-
2020-12-29 12:00:27
执行中止只是因为一些原因暂时停止执行,等到这种原因消失之后就可以申请回复执行,那么对于执行中止后恢复执行的期限有什么规定?接下来由中顾法律网为大家整理了一些关于这方面的知识,欢迎大家阅读!
一般是2年内恢复执行。
只要每次主张权利之间间隔时间不超过申请执行时效期间,应从最后一次主张权利之次日,起算申请执行的时效。
一、关于申请执行时效的中断问题
根据现行的法律规定,当事人申请执行民事判决裁定、附带民事判决裁定、生效的劳动仲裁裁决书、商业仲裁裁决书、有强制执行力的公证文书,应在文书生效后二年内提出(2013年1月1日实施的《民事诉讼法》第二百三十九条);申请人是公民的,申请执行生效的行政判决书、行政裁定书、行政赔偿判决书和行政赔偿调解书的期限为1年,申请人是行政机关、法人或者其他组织的为180日(《最高人民法院关于执行》若干问题的解释》第八十四条)。逾期时,申请强制执行的权利丧失,人民法院不会受理。但是,实践中,法律文书生效后,有证据证明权利人在申请执行时效期间内向义务人主张过权利(如:权利人持有向义务人主张权利的视频且取证方式不违法、义务人出具有承诺书、义务人在权利人追讨债务的函件上签字盖章确认、有关部门调解权利人与义务人之间纠纷的书面证据,等等),只要每次主张权利之间间隔时间不超过申请执行时效期间,应从最后一次主张权利之次日,起算申请执行的时效。
二、关于申请执行时效的中止问题
同理,权利人只要举证证明存在《民事诉讼法》第一百五十条规定的诉讼中止的情形(一方当事人死亡,需要等待继承人表明是否参加诉讼的;一方当事人丧失诉讼行为能力,尚未确定法定代理人的;作为一方当事人的法人或者其他组织终止,尚未确定权利义务承受人的;一方当事人因不可抗拒的事由,不能参加诉讼的;本案必须以另一案的审理结果为依据,而另一案尚未审结的;其他应当中止诉讼的情形),从中止诉讼的原因消除后次日起算申请执行的时效。
《民法通则》
第一百四十条诉讼时效因提起诉讼、当事人一方提出要求或者同意履行义务而中断。从中断时起,诉讼时效期间重新计算。
《民事诉讼法》(2012年修正)
第二百三十九条申请执行的期间为二年。申请执行时效的中止、中断,适用法律有关诉讼时效中止、中断的规定。
第一百五十条有下列情形之一的,中止诉讼:
(一)一方当事人死亡,需要等待继承人表明是否参加诉讼的;
(二)一方当事人丧失诉讼行为能力,尚未确定法定代理人的;
(三)作为一方当事人的法人或者其他组织终止,尚未确定权利义务承受人的;
(四)一方当事人因不可抗拒的事由,不能参加诉讼的;
(五)本案必须以另一案的审理结果为依据,而另一案尚未审结的;
(六)其他应当中止诉讼的情形。
中止诉讼的原因消除后,恢复诉讼。
《最高人民法院关于执行《中华人民共和国行政诉讼法》若干问题的解释》
第八十四条申请人是公民的,申请执行生效的行政判决书、行政裁定书、行政赔偿判决书和行政赔偿调解书的期限为1年,申请人是行政机关、法人或者其他组织的为180日。
申请执行的期限从法律文书规定的履行期间最后一日起计算;法律文书中没有规定履行期限的,从该法律文书送达当事人之日起计算。
逾期申请的,除有正当理由外,人民法院不予受理。
第九十七条人民法院审理行政案件,除依照行政诉讼法和本解释外,可以参照民事诉讼的有关规定。
更多相关内容 -
广州市人民政府关于印发广州市推进制造业数字化转型若干政策措施的通知
2022-02-16 16:24:45广州市人民政府关于印发广州市推进制造业数字化转型若干政策措施的通知 各区人民政府,市政府各部门、各直属机构: 现将《广州市推进制造业数字化转型若干政策措施》印发给你们,请认真组织实施。实施过程中遇到...穗府规〔2021〕8号
广州市人民政府关于印发广州市推进制造业数字化转型若干政策措施的通知
各区人民政府,市政府各部门、各直属机构:
现将《广州市推进制造业数字化转型若干政策措施》印发给你们,请认真组织实施。实施过程中遇到的问题,请径向市工业和信息化局反映。
广州市人民政府
2021年12月9日
广州市推进制造业数字化转型若干政策措施
为贯彻落实《广东省人民政府关于印发广东省制造业数字化转型实施方案及若干政策措施的通知》(粤府〔2021〕45号)和《广州市优化营商环境条例》,深入实施制造业数字化转型发展战略,加快我市制造业数字化、网络化、智能化转型升级步伐,推动制造业高质量发展,特制定本政策措施。
一、发展目标
到2023年,全市制造业数字化、网络化、智能化水平明显提升,智能化生产、网络化协同、个性化定制、服务化延伸、数字化管理等新模式、新业态广泛推广。推动3500家规模以上工业企业运用新一代信息技术实施数字化转型,带动15万家企业上云用云降本提质增效。建成工业互联网标识解析二级节点20个以上,引进培育200家左右制造业数字化转型服务商,打造1—2家国家级跨行业、跨领域工业互联网平台,10家以上特色专业型工业互联网平台。
到2025年,全市制造业数字化、网络化、智能化水平进一步提升,推动6000家规模以上工业企业实施数字化转型,带动20万家企业上云用云降本提质增效,数字化引领的生产方式、企业形态、业务模式、就业方式变革取得明显成效,规模化个性定制生产方式广泛应用,基本建成具有国际影响力的“定制之都”和全球数产融合标杆城市。
