Struts2 S2-059 漏洞分析
作者:天融信阿尔法实验室公众号:https://mp.weixin.qq.com/s/9ki_-IjFKybFUx-6FZ-A5g一、前言2020年8月13日,Apache官方发布了一则公告,该公告称Apache Struts2使用某些标签时,会对标签属性值进行二次表达式解析,当标签属性值使用了%{skillName}并且skillName的值用户可以控制,就会造成OGNL表达式执行。二、漏洞复现我这...
2024-01-10
无法在端口8443上进行SSL https连接
我们在Tomcat7上运行的应用程序上的https(端口8443)连接遇到问题。该应用程序现在在http(端口80)上运行良好。我已经取消注释server.xml文件中的“定义SSL…”部分,并设置了所有属性值(请参见下文)。但是,当我尝试通过浏览器运行该应用程序时,出现错误“远程设备或资源将不接受连接”。另...
2024-01-10
WSL2 的漏洞
错误现象Stdout:Stderr:2020/05/27 20:01:37 resolving /mnt/host/c/Program Files/Docker/Docker/resources/wsl/docker-wsl-cli.iso...Error: mounting wslCLIDest: stat /mnt/host/c/Program Files/Docker/Docker/resources/wsl/docker-wsl-cli.iso: no such file or directory2...
2024-01-10
WSL2 的漏洞
错误现象Stdout:Stderr:2020/05/27 20:01:37 resolving /mnt/host/c/Program Files/Docker/Docker/resources/wsl/docker-wsl-cli.iso...Error: mounting wslCLIDest: stat /mnt/host/c/Program Files/Docker/Docker/resources/wsl/docker-wsl-cli.iso: no such file or directory2...
2024-01-10
DNSpooq 系列漏洞分析与复现
作者:启明星辰ADLab 原文链接:https://mp.weixin.qq.com/s/JtPEWD66yhhRWe_MpnPMaQ1 前言近期,以色列安全咨询企业JSOF在最新报告中披露了七个 DNSmasq 漏洞(统称 DNSpooq),并指出攻击者借此感染了数以百万计的设备。DNSmasq 是一套流行的开源 DNS 转发软件,能够为运行该软件的网络设备添加 DNS 缓存和 DHCP 服务...
2024-01-10
https问题
小白问下 我前端react-create-app 项目部署到线上https 以后chrome显示 不安全怎么搞回答你这个报错让我想起了我以前遇到的问题,直接https = true然后就以为是https了当然一楼的回答你可以去排查下已经开启 SSL 了还是有警告是吗?那么按如下顺序检查:检查 SSL 证书有效性,包括签发者是否是合法 CA、证书...
2024-01-10
如何正则匹配第二个https?
https://hls.kuaibofang.com/url=https://gng.hwusting.com/123456/aaveU3B3jM/index.m3u8期望结果https://gng.hwusting.com/123456/aaveU3B3jM/index.m3u8回答:url=(.*)\"匹配后应该是url=https://gng.hwusting.com/1234"你在替换一...
2024-03-04
https原理
HTTPS在传输的过程中会涉及到三个密钥:服务器端的公钥和私钥,用来进行非对称加密客户端生成的随机密钥,用来进行对称加密一个HTTPS请求实际上包含了两次HTTP传输,可以细分为8步。1.客户端向服务器发起HTTPS请求,连接到服务器的443端口2.服务器端有一个密钥对,即公钥和私钥,是用来进行非...
2024-01-10
Https原理及流程
我们知道,HTTP请求都是明文传输的,所谓的明文指的是没有经过加密的信息,如果HTTP请求被黑客拦截,并且里面含有银行卡密码等敏感数据的话,会非常危险。为了解决这个问题,Netscape 公司制定了HTTPS协议,HTTPS可以将数据加密传输,也就是传输的是密文,即便黑客在传输过程中拦截到数据也无法破...
2024-01-10etcd启用https服务
本文内容纲要:- cfssl相关工具下载- 生成etcd所需要的ssl证书- 生成ca证书- 生成etcd服务端证书- 生成etcd客户端证书- 修改etcd集群配置文件- 重启etcd集群- 验证集群健康情况目录cfssl相关工具下载生成etcd所需要的ssl证书生成ca证书生成etcd服务端证书生成etcd客户端证书修改etcd集群配...
2024-01-10
趣谈http报文
http报文请求报文起始行第一部分:显示methodmethod有很多种:get获得 post创建 put 更新 delete 删除 等但是它这个定义只是一张纸上这么写的,我们完全可以按照我们自己的方法去实现这个web服务比如说你想通过这个method把数据更新掉 完全没有问题 只不过你没有遵循http协议的语义化的定义去做...
2024-01-10
如何查看https链接中SSL/TLS的加密位数
在https传输的过程中,我们底层的加密传输协议是ssl/tls,如何查看所使用的加密算法的秘钥位数(也就是服务器所使用的https证书的位数)。为了帮助大家有一个清楚的直观的理解,以Comodo 颁发给Gworg 的 SSL证书为例,浏览器地址栏左边有一个绿色安全锁标志,如下图所示:360浏览器为列,可以看到TLS...
2024-01-10
PHP获取http头信息
PHP 获取http头信息function get_header() { $headers = array(); foreach ($_SERVER as $key => $value) { if ("HTTP_" == substr($key, 0, 5)) { $headers[str_replace("_", "-", substr($key, 5))] = $value; } if (isset($_SERVER["PHP_...
