-
FreeMarker SSTI漏洞基础 北京卓识网安技术股份有限公司基础知识Freemarker是一种java模板开发引擎,基于模板和程序数据动态输出文本的通用工具。在freemarker中以ftl文件作为模板文件,其结构类似于html格式,一般由以下几部分组成: 1. 文本,即文本。 2. 注释,与html注释一样。 3. 插值,使用${}包裹,用于动态地从程序中插入数据。 4. ftl标签,内建函数Freemarker中的内建函数:new()和api() 1.new():new函数用法是"value"?new(),在?的左边你可以指定一个字符串,是TemplateModel实现类的完全限定名,结果是调用构造方法生成一个方法变量,然后将新变量返回。 2.api():api函数用法是"value"?api,value?api提供访问 value的API(通常是Java API),比如value?api.someJavaMethod()。api函数使用是有前提条件的: o api_builtin_enabled 配置设置项必须设置为true。为了不降低已有应用程序的安全性,它的默认值是false(至少在2.3.22 版本中)。 o 值本身要支持它。我们在讨论当模板看到的值,它是通过对象包装 从原始对象值(来自于数据模... -
-
-
为了做好《中华人民共和国网络安全法》与相关法律的衔接协调,完善法律责任制度,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,根据《十四届全国人大常委会立法规划》,我办会同相关部门进一步研究起草了《中华人民共和国网络安全法(修正草案再次征求意见稿)》,现向社会公开征求意见。公众可通过以下途径和方式反馈意见: 1.通过电子邮件将意见发送至:law@cac.gov.cn。 2.通过信函将意见寄至:北京市西城区车公庄大街11号国家互联网信息办公室网络法治局,邮编:100044,并在信封上注明“《网络安全法》意见”。 意见反馈截止时间为2025年4月27日。 附件:1.中华人民共和国网络安全法(修正草案再次征求意见稿) 2.关于《中华人民共和国网络安全法(修正草案再次征求意见稿)》的说明 国家互联网信息办公室 2025年3月28日中华人民共和国网络安全法(修正草案再次征求意见稿)一、将第五十九条修改为:“网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告,可以处一万元以上五万元以下...
-
中华人民共和国国家发展和改革委员会令 第27号 《电力监控系统安全防护规定》已经2024年11月25日第18次委务会议审议通过,现予公布,自2025年1月1日起施行。 主任:郑栅洁 2024年11月25日 附件:《电力监控系统安全防护规定》.pdf 来源:国家发展改革委 本篇文章来源于微信公众号:卓识网安
-
JSP 基础 JSP,全称JavaServer Pages,是一种开发动态Web页面的技术。它允许开发人员将Java代码嵌入到HTML页面中,从而实现页面的动态生成。JSP页面可以包含静态内容(如HTML、XML)和Java代码,这些Java代码通常用于动态生成内容,访问数据库,执行业务逻辑等。 JSP的基本原理是在服务器端将JSP页面编译成Servlet。当客户端请求一个JSP页面时,服务器将首先将该JSP页面编译成Java Servlet,然后再执行Servlet代码,生成最终的HTML页面,最终将HTML页面发送给客户端浏览器。这种方式使得JSP具有了动态生成内容的能力,同时也能够与Java Servlet技术无缝集成。 在JSP中常见的标签有以下几种: 常规命令执行原始命令执行方式: Runtime.getRuntime().exec() ProcessBuilder().start() 反射调用ProcessImpl EL表达式实现命令执行EL表达式基础 Java Expression Language (EL) 是用于在Java EE应用程序(尤其是JSP和JSF)中简化数据访问和表达式计算的语言。EL主要...
-
FreeMarker SSTI漏洞基础 北京卓识网安技术股份有限公司基础知识Freemarker是一种java模板开发引擎,基于模板和程序数据动态输出文本的通用工具。在freemarker中以ftl文件作为模板文件,其结构类似于html格式,一般由以下几部分组成: 1. 文本,即文本。 2. 注释,与html注释一样。 3. 插值,使用${}包裹,用于动态地从程序中插入数据。 4. ftl标签,内建函数Freemarker中的内建函数:new()和api() 1.new():new函数用法是"value"?new(),在?的左边你可以指定一个字符串,是TemplateModel实现类的完全限定名,结果是调用构造方法生成一个方法变量,然后将新变量返回。 2.api():api函数用法是"value"?api,value?api提供访问 value的API(通常是Java API),比如value?api.someJavaMethod()。api函数使用是有前提条件的: o api_builtin_enabled 配置设置项必须设置为true。为了不降低已有应用程序的安全性,它的默认值是false(至少在2.3.22 版本中)。 o 值本身要支持它。我们在讨论当模板看到的值,它是通过对象包装 从原始对象值(来自于数据模...
-
-
-
为了做好《中华人民共和国网络安全法》与相关法律的衔接协调,完善法律责任制度,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,根据《十四届全国人大常委会立法规划》,我办会同相关部门进一步研究起草了《中华人民共和国网络安全法(修正草案再次征求意见稿)》,现向社会公开征求意见。公众可通过以下途径和方式反馈意见: 1.通过电子邮件将意见发送至:law@cac.gov.cn。 2.通过信函将意见寄至:北京市西城区车公庄大街11号国家互联网信息办公室网络法治局,邮编:100044,并在信封上注明“《网络安全法》意见”。 意见反馈截止时间为2025年4月27日。 附件:1.中华人民共和国网络安全法(修正草案再次征求意见稿) 2.关于《中华人民共和国网络安全法(修正草案再次征求意见稿)》的说明 国家互联网信息办公室 2025年3月28日中华人民共和国网络安全法(修正草案再次征求意见稿)一、将第五十九条修改为:“网络运营者不履行本法第二十一条、第二十五条规定的网络安全保护义务的,由有关主管部门责令改正,给予警告,可以处一万元以上五万元以下...
-
中华人民共和国国家发展和改革委员会令 第27号 《电力监控系统安全防护规定》已经2024年11月25日第18次委务会议审议通过,现予公布,自2025年1月1日起施行。 主任:郑栅洁 2024年11月25日 附件:《电力监控系统安全防护规定》.pdf 来源:国家发展改革委 本篇文章来源于微信公众号:卓识网安
-
JSP 基础 JSP,全称JavaServer Pages,是一种开发动态Web页面的技术。它允许开发人员将Java代码嵌入到HTML页面中,从而实现页面的动态生成。JSP页面可以包含静态内容(如HTML、XML)和Java代码,这些Java代码通常用于动态生成内容,访问数据库,执行业务逻辑等。 JSP的基本原理是在服务器端将JSP页面编译成Servlet。当客户端请求一个JSP页面时,服务器将首先将该JSP页面编译成Java Servlet,然后再执行Servlet代码,生成最终的HTML页面,最终将HTML页面发送给客户端浏览器。这种方式使得JSP具有了动态生成内容的能力,同时也能够与Java Servlet技术无缝集成。 在JSP中常见的标签有以下几种: 常规命令执行原始命令执行方式: Runtime.getRuntime().exec() ProcessBuilder().start() 反射调用ProcessImpl EL表达式实现命令执行EL表达式基础 Java Expression Language (EL) 是用于在Java EE应用程序(尤其是JSP和JSF)中简化数据访问和表达式计算的语言。EL主要...
京公安备11010802034101号