二、精准施策,分类推进制造业数字化发展
1.“一链一策”推动重点产业链网络化协同。依托重点产业“链长制”工作推进机制,围绕智能网联与新能源汽车、绿色石化和新材料、现代高端装备、超高清视频和新型显示、半导体和集成电路、生物医药及高端医疗器械等重点产业,支持“链主”企业发挥龙头带动作用,构建工业互联网平台生态,形成协同采购、协同制造、协同配送的应用解决方案,赋能上下游、产供销、大中小企业协同发展,提升产业链协作效率和供应链一体化协同水平,实现订单、库存、计划、生产、交付、品质、物流等关键环节数据的互联互通和在线高效协同。对符合条件的项目,按照不超过项目投入费用的30%进行补助,单个项目最高不超过500万元。(责任单位:市工业和信息化局、发展改革委,列在首位的为牵头单位,下同)
2.“一行一策”促进传统特色产业集群数字化发展。继续实施深化工业互联网赋能,改造提升传统特色产业集群行动计划。以“定制之都”建设为牵引,聚焦定制家居、纺织服装、美妆日化、箱包皮具、珠宝首饰、食品饮料等优势特色产业集群,推动建设行业级工业互联网平台,打造“1+2+N”集群数字化转型整体解决方案,构建“云”上产业链和虚拟产业园,发展中央工厂、协同制造、共享制造、众包众创、集采集销等新模式,提升集群制造资源和创新资源的共享和协作水平,促进大中小企业融通发展和协同创新。支持集群内中小企业应用“1+2+N”解决方案实施数字化转型,对服务企业数字化转型成效显著的平台服务商,按成功服务企业数量给予奖励,奖励金额最高不超过500万元。(责任单位:市工业和信息化局、商务局,各区政府)
3.“一企一策”引导重点优势企业智能化升级。支持制造业单项冠军(单项冠军产品)企业、“专精特新”等重点优势企业实施数字化技术改造,建设智能工厂、智能车间,提高企业内部的生产管控和精益制造能力,提升智能制造水平,促进优势产品做强做大。支持实施设备更新和升级换代,引进和购置智能制造装备,推动生产装备数字化。支持应用工业互联网、5G(第五代移动通信技术)等新一代信息技术实现企业设备数据、系统数据、供应链数据等在云端或平台集成、分析、应用。对符合条件的项目,按照技术改造、首台(套)重大技术装备推广等政策给予奖补。(责任单位:市工业和信息化局)
4.持续推进国企数字化转型。以“上云用数赋智”为重点突破口,加快建设智慧国资,促进市属国有工业企业数字化、网络化、智能化发展,提升产业基础能力和产业链现代化水平,打造行业数字化转型样板。以核心业务板块为重点,推动市属工业类企业集团工业互联网覆盖率提升。加强市属工业企业工业互联网推广应用的安全指导、监管工作,督促市属国有企业落实工业互联网安全主体责任。(责任单位:市国资委)
三、夯实数字化转型基础设施
5.“一园一策”加强产业园区内外网络建设。支持工业企业对工业现场“哑设备”进行网络互联能力改造,支撑多元工业数据采集。支持工业企业运用新型网络技术和先进适用技术改造建设企业内网,探索在既有系统上叠加部署新网络、新系统,推动信息技术(IT)网络与生产控制(OT)网络融合。鼓励电信运营商加大力度推进制造业集聚产业园区、大型厂区、产业特色明显的工业园区网络建设。加快5G网络建设与推广,推动建设5G全连接工厂,支持制造业企业结合产业转型升级的实际需求,面向典型生产制造场景,搭建与行业应用系统相结合的5G示范网络,对符合条件的项目,按照不超过项目投入费用的30%进行奖补,每个项目最高不超过500万元。(责任单位:市工业和信息化局)
6.加快工业互联网标识解析体系建设。推动工业互联网标识解析国家顶级节点(广州)扩能增效,提升顶级节点(广州)服务能力。加快推动标识解析二级节点建设运营,深化标识在设计、生产、服务等各环节应用,推动标识解析系统与工业互联网平台、工业APP(应用软件)等融合发展。加快解析服务在各行业规模应用,促进跨企业数据交换,推动基于标识解析的关键产品追溯、供应链管理、个性化定制、产品全生命周期管理等集成创新应用,提升产品全生命周期追溯和质量管理水平。(责任单位:市工业和信息化局)
7.培育工业互联网平台。加快建设技术水平高、集成能力强、行业应用广的跨行业、跨领域工业互联网平台,以及面向重点行业的特色型工业互联网平台、面向特定技术领域的专业型工业互联网平台。支持工业互联网平台增强服务全国的能力,对平台企业被国家工业和信息化部门评选为跨行业跨领域综合型工业互联网平台的,一次性奖励500万元;被评选为国家级特色型或专业型工业互联网平台的,一次性奖励300万元。大力引进行业领先的工业互联网平台企业,市委、市政府重点引进的对我市产业发展具有重大带动作用的企业可专题研究给予政策扶持。(责任单位:市工业和信息化局、发展改革委、商务局)
四、开展技术创新行动
8.支持工业软件研发及应用推广。支持有条件的企业围绕关键领域开展技术攻关,发展普适性强、复用率高的基础共性和行业通用工业软件。支持平台型软件企业开放核心应用、内容等平台能力,为开发者导入各类资源。推进信息技术应用创新,支持信息技术应用创新企业开展软件产品研发、应用迁移、适配测试、信息服务创新等项目。大力发展自主可控工业软件,鼓励支持我市信息技术服务企业纳入省工业互联网产业生态供给资源池,提升我市数字化转型供给能力。对符合条件的信息技术应用创新项目,按不高于项目投资额的30%给予补助,最高不超过500万元。(责任单位:市科技局、工业和信息化局)