2024-01-10
Zabbix5.2开启Https
导读虽然大部分使用Zabbix的用户是放在内网,但是该掌握的还是需要的,万一要用到了呢?关于SSL的好处在此篇文章不再赘述了。可以自行度娘了,不过如果ssl证书在服务器解密会损耗机器的资源,当然你的这个前端并不是大众访问,所以基本可以忽略不计了,正常情况是前端挂负载或者nginx做证书...
2024-01-10
http视图请求钩子
在客户端和服务器交互的过程中,有些准备工作或扫尾工作需要处理,比如:在请求开始时,建立数据库连接;在请求开始时,根据需求进行权限校验;在请求结束时,指定数据的交互格式;为了让每个视图函数避免编写重复功能的代码,Flask提供了通用设置的功能,即请求钩子。请求钩子是...
2024-01-10python爬取基于m3u8协议的ts文件并合并
前言简单学习过网络爬虫,只是之前都是照着书上做并发,大概能理解,却还是无法自己用到自己项目中,这里自己研究实现一个网页嗅探HTML5播放控件中基于m3u8协议ts格式视频资源的项目,并未考虑过复杂情况,毕竟只是练练手.源码# coding=utf-8import asyncioimport multiprocessingimport osimport reimport timefrom math imp...
2024-01-10
1.1 http 协议
目录1.什么是HTTP?2.什么是URL?3.什么是超文本传输协议(HTTP)?4.HTTP协议的特点5.HTTP的工作原理6.HTTP报文结构7 Get Post 区别8 header 详解1.什么是HTTP?HTTP协议是Hyper Text Transfer Protocol(超文本传输协议)的缩写。包含有超链接(Link)和各种多媒体元素标记(Markup)的文本。这些超文本文件彼此链接,...
2024-01-10
JAVA RPC (三) 之thrift序列化协议入门杂谈
首先抱歉让大家久等了,最近工作的原因,再加上自己维护koalas rpc利用的大部分时间,一直没腾出空来写这篇文章。先放出来自研的企业级RPC框架源代码地址,上面有使用方式和部署环境说明,说环境部署,其实只需要傻瓜式的安装一个zookeeper就可以了。地址:https://gitee.com/a1234567891/koalas-rpc,三分钟...
2024-01-10网络传输协议(http协议)
概述:指服务器和客户端间进行通信时的约束和规范,客户端与服务端的数据交互并不是杂乱无章的,需要遵照(基于)一定的规范进行常见的协议:a) HTTP、HTTPS 超文本传输协议b) FTP 文件传输协议c) SMTP 简单邮件传输协议本文主要介绍http超文本传输协议。1、HTTP协议即超文本传输协议,网站是...
2024-01-10CORS错误:“仅协议方案支持请求:http…”等
我正在尝试运行一个简单的应用程序。我有一个Express后端,在访问时会返回JSON字符串localhost:4201/ticker。当我运行服务器并通过AngularService向该链接发出请求时http,出现以下错误:XMLHttpRequest无法加载localhost:4201/ticker。跨源请求仅支持以下协议方案:http,数据,chrome,chrome扩展名,https。,该cors模块...
2024-01-10html-没有http协议的链接
我们是否有理由在链接属性中包含http/ https协议href?最好不做任何处理:<a href="example.com">my site</a>回答:包含“ http:”或“https:”部分只是一个传统问题,一部分是实际指定协议的问题。如果默认,则使用当前页面的协议。例如,///根据引用页面的URL变为http://www.example.com或https://www.example.com。如...
2024-01-10
基于Http协议的Java隧道通讯
摘要 基于Java平台的企业应用可以通过Java隧道技术实现应用在因特网上部署。Java隧道技术用现有的Web Server和Servlet容器就可以建立Java消息隧道和远程方法调用。由于基于Http协议,所以Java隧道是防火墙透明的隧道。Java隧道技术对于基于Java平台的因特网企业应用是一个不错的选择。1.引言 在以...
2024-01-10
PythonsmtplibSMTP协议客户端
源代码: Lib/smtplib.pysmtplib 模块定义了一个 SMTP 客户端会话对象,该对象可将邮件发送到 Internet 上带有 SMTP 或 ESMTP 接收程序的计算机。 关于 SMTP 和 ESMTP 操作的详情请参阅 RFC 821 (简单邮件传输协议) 和 RFC 1869 (SMTP 服务扩展)。class smtplib.SMTP(host='', port=0, local_hostname=None, [timeout, ]source_address=None)¶一个 ...
2024-01-10
OAuth2协议与SpringSecurityOAuth2集成
类似使用 OAuth 2.0 授权的还有很多,本文将介绍 OAuth 2.0 相关的概念如:角色、授权类型等知识,以下是我整理一张 OAuth 2.0 授权的脑头,希望对大家了解 OAuth 2.0 授权协议有帮助。 文章将以脑图中的内容展开 OAuth 2.0 协议同时除了 OAuth 2.0 外,还会配合 Spring Security OAuth2 来搭建 OAuth2客户端 ,这也是...
2024-01-10Java下载远程服务器文件到本地(基于http协议和ssh2协议)
Java中java.io包为我们提供了输入流和输出流,对文件的读写基本上都依赖于这些封装好的关于流的类中来实现。前段时间遇到了以下两种需求: 1、与某系统对接,每天获取最新的图片并显示在前端页面。该系统提供的是一个http协议的图片URL,本来获取到该系统的图片地址以后在HTML中显示就可...
2024-01-10
