redirectAction新旧版配置的区别-Strust2

Struts2漏洞复现 Beyond My 漏洞复现 struts 安全 java 漏洞复现
一.S2-016复现打开测试靶场，测试该网站存在index.action路径漏洞原理:参数action的值redirect以及redirectAction没有正确过滤，导致ognl代码执行测试POC：2.1/index.action?redirect:%25{3*4}2.2/index.action?redirect:%25%7B3*4%7D（经Url编码）返回12，说明命令被执行了，即存在该漏洞
漏洞分析.Struts2 Jayden@gzm struts java
S2-016简述在struts2中，DefaultActionMapper类支持以action:、redirect:、redirectAction:作为重定向前缀，但是这些前缀后面同时可以跟OGNL表达式，由于struts2没有对这些前缀做过滤，导致利用OGNL表达式调用Java静态方法执行任意系统命令。Payloadhttp://localhost:8080/s2_016_war_explode
struts-default常用的跳转结果类型暗香抚动
dispatcher转发，不指定默认为转发redirect重定向redirectAction重定向到action资源stream文件下载时用，文件流
编码以及Action中的result的各种转发类型 exmexm
result配置类似Struts1中的forward，但是Strut2中提供了多种结果类型，常用的类型有：dispatcher（默认值）、redirect、redirectAction、plainText1、默认的内部转发（属于同一个请求）/WEB-INF/page/hello.jsp2、重定向转发，已经不在同一个请求内了/view.jsp?id=${id}在result中还可以使用${属性名}表
Struts2 关于返回type="chain"的用法. caolijunmingyan Struts2开发
见到struts.xml当中有这么个配置showArticle这个type="chain"是什么意思呢？功能与redirect的action转发类似，不过与redirectaction转发功能不同的是它可以将Action中的数据一直保存在同一个HTTP请求中。Struts2支持的不同类型的返回结果为：ChainResult-->type="chain"用来处理Action链DispatcherR
struts2 中redirectAction如何传递参数！(转) 学路漫漫 java相关1 Struts redirect JSP
struts2action提交成功后一般会转到某一jsp。但有时候需要跳到某一action，一般会用如下方法：Xml代码actionNameactionName或者Xml代码actionName.actionactionName.action如果这个action后面要带参数，比如xxxAction?id=xxxx也可以搞定，用下面的方法：Xml代码viewCampaignDetail?campai
Struts2 result视图跳转方式（转）神气的猫 JavaEE struts2.0 redirect
首先redirect：标准的重定向，用于在某一个action处理结束后，重定向到新的jsp(视图)，重定向和转发的区别，这里一个明显的表象就是会丢失值栈范围内的所有携带参数，相当于浏览器重新请求了一个新的视图，URL也会显示请求的页面视图地址(Address);redirectAction：顾名思义，redirect用于普通的转向到某一视图，redirectAction即用来重定向到新的actio
Struts2视图转发类型 li_zhang_hb Struts2 Struts2 视图
在Struts2中result的视图转发类型比较常用的有四种：dispathcher(默认值)：服务器内部请求转发类型;redirect：重定向到某个jsp文件;redirectAction:重定向到某个action;plainText:他主要用在输出页面源代码。在struts.xml中配置如下:125678910/redirect.jsp?username=${Savepath}在web.xml
如何利用Struts2漏洞绕过防火墙获取Root权限 qq_27446553 java-hack
本文我要分享的是关于Apachestruts2CVE-2013–2251漏洞的，由于该漏洞可以导致远程代码执行，曾一度被广泛滥用。该漏洞原理在于，通过操纵前缀为“action:”/”redirect:”/”redirectAction:”的参数，在Struts低于2.3.15的版本框架中实现远程代码执行。此次测试中，我不仅绕过了WAF防火墙实现远程代码执行，还利用了某Linux提权漏洞获取了目标服
Apache Struts2 多个前缀参数远程命令执行漏洞及测试方法皓月微风随笔