9.发展智能硬件及装备。支持研制具有自感知、自决策、自执行功能的高端数控机床、工业机器人、检测装配、物流仓储等数字化智能制造装备及所需工业级芯片,并实现在重点行业的规模化应用。推动先进工艺、信息技术与制造业深度融合。发展智能网联装备,支持工业企业运用数字化、网络化技术改造生产设备,提升核心装备和关键工序的数字化水平,推动人工智能、数字孪生等新技术创新应用。(责任单位:市工业和信息化局、科技局)
五、合力打造开放共赢的产业生态
10.完善数字化转型服务。推进国家工业互联网大数据中心广东分中心建设,推动工业数据的采集、传输、加工、存储和共享,深化工业大数据应用,开展重点产业链数据监测分析。支持制造业企业、行业协会等参与、制定制造业数字化领域相关国际、国家、行业标准和团体标准,建立数字化转型规范标准。支持优秀数字化转型服务商,为我市制造业企业提供数字化转型诊断、咨询服务。支持企业开展两化融合管理体系(升级版)贯标,对通过两化融合管理体系(升级版)贯标评定的企业给予一次性奖励30万元。(责任单位:市工业和信息化局、各区政府)
11.支持培育数字化专业人才。支持高校联合数字化转型服务机构、工业互联网平台商(服务商)、龙头企业等开展数字化转型相关学科专业建设,建设数字化转型人才培训公共服务平台,建设重点行业制造业数字化线上培训平台,构建产教融合人才培养体系。将数字化转型内容列入中小民营企业家培训课程。鼓励制造业企业大力引进数字化转型人才,对符合条件的人才(项目)按照有关规定给予奖励。(责任单位:市教育局、人力资源社会保障局)
六、保障措施
12.加强组织领导。在市先进制造业强市建设领导小组框架内,设立市制造业数字化转型工作专班,统筹谋划和推进全市制造业数字化转型工作,协调解决在制造业数字化转型工作中的重大问题。强化市、区联动,鼓励各区“因地制宜”制定差异化的政策措施,形成政策合力。建立制造业数字化转型监督评价和定期报送机制,加强跟踪督导。(责任单位:市工业和信息化局、各区政府)
13.强化金融服务。鼓励商业银行等各类金融机构加大对制造业企业实施数字化转型升级的信贷支持力度,有针对性地创新数字化转型金融产品,为工业企业数字化转型提供融资服务。依托广州工业和信息化产业发展基金等各类基金,采用股权投资等方式,支持工业互联网企业和制造业数字化转型服务商加快发展。鼓励有条件的金融机构在业务范围内与工业互联网企业按照依法合规、风险可控的原则开展合作,探索建立基于生产数据的征信系统,提供个性化、精准化的金融产品和服务。(责任单位:市地方金融监管局、工业和信息化局)
14.强化安全保障。加大工业互联网安全和工控安全宣传力度,指导工业企业加强网络安全分类分级管理,推动工控安全企业落实主体责任,协助省通信管理局做好标识解析系统、公共工业互联网平台监测工作。(责任单位:市工业和信息化局)
15.加强宣传引导。在公共媒体、公共场所、公共渠道加强制造业数字化转型宣传,举办制造业数字化转型专题论坛,促进国内外交流。支持建设工业互联网展示中心,宣传推广数字化转型优秀案例。加强制造业数字化转型经验模式总结和宣传推广,擦亮广州全球“定制之都”名片。(责任单位:市工业和信息化局)
本政策措施自2022年1月1日开始实施,有效期至2025年12月31日。
附件:名词解释
附件
名词解释
制造业数字化转型:聚焦制造业企业以及产业链、供应链,运用工业互联网、大数据、云计算、人工智能、区块链等数字技术,以数据为驱动,对研发设计、生产制造、仓储物流、销售服务等业务环节,进行软硬结合的数字化改造,推动制造业企业生产方式、企业形态、业务模式、就业方式的全方位变革,重构传统工业制造体系和服务体系,促进产业链、供应链高效协同和资源配置优化,催生新模式新业态。
“1+2+N”解决方案:面向每一个行业或产业集群,形成行业解决方案服务商、跨行业跨领域平台等两方组成紧密合作的建设主体,协同N个数字化转型合作伙伴(可包括但不限于工业设计、共享制造、物流仓储、直播电商、金融服务等),通过建设行业级工业互联网平台,打造行业数字化转型解决方案。
两化融合管理体系贯标: 两化融合管理体系是企业系统地建立、实施、保持和改进两化融合过程管理机制的通用方法。两化融合贯标是指贯彻《信息化和工业化融合管理体系》标准、充分利用企业“战略—优势—能力”主线、助推企业在未来获得可持续的竞争优势的一个指标。
上云上平台:围绕研发设计、生产管控、经营管理、售后服务等核心业务环节,利用工业互联网新技术、新工具、新模式,实施数字化转型升级,进一步降低经营成本、提升生产效率、提高产品质量、降低能耗排放、优化产业协同等。
工业大数据:工业领域产品和服务全生命周期数据的总称,包括工业企业在研发设计、生产制造、经营管理、运维服务等环节中生成和使用的数据,以及工业互联网平台中的数据等。
公开方式:主动公开
广州市人民政府办公厅秘书处 2021年12月15日印发
-
语句执行次序
2021-07-20 03:56:34语句(statement)是指高级语言中用于表达处理动作的基本单位,用以描述程序中的运算步骤、...中文名语句执行次序外文名statement execution order学科计算机定义语句执行的方式形式顺序执行和并发执行领域计算机系...语句(statement)是指高级语言中用于表达处理动作的基本单位,用以描述程序中的运算步骤、控制结构及数据传输[1]
