目前日期文章:201008 (9)

瀏覽方式: 標題列表 簡短摘要

會有這個後續篇,主要是因為笨鳥對於用來攻擊的 OGNL 語法不甚了解,於是想研究看看,再加上在找相關資料的過程中,看到了這篇文章「Struts2 與 Webwork 遠程命令執行漏洞分析」裏提到,光只過濾「\u0023」仍無法堵住這個漏洞,因此在土法鍊鋼的反覆測試與參考上述文章後,有了些心得可以記錄下來。

因為是土法鍊鋼,所以有些地方笨鳥就只能針對觀察到的現象加以描述,而無法用什麼理論來驗證,這個可能要先說在前頭了。

大笨鳥 發表在 痞客邦 留言(0) 人氣()

問題描述:
  執行 jsp 時,AP Server 丟出下面的錯誤訊息

大笨鳥 發表在 痞客邦 留言(0) 人氣()

剛國鏈傳來一個訊息,是有關 Struts 2 的一個重大漏洞,這個漏洞的嚴重性能讓有心人藉由傳遞 URL 的參數來亂搞整台 Server 。

相關文章請參考以下的連結:

大笨鳥 發表在 痞客邦 留言(0) 人氣()

這次的專案遇到了一個之前沒碰過一需求:「依符合條件的數量來做排序」

舉例來說:

大笨鳥 發表在 痞客邦 留言(0) 人氣()

在下 SQL 排序時,有時排序的欄位內容值是 null,這往往會造成一些困擾。

在 Oracle 中,預設的行為是 null 會被當成最大值,也就是在 ASC 時會排在最後,DESC 則在最前面。

大笨鳥 發表在 痞客邦 留言(0) 人氣()

問題描述:
  在 Tomcat 上運行 DBCP 時,在閒置一段時間都沒有資料庫連線的動作時,會不定時的出現「No operation allowed after connection closed」的錯誤訊息。

大笨鳥 發表在 痞客邦 留言(0) 人氣()

大笨鳥 發表在 痞客邦 留言(0) 人氣()

eval 效能不彰已是公開的事實,但有時又似乎非它不可,但 eval 真的是無可取代的嗎?

小弟無意中在某中國網站上發現高手提供兩種 eval 常用方式的替代方法,現公佈在下方:

大笨鳥 發表在 痞客邦 留言(0) 人氣()

    test = function() {
        var a = "trytry";
        a.substring(1);
        alert(a);
    }

大笨鳥 發表在 痞客邦 留言(2) 人氣()