大家好,感谢邀请,今天来为大家分享一下JSP源码分享下载音乐网站的问题,以及和基于jsp的音乐网站的设计与实现的一些困惑,大家要是还不太明白的话,也没有关系,因为接下来将为大家分享,希望可以帮助到大家,解决大家的问题,下面就开始吧!
好了,言归正传,今天咱们来聊「Struts」这个话题。
肯定有很多同学会说,你为什么对Struts这么大的成见呢?因为它出现的安全问题太多了,并且针对安全问题,响应速度太慢,给国内外的不少企业造成巨额损失。
34;混搭模式&漏洞响应速度如龟速
我为什么要说它的响应速度很慢呢?就以它曾经的一个漏洞(编号CVE-2018-11776)为例。
2018年4月10日:ManYueMo首次向Struts安全团队通报此漏洞详情。
2018年6月25日:Struts团队发布补丁,修复此漏洞。
2018年8月22日:Struts新版本发布「2.3.35和2.5.17」,Struts团队和Semmle安全研究团队共同发布公告。
说实话,对它的响应时间着急,给那些黑产真的留下充足的作案时间和机会。
有同学可能会说,这个漏洞可能不危险,那咱们接着往下看。
这到底是一个什么样的漏洞呢?
该漏洞在开发人员未设置namespace值且上层动作配置ActionConfiguration也未设置namespace值或使用通配符时可能会导致远程代码执行漏洞,见下图。
其实对于了解Struts安全的读者来说,它已经不是第一次爆远程代码执行漏洞了,各位读者看看它的漏洞列表便明白了。
说实话,因上图这些Struts框架漏洞而造成巨额损失的企业不在不少,这里就给各位同学罗列一家。比如,2017年9月,美国3大老牌征信企业之一的Equifax公司网站遭遇黑客攻击,1.43亿美国公民的个人信息泄露,危及用户的社会保障号码、出生日期、住址以及部分驾驶执照号码等,事后溯源发现是由于该网站未修复的Struts漏洞「CVE-2017-5638」引起的。
到这里,有同学可能会问,以后遇到这样的Java框架漏洞,该怎么防范呢?
最直接暴力的方式禁用JVM执行外部命令,这个我们之前的一篇安全漏洞分析文章提过(Java安全之反序列化漏洞分析)。
39;ids&39;1&39;hidden&39;_ids&39;on&学习Struts还有“钱”途吗?
没“钱”途。
我们随便去一个招聘网站找一条招聘信息看看,就可以发现技术栈是SSH的已经很少了(ssh:Spring+Structs+Hibernate),基本上已经绝迹,就算有招聘的,应该也是一些需要维护的项目,让你去填坑的。现在,基本都是把Structs换成了SpringMVC,见下图
我们再来Github上面看看,也能间接的说明一些问题。
Struts现已交于Apache(见下图),但star数依然少的可怜,我觉得它要达到当年辉煌的顶峰,太难了!
SpringMVC是Spring家族中的一员(见下图),要人有人,要钱有钱,要被时代淘汰太难了!
如果你是接触JavaWeb开发的新人,我还是建议你把学习得重心放在SpringMVC。有多余的时间,再去研究Struts吧!
有的同学可能会说,它是被“后浪”拍死的,在我看来,它是被自己拍死的!
其实人也一样,如果一个人不思进取,那么,被时代淘汰也是迟早的事情,共勉~~~
关于JSP源码分享下载音乐网站和基于jsp的音乐网站的设计与实现的介绍到此就结束了,不知道你从中找到你需要的信息了吗 ?如果你还想了解更多这方面的信息,记得收藏关注本站。