。从语句的执行方式来看,语句可分为顺序语句与并发语句。语句执行次序是指语句执行的方式,一般分为顺序执行和并发执行。
中文名
语句执行次序
外文名
statement execution order
学 科
计算机定 义
语句执行的方式
形 式
顺序执行和并发执行
领 域
计算机系统
语句执行次序顺序执行
编辑
语音
语句执行次序定义
顺序执行是程序的一种执行方式。是把一个具有独立功能的程序独占处理机直至最终结束的过程称为程序的顺序执行。
语句执行次序程序顺序执行时的特征
(1) 顺序性:处理机的操作严格按照程序所规定的顺序执行,即每一操作必须在上一个操作结束之后开始。
(2) 封闭性:程序是在封闭的环境下执行的,即程序运行时独占全机资源,资源的状态(除初始状态外)只有本程序才能改变它。 程序一旦开始执行, 其执行结果不受外界因素影响。
(3) 可再现性:只要程序执行时的环境和初始条件相同,当程序重复执行时,不论它是从头到尾不停顿地执行,还是“停停走走”地执行,都将获得相同的结果。程序顺序执行时的特性,为程序员检测和校正程序的错误带来了很大的方便。
语句执行次序并发执行
编辑
语音
语句执行次序定义
并发的本质是一个CPU在多个程序运行过程中的时分复用。并发对有限的系统资源实现多用户共享,消除计算机软硬件之间的互相等待现象,以提高系统资源利用率。对于多CPU系统,可让各程序在不同CPU上并行执行,以加快计算速度。并发还可以简化程序设计任务,即一个较大较复杂的程序可以被分成几个能够同时运行的小程序,每个小程序的逻辑可获得一定的简化[2]
。
语句执行次序并发执行时的特征
程序的并发执行,虽然提高了系统吞吐量,但也产生了下述一些与程序顺序执行时不同的特征。
1) 间断性
序在并发执行时,由于它们共享系统资源,以及为完成同一项任务而相互合作,致使在这些并发执行的程序之间,形成了相互制约的关系。例如,图1中的 I、C 和 P 是三个相互合作的程序,当计算程序完成
的计算后,如果输入程序 I 尚未完成
的处理,则计算程序就无法进行
的处理,致使计算程序必须暂停运行。又如,当打印程序完成
的打印后,若计算程序尚未完成
的计算,则打印程序就无法对
的计算结果进行打印。一旦使程序暂停的因素消失后(如
已处理完成), 计算程序便可恢复执行对
的处理。 简而言之,相互制约将导致并发程序具有“执行—暂停—执行”这种间断性的活动规律。
图1
2) 失去封闭性
程序在并发执行时,是多个程序共享系统中的各种资源,因而这些资源的状态将由多个程序来改变,致使程序的运行失去了封闭性。这样,某程序在执行时,必然会受到其它程序的影响。例如,当处理机这一资源已被某个程序占有时,另一程序必须等待。
3) 不可再现性
程序在并发执行时,由于失去了封闭性,也将导致其再失去可再现性。例如,有两个循环程序 A 和 B,它们共享一个变量 N。程序 A 每执行一次时,都要做 N:=N+1 操作;程序 B 每执行一次时,都要执行 Print(N)操作,然后再将 N 置成“0” 。程序 A 和 B 以不同的速度运行。这样,可能出现下述三种情况(假定某时刻变量 N 的值为 n)。
(1) N:=N+1 在 Print(N)和 N:=0 之前,此时得到的 N 值分别为 n+1,n+1,0。
(2) N:=N+1 在 Print(N)和 N:=0 之后,此时得到的 N 值分别为 n,0,1。
(3) N:=N+1 在 Print(N)和 N:=0 之间,此时得到的 N 值分别为 n,n+1,0。
上述情况说明,程序在并发执行时,由于失去了封闭性,其计算结果已与并发程序的执行速度有关,从而使程序的执行失去了可再现性,亦即,程序经过多次执行后,虽然它们执行时的环境和初始条件相同,但得到的结果却各不相同。
语句执行次序并发程序设计
编辑
语音
一种程序设计。是设计、编制和调试并发程序的技术。一个并发程序由若干个可同时执行的程序模块组成。这种可同时执行的程序模块称为并发进程,由数据和有关的语句序列组成.并发进程的执行在时间上是重叠的,因此,一个并发程序的多个并发进程可以同时在多台处理器上并行执行,也可以在一台处理器上穿插执行。采用并发程序设计方法的好处是:可以使计算机的外围设备和处理器并行工作,缩短程序执行时间,提高计算机系统的效率。要有效地采用并发程序设计,必须提供并发程序设计语言,防止死锁的算法和同步机制等。
1.并发程序设计语言。并发程序设计语言的主要特征是引入了进程概念,这种语言提供实现进程同步和通信的手段。这类语言有并发PASCAL,Modula-2,ADA等。
2.死锁的预防和检测.进程因争夺资源而无休止地相互等待称为死锁.解决死锁问题有两种途径:一是预防死锁,设计各种资源调度算法,积极地防止死锁的发生;二是检测死锁,当死锁发生时能及时地发现并进行排除。
3.同步机制。在并发程序设计中,各进程对公共变量的访问必须加以制约,这种制约称为同步。进程的同步是通过同步机制实现的。代表性的同步机制有PV操作和管程等。PV操作是最早提出的用来解决公共变量问题的同步操作。管程是指一组公共数据同与其有关的操作的集合,只有引用管程中的操作才能访问管程中的数据。
词条图册
更多图册
参考资料
1.
