起,更不容易猜到哪个可能是漏洞位置了。后面与@r00t4dm师傅一起复现出了CVE-2020-10204[3],CVE-2020-10204[4]是CVE-2018-16621[5]的绕过,之后又有师傅弄出了CVE-2020-10199[6],这三个漏洞的根源是一样的,其实并不止这三处,官方可能已经修复了好几处这样的漏洞,由于历史不太好追溯回去,所以加了可能,通过后面的分析,就能看到了。还有之前的CVE-2019-7238[7],这是一个jexl表达式解析,一并在这里分析下,以及对它的修复问题,之前看到有的分析文章说这个漏洞是加了个权限来修复,可能那时是真的只加了个权限吧,不过我测试用的较新的版本,加了权限貌似也没用,在Nexus3高版本已经使用了jexl白名单的沙箱。

01
领券