受影响的软件及系统：====================ApacheStruts2.0.0-ApacheStruts2.3.15未受影响的软件及系统：======================ApacheStruts2.3.15.1及以上版本综述：======ApacheStruts2在处理action、redirect、和redirectAction前缀参数时存在一个安全漏洞，攻击者可以通
action cannot be found in the namespace/ GreetTuring java web
如果你在struts.xml中使用了type="redirectAction"会出现错误按照下面的方法就可以解决了。/campAction_warn/Login.jsp方法：Window-->Preference-->Myeclipse-->Validation-->去掉struts2Validator后的Build列勾确认
关于元素的type属性黎涛note
•type属性表明了本次应答结果的类型。该属性的取值可使用struts-default.xml中预定义的result-type:dispatcher//(默认值)转发到jsp页面；stream//文件流redirect//重定向(可以转到jsp或action)redirectAction//重定向到另一Action•redirect与redirectAction的使用区别：1、使用redirect
alias拦截器的使用 weixin_33994444
在SSH项目中，有时需要由一个Action跳转到另一个Action。有两种方式可以实现Action之间的跳转，一种是chain，另一种是redirectAction，这两种方式之间的区别是chain是在服务器上跳转，可以实现不同Action之间的数据共享；而redirectAction是在客户端进行跳转。使用chain在不同的Action之间传递参数值，这个功能可以通过alias拦截器来实现。1.
MVC知识点总结 weixin_30752699
1：Action方法前，使用AcceptVerbs标签来指定方法支持的Get/Post类型，比如：[AcceptVerbs(HttpVerbs.Post)]2：使用Controler的UpdateModel()方法，可以获取Form中提交的数据（通过反射）3：使用RedirectAction()方法而不是直接返回View的方式来处理类似Edit这样的页面，可以避免重复提交，也符合MVC的思想。4：
Struts2-016命令执行漏洞 MX-LQ 漏洞复现
Struts2-016命令执行漏洞一：前言CVE-2013-2251漏洞概述：Struts2是第二代基于Model-View-Controller(MVC)模型的java企业级web应用框架。它是WebWork和Struts社区合并后的产物。ApacheStruts2的action:、redirect:和redirectAction:前缀参数在实现其功能的过程中使用了Ognl表达式，并将用户通过U
【java框架】Struts2(3) -- Struts2结果视图及参数接收人无名，则可专心练剑
1.Struts2的结果视图Struts2的每一个atcion都可以有不同的结果返回方式，在result中返回结果类型type属性有11种返回结果类型的方式。最主要最常用的有redirect、redirectAction、dispather三种跳转方式。具体跳转方式的type类型可以在struts-default.xml中查找到，具体如下：1.1.redirectAction配置redirectA
SSI测试-action跳转至另一个action 陶宁
注册页面完成后跳转至查询页面并触发查询用户青岛action1、在struts.xml文件中添加一个redirectAction类型的result${successPath}${successPath}${redirectActionPath}2、在loginAction的页面增加publicStringredirectActionPath;增加get和set方法3、在register方法中setR
Struts-S2-017漏洞利用（含环境搭建、含POC）心如水_0b05
struts-s2-017此文仅供大家交流学习，严禁非法使用一、参考网址：http://www.freebuf.com/vuls/11220.html二、影响版本：Struts2.0.0-Struts2.3.15三、漏洞介绍：Struts2DefaultActionMapper用于通过使用“redirect：”或“redirectAction：”前缀参数来支持短路导航状态更改的方法，然后是所需的重
[Struts2]9-Result配置我相信你爱过gg
常用结果类型chain-Action处理完成用户请求之后，转发到下一个Action继续处理。redirectAction-重定向到一个Actiondispatcher-默认值。转发到jsp页面redirect-重定向到jsp页面也就是说两个用来请求jsp，两个用来请求Action。全局Result与局部Result:Result元素放在Action元素中，就是局部result。Result元素放在
EasyUI初步使用课题的展示（第六天） setone
