Struts2是Apache软件基金会负责维护的一个基于MVC设计模式的Web应用框架开源项目。Apache Struts2存在S2-057远程代码执行漏洞。漏洞触发条件:1、定义XML配置时namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace。2、url标签未设置value和action值且上层动作未设置或用通配符namespace。攻击者可利用漏洞执行RCE攻击。
阅读更多前两天志成兄和我讨论了一下携程机票的爬虫。虽然我并没有实质上的帮到他什么,不过在讨论一个抓取一个接口的时候,他出现了一些问题,所有参数都是对的,但是就是不能正常返回(后来发现是格式问题)。我用他发给我的各种参数,post过去也是一样的结果,但是思考了一会后有了新的发现,也算是总结出的一个小技巧吧,很实用!
双十一才过不久,不知道小伙伴们有没有剁手。我感觉平时也不缺什么就没有买很多东西。因为平时经常打印各位师傅的文章,而每次都要去学校的打印店觉得太麻烦了,所以一直就想自己买台打印机放寝室里,看到各位师傅优秀的文章就直接打印出来慢慢品味。所以在双十一当天决定入手一台,,这个文章就是我在买打印机时的一些博弈思考,最后以最低的价格买到了。
Jenkins使用Stapler框架开发,其允许用户通过URL PATH来调用一次public方法。由于这个过程没有做限制,攻击者可以构造一些特殊的PATH来执行一些敏感的Java方法。
阅读更多最近在准备红帽RHCE的考试,这段时间一直在练习。因为我在配置服务这一块完全陌生,包括Samba,nfs,iscsi这些服务都没怎么搭建过。虽然难度并不大,但是作为刚学习的我还是把我不懂的地方记录下来,方便回顾。
平时关注的SRC公众号挺多的,不过发现经常发安全技术文章的SRC也就那么几家,像ASRC和JSRC这些大厂的SRC确实对安全足够重视而且经常发一些原创的技术文章供白帽子们学习,真的很赞。我特别喜欢JSRC,因为他们还会定期采访JSRC的白帽们,分享他们的技术成长之路。每次看完我觉得都能从各位表哥和师傅身上学到很多东西,这也逐渐成为了我成长的一部分。
看过我博客的朋友,应该都知道我以前经常写爬虫的,但是现在基本上不玩了。以前写过一篇关于pornhub视频接口抓取的文章,当时写那个完全是兴趣使然。不过没想到很多朋友在谷歌上都看到了那篇文章,然后加了我好友一起探讨。
一直没具体探究过Python反射机制的应用。恰好最近帮别人写了一个爬虫项目,他们的要求是根据本地图片的文件名,去对应的网站上抓取页面上图片的信息,而他们给的网站有大概有8个,但是每个网站要求抓取的内容都是相同的,都是用xpath来抓取,只是细微不同。我打算通过类来实现,而方法名就是各网站的名称,所以首先就想到了反射机制。
这里我想借助我项目中的这个例子,深入了解一下Python反射机制的应用。