张效祥.计算机科学技术百科全书:清华大学出版社,2005
2.
林果园,路亚萍,朱长征等编著.计算机操作系统:清华大学出版社,2011
-
确定土地所有权和使用权的若干规定
2011-03-01 22:23:13土地勘界经常用的确权依据,作为实际执行的标准 -
关于Fastjson反序列化远程代码执行漏洞处理
2022-05-25 10:49:54集团公司近期通知,根据相关安全纰漏,对Fastjson反序列化远程代码执行漏洞提出预警,开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,...一、风险描述
集团公司近期通知,根据相关安全纰漏,对Fastjson反序列化远程代码执行漏洞提出预警,开源Java开发组件Fastjson存在反序列化远程代码执行漏洞。攻击者可利用上述漏洞实施任意文件写入、服务端请求伪造等攻击行为,造成服务器权限被窃取、敏感信息泄漏等严重影响,特要求限期排查整改。
Fastjson是阿里巴巴公司开源的一款 JSON解析库/解析器,fastjson.jar是阿里开发的一款专门用于Java开发的包,它可以解析JSON格式的字符串,支持将Java Bean序列化为JSON字符串,也可以从JSON字符串反序列化到Java Bean。由于具有执行效率高的特点,Fastjson被众多java软件作为组件集成,广泛存在于java应用的服务端代码中。尤其很多公司的web项目全是java写的,很多后台应用也是基于java,故本次风险影响较大,风险提示级别为高风险。
Fastjson官方发布的公告称:在1.2.80及以下版本中存在新的反序列化风险,在特定条件下可绕过默认autoType关闭限制,从而反序列化有安全风险的类,攻击者利用该漏洞可实现在目标机器上的远程代码执行。
风险影响: Fastjson ≤1.2.80 版本----->此次事件影响Fastjson 1.2.80及之前所有版本。目前, Fastjson最新版本1.2.83已修复该漏洞。
本文记录此过程,为后续小伙伴们提供类似经验参考。
二、现场核实确认
1)在web目录或后又java项目录下查找
find ./ -iname fastjson-*.jar //一般在你的项目下/tomcat-8.5.51_8081/webapps/project_name/WEB-INF/lib/
现场核实采用:fastjson-1.2.41
2)获得fastjson:
在maven中如何配置fastjson依赖, fastjson最新版本都会发布到maven中央仓库,我们可以直接依赖。
<dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version> 1.2.83</version> </dependency>
之后执行:
mvn dependency:tree -Dverbose -Dincludes=com.alibaba:fastjson
3)漏洞复现或扫描原理
寻找存在 Fastjson 漏洞的方法,就是先找到参数中内容是 json 数据的接口,然后使用构造好的测试 payload 进行提交验证,检测原理跟 sql 注入差不多,更多参看Fastjson漏洞复现。
参考2:Fastjson 反序列化漏洞反弹Shell详细步骤三、漏洞修复
3.1 修复建议
1)用户可通过将版本升级到1.2.83修复此漏洞,但由于该版本涉及autotype行为变更,在某些场景会出现不兼容的情况,请综合考虑风险升级操作。v1.2.25 之前版本autotype默认开启的,从v1.2.25开始,fastjson默认关闭了autotype支持,并且加入了checkAutotype,加入了黑名单+白名单来防御autotype开启的情况。
wget --no-check-certificate https://github.com/alibaba/fastjson/archive/refs/tags/1.2.83.tar.gz
fastjson 三个主要的类:1)JSONObject :代表 json 对象;JSONObject实现了Map接口, JSONObject底层操作应该是由Map实现的,JSONObject对应json对象,通过各种形式的get()方法可以获取json对象中的数据,也可利用诸如size(),isEmpty()等方法获取"键:值"对的个数和判断是否为空。其本质是通过实现Map接口并调用接口中的方法完成的;
2)JSONArray:代表 json 对象数组;内部是有List接口中的方法来完成操作的;
3)JSON:代表JSONObject和JSONArray的转化;JSON类源码分析与使用
仔细观察上述这些方法,主要是实现json对象,json对象数组,javabean对象,json字符串之间的相互转化;springMVC.xml:
查看jar包下的pom.xml文件:(同样pom.properties里也有相关内容)
注意: 对于WEB-INF/lib下jar包的更新,升级前备份,可将要升级的jar移出lib目录,或修改jar包名称后缀为其他格式,否则还会加载;且根据java项目特性,.jar包的位置应放在web/WEB-INF/lib目录下才能生效;对于/common/lib/下的jar文件,若更新或新增了,需重启Tomcat服务器,才能重新加载jar包,使jar包生效,而jar包内单个文件可直接在线修改,无需这样;同样,对于application的WEB-INF/lib下的jar文件更新,则可以不重启tomcat便能使之生效,做法是修改$CATALINA_HOME/conf/context.xml 文件,在Context节点上添加属性reloadable=“true”,该属性默认是false。该属性设置为true,Tomcat服务器在运行状况下会监视在WEB-INF/classess和WEB-INF/lib目次下的class文件的改动,以及监视web应用的WEB-INF/web.xml文件的改动。要是检测到的class
文件或者web.xml文件被更新,服务器会自动加载Web应用。该属性的默认值为false.在web应用的开发和调试阶段,把reloadable设为true,可以方便对web应用的调试。在web应用正式发布阶段,把reloadable设为false,可以减低tomcat的运行负荷,提高Tomcat的运行性能。但在现场的Tomcat 8.5.51中检查context文件如下所示:
实际,Tomcat并不提供任何重新加载单个JAR的机制;但是,可以重新加载整个上下文,我们只需要告诉Tomcat在context.xml中监视我们的JAR文件即可,如下所示:<?xml version="1.0" encoding="UTF-8"?> <Context override="true" swallowOutput="true" useNaming="false"> <WatchedResource>WEB-INF/web.xml</WatchedResource> <WatchedResource>WEB-INF/lib/your.jar</WatchedResource> <Manager pathname=""/> </Context>