第六天；构思：1.在struts.xml里面的action通过type="redirectAction"直接在struts.xml里面跳转到另外一个action，然后执行2.自动查询所有科目3.根据放进Session的userinfo去ErrorsubjectDAO里面找到错题信息我们需要知道El表达式ognl表达式今天我们要完成的样式如下图image.png这是EasyUI其中的一个框架，贴上代
struts2配置result andrew7676 Java struts2
阅读更多1.struts2配置result新建项目HeadFirstStruts2Chap02_071)type默认是dispatcher内部转发2)type为redirect重定向3)type为chain链条4)type为redirectAction重定向到action5)result全局配置HelloAction.javapackagecom.andrew.action;importcom.o
Struts2知识总结 CoderBruis
Struts2知识总结（一）Struts2会为每一个HTTP请求创建一个新的实例（二）关于dispatcher、redirect、redirectAction、Chaindispatcher：解释为转发；只涉及一个线程，数据能够共享，请求request中存放的变量不会失效，就像把两个页面拼到了一起。而且dispatcher是服务跳转，浏览器不知道它所请求的具体资源来源，浏览器的地址栏不会变。edi
struts.xml文件里面的type类型 dx_shendu SSH struts
dispatcher：用来转发到指定页面，通常处理JSP，【type属性默认值】redirect：重定向到一个URL。chain：用来处理Action链。redirectAction：重定向到一个Action。redirect-action：重定向到一个Action，与上面的一致。stream：向浏览器发送InputSream对象，通常用来处理文件下载，还可用于返回AJAX数据。。velocity
Struts2拦截器关于解决登录的问题南城琉璃
拦截器的工作原理如图拦截器是由每一个action请求（request）都包装在一系列的拦截器的内部，通过redirectAction再一次发送请求。拦截器可以在Action执行直线做相似的操作也可以在Action执行直后做回收操作。我们可以让每一个Action既可以将操作转交给下面的拦截器，Action也可以直接退出操作返回客户既定的画面。接下来我们该如何定义一个拦截器：自定义一个拦截器如下：1、
Struts2拦截器解决登录问题南城琉璃
一、了解Struts2拦截器【Interceptor】拦截器的工作原理如图拦截器是由每一个action请求（request）都包装在一系列的拦截器的内部，通过redirectAction再一次发送请求。拦截器可以在Action执行直线做相似的操作也可以在Action执行直后做回收操作。我们可以让每一个Action既可以将操作转交给下面的拦截器，Action也可以直接退出操作返回客户既定的画面。接下
stract2中action中的type中redirectActio,redirectAction,chain的详解 m_wise
struts2跳转类型resulttype=chain、dispatcher、redirect(redirect-action)dispatcher为默认跳转类型，用于返回一个视图资源(如:jsp)当使用type＝“redirectAction”或type＝“redirect”提交到一个action并且需要传递一个参数时。这里是有区别的：(1).type＝“redirectAction”时，参数只
Struts.xml文件 action属性详解 qq_24665727 Struts2--ation
阅读更多action2转发到不同包(不同名称空间)下的另一个动作使用的是注入的思想，在执行之重定向之前，会先获取这两个参数的值调用的就是setNamespace("/n2")和setActionName("action3")/n2action3redirectAction：重定向到另一个动作重定向到同包（同名称空间）下的另一个动作action2重定向不同包(不同名称空间)下的另一个动作使用的是注入
Struts.xml文件 action属性详解 qq_24665727 Struts2--ation
action2 转发到不同包(不同名称空间)下的另一个动作使用的是注入的思想，在执行之重定向之前，会先获取这两个参数的值调用的就是setNamespace("/n2")和setActionName("action3") /n2 action3 redirectAction：重定向到另一个动作重定向到同包（同名称空间）下的另一个动作 action
JavaWeb开发中alias拦截器的使用方法 MSTK
在SSH项目中，有时需要由一个Action跳转到另一个Action。有两种方式可以实现Action之间的跳转，一种是chain，另一种是redirectAction，这两种方式之间的区别是chain是在服务器上跳转，可以实现不同Action之间的数据共享；而redirectAction是在客户端进行跳转。使用chain在不同的Action之间传递参数值，这个功能可以通过alias拦截器来实现。1.
