SpringMVC vs Struts2

原创
2017/03/27 18:24
阅读数 968

SpringMVC vs Struts2S

性能

输入图片说明

MVC框架性能比较几篇文章: Link Link

开发效率/体验

输入图片说明

提高springmvc可读性的一个建议:规定Controller的 package 路径和 URL 路径一致; 如 “/shop/wed/shopList”页面对应Controller的包名为:com.dianping.web.mvc.shop.wed.ShopController

漏洞大事件

输入图片说明

1、京东12G: 2016-12-10晚间,京东被媒体爆料有12G的数据遭泄漏,外泄数据包括用户名、密码、邮箱、QQ号、电话号码、身份证等多种信息。京东集团回应称初步判断该数据源于2013年Struts2的安全漏洞问题;

官方回复:京东信息安全部门答复,该数据源于2013年Struts 2的安全漏洞问题,当时国内几乎所有互联网公司及大量银行、政府机构都受到了影响,导致大量数据泄露。

2、淘宝“拖库门”: 2013年7月22日传出来的消息,淘宝的数据库因为Strust2漏洞被拖。

官方微博答复:淘宝网已于当天第一时间对该漏洞进行修复,并确认此漏洞并没有被成功利用,用户的数据安全和账号数据未见任何异常。

3、 “乌云知识库查询-乌云公开漏洞”,基本是一年之前的历史漏洞;因为“SJJY-白帽子事件”之后,乌云网已经基本关闭了。

漏洞攻击工具

输入图片说明

网络上流传着许多针对struts2流行漏洞的共计工具,攻击成本非常低。

官方纰漏漏洞

输入图片说明

ONGL漏洞浅析

struts2参数赋值原理:
1、struts采用值栈存储请求和响应的数据:ValueStack ;
2、值栈通过ONGL存取数据:OgnlValueStack;
3、值栈中存取数据时会执行表达式:com.opensymphony.xwork2.ognl.OgnlUtil#compile
4、 ParametersInterceptor为每个参数声明一个ONGL语句,并通过对象图导航调用getter/setter方法 

如参数:?city.name=beijing,ONGL语句为:action.getCity().setName(“beijing”),执行后完整参数赋值。

1、OGNL(对象图导航语言): 所谓对象图,即以任意一个对象为根,通过OGNL可以访问与这个对象关联的其它对象。 对象图的导航,必须通过getters方法进行导航;主要的功能就是赋值与取值;

2、比较而言,springmvc通过参数解析器是将request对象内容进行解析成方法形参;(method 形参反射)

问题来了:假如参数中包含攻击代码如“rm -rf /*”呢? (ParametersInterceptor可以拦截部分非法参数,但是将参数转码为unicode可绕过)

输入图片说明

感兴趣的同学参照以下代码体验一下OGNL语句; 输入图片说明

迭代、文档资料

输入图片说明

趋势、社区

1、spring boot:开箱即用,库的集合;
2、spring cloud:基于Spring Boot的一整套实现微服务的框架。他提供了微服务开发所需的配置管理、服务发现、断路器、智能路由、微代理、控制总线、全局锁、决策竞选、分布式会话和集群状态管理等组件。 
    a、 spring-cloud-config:对标Lion
    b、 Spring Cloud Netflix:对标Pigeon (注册中心/网关/负载均衡/监控/熔断器)
    c、 Spring Cloud Bus:对标Swollow
    d、… … 
    ( spring cloud对于中小型互联网公司来说是一颗惊雷)

输入图片说明

展开阅读全文
打赏
1
2 收藏
分享
加载中
spring cloud对于中小型互联网公司来说是一颗惊雷!!!
灰常赞同
2019/04/23 22:52
回复
举报
更多评论
打赏
1 评论
2 收藏
1
分享
返回顶部
顶部