但生产环境中,相关经验表明,可能会存在应用程序编码较差,tomcat重新热部署jar包,会存在无法清理资源或在部署时卸载类不完全,这将导致某些类保留在内存中,重新部署应用程序的较新版本时,由于存在较旧版本的类,将会遇到一些异常的错误。为避免任何类似的问题,最好还是先关闭Tomcat,验证Tomcat的文件系统目录的"健全性",删除任何遗留的资源,重新启动Tomcat实例并重新部署应用程序。另外注意的是,高版本系统的fastjson序列化的类,在低版本系统无法反序列化,因此,系统如果存在多个fastjson实例通信 ,要全部保持版本一致性,全部升级。
修改后:
<Context reloadable="true" …… </Context>
升级链接:https://github.com/alibaba/fastjson/releases
2)1.2.68及之后版本的用户若无法通过版本升级来修复漏洞,可考虑配置开启safeMode。
在1.2.68版本中,fastjson增加了safeMode的支持。safeMode打开后,将完全禁用autoType。这可能会有兼容问题,请充分评估对业务影响后开启。
具体参考:https://github.com/alibaba/fastjson/wiki/fastjson_safemode。
最简单的是JVM启动参数增加: -Dfastjson.parser.safeMode=true
3)升级到Fastjson v2(也存在兼容1.x的风险)
Fastjson已经开源2.0版本,在2.0版本中,不再为了兼容提供白名单,提升了安全性。Fastjson v2代码已经重写,性能有了很大提升,不完全兼容1.x,升级需要做认真的兼容测试。
MAVEN依赖配置:
<dependency> <groupId>com.alibaba.fastjson2</groupId> <artifactId>fastjson2</artifactId> <version>2.0.4</version> </dependency>
1.x 兼容版本:
<dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>2.0.4</version> </dependency>
4)漏洞原理:
3.2 排查
1)Maven:排查pom.xml,通过搜索Fastjson确定版本号
<!-- https://mvnrepository.com/artifact/com.alibaba/fastjson --> <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId> <version>1.2.73</version> </dependency>
2)其他项目通过搜索jar文件确定Fastjson版本号
3.3 修复处理
替换掉项目下的fastjson.jar包,现场实际先替换后,再停止Tomcat后报如下错误,后经验证非该包原因:
注意替换后赋予执行权限:chmod 640 ./webapps/project/WEB-INF/lib/fastjson-1.2.83.jar
四、验证处理
业务日志确认及页面功能确认,如果有json接口,可以postman测试。
github上有大佬编写了检测脚本:
wget https://github.com/mrknow001/fastjson_rec_exploit/archive/refs/heads/master.zip
用法参照:https://github.com/mrknow001/fastjson_rec_exploit
五、附录
5.1 Tomcat加载jar包/类文件顺序
1)Tomcat的运行加载的jar包和类文件顺序
1:加载TOMCAT_HOME/lib文件中的jar包
2:加载TOMCAT_HOME/webapps/WEB-INF/lib中的jar包
3:加载TOMCAT_HOME/webapps/WEB-INF/class中的.class文件注意:与java虚拟机的父类委托机制不一样,tomcat后加载的类会 覆盖 前面加载的 相同类
5.2 Tomcat servlet加载的历程操作
当服务器开启时,会读取web.xml中的配置信息,tomcat会创建一个servlet池(hashMap)
服务器启动时,servlet并未启动,当第一次访问该servlet时,才会创建
1) 第一次访问(创建):
1:执行servlet的构造函数
2:执行初始化init(ServletConfig config)函数
3:在访问时执行service(ServletRequest req, ServletResponse res)函数2 )再次访问:
从servlet池中取出对应的servlet执行service(ServletRequest req, ServletResponse res)函数
服务器关闭:池中每一个servlet执行各自的destroy()函数
1: 服务器启动时,可是通过配置使得sevlet在访问之前创建完成
<load-on-startup>15</load-on-startup> #中间的要求是一个>0的数且不同,当多个servlet配置时,按照数字大小来 排队启动
2:配置参数: 通过init(ServletConfig config)函数的config.getInitparameten(“name”)来获取
<init-param> <param-name>name</param-name> <param-value>Jack</param-value> </init-param>
5.3 jar包一些查看操作
jar tvf jar名称 | grep 目标文件名 #查询出目标文件在jar包中的目录 jar xvf jar名称 目标文件名(copy上面查出的全路径) #将目标文件及所在jar包中的目录解压到当前路径,修改目标文件的内容,或者将要新的目标文件替换掉提取出来的目标文件 jar uvf jar名称 目标文件名(上步骤中相同的目标文件名) #将新目标文件打包到jar包中 jar ftv jar名称 #查看jar包的目录结构
参数说明:
用法: jar {ctxui}[vfmn0PMe] [jar-file] [manifest-file] [entry-point] [-C dir] files ... 选项: -c 创建新档案 -t 列出档案目录 -x 从档案中提取指定的 (或所有) 文件 -u 更新现有档案 -v 在标准输出中生成详细输出 -f 指定档案文件名 -m 包含指定清单文件中的清单信息 -n 创建新档案后执行 Pack200 规范化 -e 为捆绑到可执行 jar 文件的独立应用程序 指定应用程序入口点 -0 仅存储; 不使用任何 ZIP 压缩 -P 保留文件名中的前导 '/' (绝对路径) 和 ".." (父目录) 组件 -M 不创建条目的清单文件 -i 为指定的 jar 文件生成索引信息 -C 更改为指定的目录并包含以下文件 如果任何文件为目录, 则对其进行递归处理。 清单文件名, 档案文件名和入口点名称的指定顺序 与 'm', 'f' 和 'e' 标记的指定顺序相同。 示例 1: 将两个类文件归档到一个名为 classes.jar 的档案中: jar cvf classes.jar Foo.class Bar.class 示例 2: 使用现有的清单文件 'mymanifest' 并将 foo/ 目录中的所有文件归档到 'classes.jar' 中: jar cvfm classes.jar mymanifest -C foo/