Struts2学习笔记(8)-Result常用类型 meaijojo
Result也是Struts2比较重要的一部分，在Result的配置中常用的有四种类型：dispatcher、redirect、chain和redirectAction，在这四种中又以前两种最为常见。例：/r1.jsp/r2.jspr1r21、dispatcher，最常用-服务器端跳转，即当用户访问某个Action时，后台服务器会自从查找对应的result是哪个jsp页面，从而跳转过去，这个时候在
redis学习笔记——不仅仅是存取数据 Everyday都不同 returnSource expire/del incr/lpush 数据库分区 redis
最近项目中用到比较多redis，感觉之前对它一直局限于get/set数据的层面。其实作为一个强大的NoSql数据库产品，如果好好利用它，会带来很多意想不到的效果。（因为我搞java，所以就从jedis的角度来补充一点东西吧。PS：不一定全，只是个人理解，不喜勿喷） 1、关于JedisPool.returnSource(Jedis jeids) 这个方法是从red
SQL性能优化-持续更新中。。。。。。 atongyeye oracle sql
1 通过ROWID访问表--索引你可以采用基于ROWID的访问方式情况,提高访问表的效率, , ROWID包含了表中记录的物理位置信息..ORACLE采用索引(INDEX)实现了数据和存放数据的物理位置(ROWID)之间的联系. 通常索引提供了快速访问ROWID的方法,因此那些基于索引列的查询就可以得到性能上的提高. 2 共享SQL语句--相同的sql放入缓存 3 选择最有效率的表
[JAVA语言]JAVA虚拟机对底层硬件的操控还不完善 comsci JAVA虚拟机
如果我们用汇编语言编写一个直接读写CPU寄存器的代码段，然后利用这个代码段去控制被操作系统屏蔽的硬件资源，这对于JVM虚拟机显然是不合法的，对操作系统来讲，这样也是不合法的，但是如果是一个工程项目的确需要这样做，合同已经签了，我们又不能够这样做，怎么办呢？那么一个精通汇编语言的那种X客，是否在这个时候就会发生某种至关重要的作用呢？ &n
lvs- real 男人50 LVS
#!/bin/bash # # Script to start LVS DR real server. # description: LVS DR real server # #. /etc/rc.d/init.d/functions VIP=10.10.6.252 host='/bin/hostname' case "$1" in sta
生成公钥和私钥 oloz DSA 安全加密
package com.msserver.core.util; import java.security.KeyPair; import java.security.PrivateKey; import java.security.PublicKey; import java.security.SecureRandom; public class SecurityUtil {
UIView 中加入的cocos2d，背景透明 374016526 cocos2d glClearColor
要点是首先pixelFormat:kEAGLColorFormatRGBA8，必须有alpha层才能透明。然后view设置为透明glView.opaque = NO;[director setOpenGLView:glView];[self.viewController.view setBackgroundColor:[UIColor clearColor]];[self.viewControll
mysql常用命令香水浓 mysql
连接数据库 mysql -u troy -ptroy 备份表 mysqldump -u troy -ptroy mm_database mm_user_tbl > user.sql 恢复表（与恢复数据库命令相同） mysql -u troy -ptroy mm_database < user.sql 备份数据库 mysqldump -u troy -ptroy
我的架构经验系列文章 - 后端架构 - 系统层面 agevs JavaScript jquery css html5
系统层面：高可用性所谓高可用性也就是通过避免单独故障加上快速故障转移实现一旦某台物理服务器出现故障能实现故障快速恢复。一般来说，可以采用两种方式，如果可以做业务可以做负载均衡则通过负载均衡实现集群，然后针对每一台服务器进行监控，一旦发生故障则从集群中移除；如果业务只能有单点入口那么可以通过实现Standby机加上虚拟IP机制，实现Active机在出现故障之后虚拟IP转移到Standby的快速
利用ant进行远程tomcat部署 aijuans tomcat
在javaEE项目中，需要将工程部署到远程服务器上，如果部署的频率比较高，手动部署的方式就比较麻烦，可以利用Ant工具实现快捷的部署。这篇博文详细介绍了ant配置的步骤（http://www.cnblogs.com/GloriousOnion/archive/2012/12/18/2822817.html），但是在tomcat7以上不适用，需要修改配置，具体如下： 1.配置tomcat的用户角色
获取复利总收入 baalwolf 获取
public static void main(String args[]){ int money=200; int year=1; double rate=0.1; &
eclipse.ini解释 BigBird2012 eclipse
大多数java开发者使用的都是eclipse，今天感兴趣去eclipse官网搜了一下eclipse.ini的配置，供大家参考，我会把关键的部分给大家用中文解释一下。还是推荐有问题不会直接搜谷歌，看官方文档，这样我们会知道问题的真面目是什么，对问题也有一个全面清晰的认识。 Overview 1、Eclipse.ini的作用 Eclipse startup is controlled by th
