Struts2是一个基于MVC设计模式设计模式的Web应用框架应用框架，它本质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts2处理请求流程如下：S2-001Struts2对OGNL表达式的解析使用了开源组件opensymphony.xwork2.0.3，所以实际上这是一个xwork组件的漏洞，影响了Struts2。参考链接：https://cwiki.apache.org/confluence/display/WW/S2-001该漏洞是因为Struts2的标签处理功能：altSyntax，在该功能开启时，

Struts2是一个基于MVC设计模式设计模式的Web应用框架应用框架，它本质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器(Controller)来建立模型与视图的数据交互。Struts2处理请求流程如下：S2-001Struts2对OGNL表达式的解析使用了开源组件opensymphony.xwork2.0.3，所以实际上这是一个xwork组件的漏洞，影响了Struts2。参考链接：https://cwiki.apache.org/confluence/display/WW/S2-001该漏洞是因为Struts2的标签处理功能：altSyntax，在该功能开启时，

前不久研究websocket时发现port-swigger出了新的靶场，一看，发现是关于jwt安全的，刚好来总结回忆一下JWT简介Jsonwebtoken(JWT)，是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（RFC7519）RFC7519:https://datatracker.ietf.org/doc/html/rfc7519他定义了一种紧凑且自包含的方式，用于在各方之间安全地传输信息作为JSON对象，特别适用于分布式站点的单点登录（SSO）场景JWT与cookie/session的异同● JWT与cookie/session一样，都是作用于前后端认证● cookie

前不久研究websocket时发现port-swigger出了新的靶场，一看，发现是关于jwt安全的，刚好来总结回忆一下JWT简介Jsonwebtoken(JWT)，是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准（RFC7519）RFC7519:https://datatracker.ietf.org/doc/html/rfc7519他定义了一种紧凑且自包含的方式，用于在各方之间安全地传输信息作为JSON对象，特别适用于分布式站点的单点登录（SSO）场景JWT与cookie/session的异同● JWT与cookie/session一样，都是作用于前后端认证● cookie

声明：本文仅限于技术讨论与分享，严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负，与本号及原作者无关。WebSocket劫持漏洞导读WebSocket协议技术WebSocket是HTML5推出的新协议，是基于TCP的应用层通信协议，它与http协议内容本身没有关系。WebSocket也类似于TCP一样进行握手连接，跟TCP不同的是，WebSocket是基于HTTP协议进行的握手，它在客户端和服务器之间提供了一个基于单TCP连接的高效全双工通信信道websocket是持久化的协议，而http是非持久的当通信协议从 http://或https://切换到ws://或wss://后，表示

声明：本文仅限于技术讨论与分享，严禁用于非法途径。若读者因此作出任何危害网络安全行为后果自负，与本号及原作者无关。WebSocket劫持漏洞导读WebSocket协议技术WebSocket是HTML5推出的新协议，是基于TCP的应用层通信协议，它与http协议内容本身没有关系。WebSocket也类似于TCP一样进行握手连接，跟TCP不同的是，WebSocket是基于HTTP协议进行的握手，它在客户端和服务器之间提供了一个基于单TCP连接的高效全双工通信信道websocket是持久化的协议，而http是非持久的当通信协议从 http://或https://切换到ws://或wss://后，表示

拉格朗日乘数(LagrangeMultipliers)法  在数学最优问题中，拉格朗日乘数法（以数学家约瑟夫·路易斯·拉格朗日命名）是一种寻找变量受一个或多个条件所限制的多元函数的极值的方法。这种方法将一个有n个变量与k个约束条件的最优化问题转换为一个有n+k个变量的方程组的极值问题，其变量不受任何约束。这种方法引入了一种新的标量未知数，即拉格朗日乘数：约束方程的梯度（gradient）的线性组合里每个向量的系数。此方法的证明牵涉到偏微分，全微分或链法，从而找到能让设出的隐函数的微分为零的未知数的值。引入问题给定一个函数：\(z=f(x,y)\)如何求其极值点呢？显然根据多元函数求极值定理(必

拉格朗日乘数(LagrangeMultipliers)法  在数学最优问题中，拉格朗日乘数法（以数学家约瑟夫·路易斯·拉格朗日命名）是一种寻找变量受一个或多个条件所限制的多元函数的极值的方法。这种方法将一个有n个变量与k个约束条件的最优化问题转换为一个有n+k个变量的方程组的极值问题，其变量不受任何约束。这种方法引入了一种新的标量未知数，即拉格朗日乘数：约束方程的梯度（gradient）的线性组合里每个向量的系数。此方法的证明牵涉到偏微分，全微分或链法，从而找到能让设出的隐函数的微分为零的未知数的值。引入问题给定一个函数：\(z=f(x,y)\)如何求其极值点呢？显然根据多元函数求极值定理(必

简介WebSocket是双工的，他支持在客户端和服务器之间互相发送文本或二进制消息流，除此功能以外，它还提供了更为复杂的附加扩展：连接协商和同源策略实施与现有HTTP基础设施的互相操作性面向消息的通信和高效的消息框架这一点与Socket不同，Socket算是面向字节，他没有消息头、消息尾的概念。可以说Socket没有那么聪明子协议协商和可扩展性值得注意的一点是：WebSocket不是HTTP、XHR或SSE的替代品，为了获得最佳性能，利用每种传输的优势至关重要。WS和WSSURL方案这两种方案都是WebSocket的自定义方案，WS用于纯文本（即：明文）通讯，WSS用于加密管道通讯。文本消息和

简介WebSocket是双工的，他支持在客户端和服务器之间互相发送文本或二进制消息流，除此功能以外，它还提供了更为复杂的附加扩展：连接协商和同源策略实施与现有HTTP基础设施的互相操作性面向消息的通信和高效的消息框架这一点与Socket不同，Socket算是面向字节，他没有消息头、消息尾的概念。可以说Socket没有那么聪明子协议协商和可扩展性值得注意的一点是：WebSocket不是HTTP、XHR或SSE的替代品，为了获得最佳性能，利用每种传输的优势至关重要。WS和WSSURL方案这两种方案都是WebSocket的自定义方案，WS用于纯文本（即：明文）通讯，WSS用于加密管道通讯。文本消息和