- 创建可执行的 JAR 文件包:
制作一个可执行的 JAR 文件包来发布你的程序是 JAR 文件包最典型的用法。Java 程序是由若干个 .class 文件组成的。这些 .class 文件必须根据它们所属的包不同而分级分目录存放;运行前需要把所有用到的包的根目录指定给 CLASSPATH 环境变量或者 java 命令的 -cp 参数;创建可执行的 JAR 文件包,执行:
jar cvfm test.jar manifest.mf test
注意:
其中,test.jar 和 manifest.mf 两个文件,分别是对应的参数 f 和 m,其重头戏在 manifest.mf。因为要创建可执行的 JAR 文件包,光靠指定一个 manifest.mf 文件是不够的,因为 MANIFEST 是 JAR 文件包的特征,可执行的 JAR 文件包和不可执行的 JAR 文件包都包含 MANIFEST。关键在于可执行 JAR 文件包的 MANIFEST,其内容包含了 Main-Class 一项。在test 目录的上级目录中去使用 jar 命令来创建 JAR 文件包,完成后,test.jar 就是执行的 JAR 文件包。运行时只需要使用 java -jar test.jar 命令即可。如果不指定 manifest.mf,这时生成的jar包不能使用java -jar XXX.jar命令执行,因为MANIFEST文件中未指定程序入口。MANIFEST文件描述了打包后的jar文件的详细信息,存在于打包后的META-INF 的文件夹。主要就是Manifest-Version Main-Class Class-Path这三个属性,其中,.Manifest-Version 是版本号,照着写就行。Main-Class则是jar包的入口程序,指定运行的类的全称(一定要包含包名),这样可以使用java -jar name.jar直接运行jar包。第三个Class-Path是指的打包时需要依赖的其他jar包,打包的时候自己的程序中也可能含有其他的jar包所以要添加依赖。另外注意:每个MANIFEST属性冒号与内容之间都有一个空格,并且写完后最后还要留有一行空行,不然运行时还是出现找不到主清单属性的错误
- 将编译的class字节码文件进行打包输出
1)使用javac命令将这需要的class文件进行编译:
javac -d ./test.java ./test2.java #生产的文件除编译的class文件外,会多一个META-INF文件夹,里面有一个MANIFEST.MF(清单文件)的文件,这个文件的作用非常重要,其内容一般只包含清单版本与java版本。
2)用jar指令将编译的class文件打包
java cvf test.jar ./test.class ./test2.class #这种不指定清单文件的有问题,可按如下执行
比如将所有要打包的class文件存在的目录以及依赖的jar包全部放在一个根文件夹里面(比如是foo),,然后编写MANIFEST清单文件,指定程序入口以及其他添加的依赖的jar包。再执行指令:
jar cvfm classes.jar mymanifest -C foo/5.4 windows 版的wget
http://www.interlog.com/~tcharron/wgetwin-1_5_3_1-binary.zip
然后配置环境变量,右键计算机->属性->高级系统设置->高级->环境变量->选中PATH->编辑:
1)设置一个名为“WGETRC”的环境变量,它指向 wgetrc 文件的完整路径名
2)设置一个名为“HOME”的环境变量(如果它不存在)指向一个目录。将您的 wgetrc 文件放在此目录中,并将其命名为“wgetrc”用法:wget -P 目录 网址
举例来说,如果你要放到/root底下,你可以打下列的指令:
wget -P /root 网址
wget -P D:xxx.zip http://www.xdown.com/xxx.zip
wget -O “D:xxx.zip” http://www.xdown.com/xxx.zip
wget -r -p -k -np -nc -e robots=off http://www.example.com/mydir/
如果要想下载整个网站,最好去除-np参数。
wget -r -p -k -nc -e robots=off http://www.example.com/mydir/
-r 递归;对于HTTP主机,wget首先下载URL指定的文件,然后(如果该文件是一个HTML文档的话)递归下载该文件所引用(超级连接)的所有文件(递 归深度由参数-l指定)。对FTP主机,该参数意味着要下载URL指定的目录中的所有文件,递归方法与HTTP主机类似。
-c 指定断点续传功能。实际上,wget默认具有断点续传功能,只有当你使用别的ftp工具下载了某一文件的一部分,并希望wget接着完成此工作的时候,才 需要指定此参数。
-nc 不下载已经存在的文件
-np 表示不追溯至父目录,不跟随链接,只下载指定目录及子目录里的东西;
-p 下载页面显示所需的所有文件。比如页面中包含了图片,但是图片并不在/yourdir目录中,而在/images目录下,有此参数,图片依然会被正常下 载。
-k 修复下载文件中的绝对连接为相对连接,这样方便本地阅读。
-o down.log 记录日记到down.log
-e robots=off 忽略robots.txt -
计算机程序的执行过程
2021-07-21 02:32:33[size=small]微型计算机中程序的执行过程计算机采取"存储程序与程序控制"的工作方式,即事先把程序加载到计算机的存储器中,当启动运行后,计算机便会自动按照程序的要示进行工作。为了进一步说明微机的工作过程,... -
若干物理化学量与单位的正确使用* (2000年)
2021-05-21 09:15:39文章以近一、两年常见的有关化学、化工类论文中,若干物理化学量和单位的不规范表达为例,按照GB3100~3102-93的有关规定,进行分析和讨论,指出其错误所在,并给出规范的表示和书写。从而进一步加深对《量和单位》... -
关于curl访问https的若干问题
2014-09-23 17:00:57使用-k,是不对服务器的证书进行检查,这样就不必关心服务器证书的导出问题。 本文参考http://dannyyuan.blog.51cto.com/212520/124957/ 本文参考... -
债权人申请强制执行满2年后怎么办?