AngularJS实现分页功能 bijian1013 JavaScript AngularJS 分页
对于大多数web应用来说显示项目列表是一种很常见的任务。通常情况下，我们的数据会比较多，无法很好地显示在单个页面中。在这种情况下，我们需要把数据以页的方式来展示，同时带有转到上一页和下一页的功能。既然在整个应用中这是一种很常见的需求，那么把这一功能抽象成一个通用的、可复用的分页（Paginator）服务是很有意义的。 &nbs
[Maven学习笔记三]Maven archetype bit1129 ArcheType
archetype的英文意思是原型，Maven archetype表示创建Maven模块的模版，比如创建web项目，创建Spring项目等等. mvn archetype提供了一种命令行交互式创建Maven项目或者模块的方式， mvn archetype 1.在LearnMaven-ch03目录下，执行命令mvn archetype:gener
【Java命令三】jps bit1129 Java命令
jps很简单，用于显示当前运行的Java进程，也可以连接到远程服务器去查看 [hadoop@hadoop bin]$ jps -help usage: jps [-help] jps [-q] [-mlvV] [<hostid>] Definitions: <hostid>: <hostname>[:
ZABBIX2.2 2.4 等各版本之间的兼容性 ronin47
zabbix更新很快，从2009年到现在已经更新多个版本，为了使用更多zabbix的新特性，随之而来的便是升级版本，zabbix版本兼容性是必须优先考虑的一点客户端AGENT兼容 zabbix1.x到zabbix2.x的所有agent都兼容zabbix server2.4：如果你升级zabbix server，客户端是可以不做任何改变，除非你想使用agent的一些新特性。 Zabbix代理（p
unity 3d还是cocos2dx哪个适合游戏？ brotherlamp unity自学 unity教程 unity视频 unity资料 unity
unity 3d还是cocos2dx哪个适合游戏？问：unity 3d还是cocos2dx哪个适合游戏？答：首先目前来看unity视频教程因为是3d引擎，目前对2d支持并不完善，unity 3d 目前做2d普遍两种思路，一种是正交相机，3d画面2d视角，另一种是通过一些插件，动态创建mesh来绘制图形单元目前用的较多的是2d toolkit，ex2d，smooth moves，sm2，
百度笔试题：一个已经排序好的很大的数组，现在给它划分成m段，每段长度不定，段长最长为k，然后段内打乱顺序，请设计一个算法对其进行重新排序 bylijinnan java 算法面试百度招聘
import java.util.Arrays; /** * 最早是在陈利人老师的微博看到这道题： * #面试题#An array with n elements which is K most sorted，就是每个element的初始位置和它最终的排序后的位置的距离不超过常数K * 设计一个排序算法。It should be faster than O(n*lgn)。
获取checkbox复选框的值 chiangfai checkbox
<title>CheckBox</title> <script type = "text/javascript"> doGetVal: function doGetVal() { //var fruitName = document.getElementById("apple").value;//根据
MySQLdb用户指南 chenchao051 mysqldb
原网页被墙，放这里备用。 MySQLdb User's Guide Contents Introduction Installation _mysql MySQL C API translation MySQL C API function mapping Some _mysql examples MySQLdb
HIVE 窗口及分析函数 daizj hive 窗口函数分析函数
窗口函数应用场景：（1）用于分区排序（2）动态Group By （3）Top N （4）累计计算（5）层次查询一、分析函数用于等级、百分点、n分片等。函数说明 RANK() &nbs
PHP ZipArchive 实现压缩解压Zip文件 dcj3sjt126com PHP zip
PHP ZipArchive 是PHP自带的扩展类，可以轻松实现ZIP文件的压缩和解压，使用前首先要确保PHP ZIP 扩展已经开启，具体开启方法就不说了，不同的平台开启PHP扩增的方法网上都有，如有疑问欢迎交流。这里整理一下常用的示例供参考。一、解压缩zip文件 01 02 03 04 05 06 07 08 09 10 11
精彩英语贺词 dcj3sjt126com 英语
I'm always here 我会一直在这里支持你 &nb
基于Java注解的Spring的IoC功能 e200702084 java spring bean IOC Office
java模拟post请求 geeksun java
一般API接收客户端（比如网页、APP或其他应用服务）的请求，但在测试时需要模拟来自外界的请求，经探索，使用HttpComponentshttpClient可模拟Post提交请求。此处用HttpComponents的httpclient来完成使命。 import org.apache.http.HttpEntity ; import org.apache.http.HttpRespon
Swift语法之 ---- ?和!区别 hongtoushizi ?swift !
