Struts2 S2-045 远程OGNL表达式执行漏洞

yzmm
1453 阅读

Struts2在解析请求的时候会主动把MULTIPART请求给解析成参数,这里的MULTIPART请求被解析了两遍。一遍是框架解析的,另一遍是那个自带的插件解析的。两个地方判断是否是文件上传请求的时候的代码不一致,导致了error。 Struts2的验证是否是MULTIPART的方式:  FileUploadBase验证方式: 简单的说就是Struts2的开发者判断是否是MULTIPAR...

阅读全文

Elasticsearch 2.X

yzmm
1727 阅读

elasticsearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。使用elasticsearch可以快速的构建一个全文检索集群帮助你实时搜索。 一、安装环境 JDK环境安装 Elasticsearch 默认需要安装jdk1.7+版本,首先需要下载 jdk7 选择与当前操作系统相适应的JDK版本下载Java SE Develop...

阅读全文

Elasticsearch 1.X

yzmm
1329 阅读

这个文档大约2014年在写的,只是修改了下版本号,这个文档写的非常简单,后面有空再发。 elasticsearch和solr都非常适合拿来做分布式全文索引,可以轻松的处理海量数据。 最近一年也没咋发文章,攒了很多都被弄丢掉了... elasticsearch是一个基于Lucene的搜索服务器。它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口。使用elasticsearch...

阅读全文

Gogland 发布 - JetBrains Go IDE

yzmm
1342 阅读

三年前JetBrains公司决定开发Golang插件,如今JetBrains 终于发布了一款全新的Go IDE-Gogland。 官方网站:https://www.jetbrains.com/go/ ,目前需要提交申请才能获取下载地址。...

阅读全文

multipart/form-data PHP和Java通用的WAF绕过方法

yzmm
2227 阅读

依旧是multipart/form-data,去年的时候说道了利用PHP的特性去绕过WAF.轻松绕各种WAF的POST注入、跨站防御(比如安全狗) 原文简单的描述了PHP在处理POST请求的时候会解析multipart/form-data的内容。 那么这个multipart/form-data到底是个啥呢? 大概长成上面这样.HTML代码就更加简单了: <!DOCTYPE html> ...

阅读全文

DNS Records (ANY)

yzmm
1323 阅读

这是一个来自Rapid7的LDNS库,包含了大约5亿域名A记录. Dataset Details The dataset contains snapshots taken within a timeframe of maximum 8 hours each. New snapshots will be added as additional data is collected. The forwa...

阅读全文

java reflect cmd

yzmm
1635 阅读

看了 @动后河 jsp上传cmd马却遇到防火墙的绕过方法,很久以前和 @xcoder 师傅搞过类似的东东。贴出我的执行CMD利用代码: import java.io.InputStream; import java.lang.reflect.Method; import java.util.Scanner; public class ReflectTest { public static Stri...

阅读全文

卸载云盾

yzmm
1251 阅读

由此次阿里云事件谈粗暴的安全防护手段 阿里云: a ) wget http://update.aegis.aliyun.com/download/quartz_uninstall.sh b ) chmod +x quartz_uninstall.sh c ) ./quartz_uninstall.sh 腾讯云: #!/bin/bash #fuck tx process rm -rf /usr/lo...

阅读全文

URL.zip

yzmm
1858 阅读

这是3月-5月的URL数据,包含大量的完整URL链接压缩包。每个文件3E+URL,解压后15-17G。 20150331-http.url.zip url.txt.zip [root@localhost http]# head 20150331-http.url https://67.32.8.22.innotrac.com/ http://www.w3.org/TR/xhtml1/DTD/xht...

阅读全文