转载自： http://blog.sina.com.cn/s/blog_71715bf80102ux3v.html Swift语言使用var定义变量，但和别的语言不同，Swift里不会自动给变量赋初始值，也就是说变量不会有默认值，所以要求使用变量之前必须要对其初始化。如果在使用变量之前不进行初始化就会报错： var stringValue : String //
centos7安装jdk1.7 jisonami jdk centos
安装JDK1.7 步骤1、解压tar包在当前目录 [root@localhost usr]#tar -xzvf jdk-7u75-linux-x64.tar.gz 步骤2：配置环境变量在etc/profile文件下添加 export JAVA_HOME=/usr/java/jdk1.7.0_75 export CLASSPATH=/usr/java/jdk1.7.0_75/lib
数据源架构模式之数据映射器 home198979 PHP 架构数据映射器 datamapper
前面分别介绍了数据源架构模式之表数据入口、数据源架构模式之行和数据入口数据源架构模式之活动记录，相较于这三种数据源架构模式，数据映射器显得更加“高大上”。一、概念数据映射器（Data Mapper）：在保持对象和数据库（以及映射器本身）彼此独立的情况下，在二者之间移动数据的一个映射器层。概念永远都是抽象的，简单的说，数据映射器就是一个负责将数据映射到对象的类数据。 &nb
在Python中使用MYSQL pda158 mysql python
缘由　　近期在折腾一个小东西须要抓取网上的页面。然后进行解析。将结果放到数据库中。　　了解到 Python在这方面有优势，便选用之。　　由于我有台 server上面安装有 mysql，自然使用之。在进行数据库的这个操作过程中遇到了不少问题，这里记录一下，大家共勉。　　 python中mysql的调用　　百度之后能够通过MySQLdb进行数据库操作。
单例模式 hxl1988_0311 java 单例设计模式单件
package com.sosop.designpattern.singleton; /* * 单件模式：保证一个类必须只有一个实例，并提供全局的访问点 * * 所以单例模式必须有私有的构造器，没有私有构造器根本不用谈单件 * * 必须考虑到并发情况下创建了多个实例对象 * */ /** * 虽然有锁，但是只在第一次创建对象的时候加锁，并发时不会存在效率
27种迹象显示你应该辞掉程序员的工作 vipshichg 工作
1、你仍然在等待老板在2010年答应的要提拔你的暗示。 2、你的上级近10年没有开发过任何代码。 3、老板假装懂你说的这些技术，但实际上他完全不知道你在说什么。 4、你干完的项目6个月后才部署到现场服务器上。 5、时不时的，老板在检查你刚刚完成的工作时，要求按新想法重新开发。 6、而最终这个软件只有12个用户。 7、时间全浪费在办公室政治中，而不是用在开发好的软件上。 8、部署前5分钟才开始测试。

redirectAction新旧版配置的区别-Strust2

你可能感兴趣的:(redirectAction)