2020-12-29 12:00:30”这样改变了原民事诉讼 法关于执行期限为除斥期间的规定。债权人向人民法院申请强制执行的,法院应当审查其 是否在法定期限内申请。如果超过 2 年执行时效,法院如何处理?笔者认为需要具体结合 案件的不同情况进行... -
执行期限过了两年怎么处理
2020-12-18 17:11:16一、执行期限过了两年怎么处理超过申请强制执行期限而提出强制执行的,法院通常对申请人的申请应该直接立案执行。对于申请人的申请,法院不能主动适用时效,也不能对被执行人进行说明也即释明。民事诉讼法中规定了... -
Java应用程序由若干个类所构成,这些类可以在一个源文件中,也可以分布在若干个源文件中。
2021-03-01 07:22:32education background N-gender O-permanent address P-contact number Q-place of birth Examples :( K )介绍信 ( G )婚姻状况 1 、( )工作目标 ( )出生地 2 、( )性别 ( )教育背景 3 、( )国籍 ( )工作经历 4 、( ... -
CPU的工作过程
2021-03-10 09:09:50CPU的基本工作是执行存储的指令序列,即程序。程序的执行过程实际上是不断地取出指令、分析指令、执行指令的过程。 CPU从存放程序的主存储器里取出一条指令,译码并执行这条指令,保存执行结果,紧接着又去取指令,... -
CPU 执行程序的秘密,藏在了这 15 张图里
2020-10-10 23:29:52代码写了那么多,你知道 a = 1 + 2 这条代码是怎么被 CPU 执行的吗? 软件用了那么多,你知道软件的 32 位和 64 位之间的区别吗?再来 32 位的操作系统可以运行在 64 位的电脑上吗?64 位的操作系统可以运行在 32 位... -
关于印发《黑龙江省农村土地承包经营权确权登记试点工作操作规程(试行)》的通知
2014-11-09 09:06:23关于印发《黑龙江省农村土地承包经营权确权登记试点工作操作规程(试行)》的通知。农村土地承包经营权确权登记颁证技术标准参照农业部《农村土地承包经营权调查规程》、《农村土地承包经营权确权登记数据库规范》和... -
深入理解Java虚拟机-虚拟机执行子系统
2020-01-04 17:00:27Class 文件的版本常量池访问标志类索引、父类索引与接口索引集合字段表集合方法表集合属性表集合字节码指令简介公有设计和私有实现Class文件...类加载器的特点类加载器的隔离问题破坏双亲委派模型字节码执行引擎... -
计算机如何执行一条机器指令
2019-10-11 11:09:38执行指令的过程分为取指令阶段、分析取数阶段和执行阶段。 1.取指阶段: 图中概念解释: PC(程序计数器),MAR(存储地址寄存器),CU(控制单元),IR(指令寄存器) AB(地址总线) ,DB(数据总线), CB(控制总线)... -
计算机的工作步骤
2020-03-03 18:33:32计算机的工作步骤英文缩写解释存储器运算器控制器I/O取指令存指令小记*特别注意*: 英文缩写解释 存储器 1.存储器是用来存储程序和各种数据信息的记忆部件。存储器可分为主存储器(简称主存 或内存)和辅助存储器... -
计算机操作系统读书笔记___顺序执行和并发执行
2018-12-26 21:47:13顺序执行:结果可再现;并发执行:不加约束结果不可再现 -
CPU内部组成结构及指令执行过程
2015-05-15 09:53:16计算机的基本硬件系统由运算器、控制器、存储器和输入、... CPU通过执行指令来控制程序的执行顺序,这是CPU的重要职能。 (2)操作控制 一条指令功能的实现需要若干个操作信号来完成,CPU产生每条指令的操作信号并 -
【硬件设备】CPU系列之工作流程
2020-09-06 19:02:05摘要: 本文主要简单介绍CPU的一些工作机制,理解CPU的基础原理有助于我们编写高性能的程序。主要内容如下: 1.概述 2. CPU的工作过程 3. CPU的指令执行流程 4. CPU的指令周期 5. 举例说明CPU工作流程 6. 总结 -
【操作系统】前趋图,程序的顺序执行和并发执行
2015-07-30 22:49:52在学习操作系统中,我们引入前趋图来对程序的执行先后顺序进行描述。 前趋图:用于描述进程之间的执行顺序的一种有向无循环图(DAG directed acyclic graph)。 结点用来描述,一个进程、程序段、乃至一条语句;... -
《审查指南》 第二部分 第九章:关于涉及计算机程序的发明专利申请审查的若干规定
2013-12-04 10:58:30第九章 关于涉及计算机程序的发明专利申请审查的若干规定 目录 1. 引言 2. 涉及计算机程序的发明专利申请的审查基准 3. 涉及计算机程序的发明专利申请的审查示例 4. 汉字编码方法及计算机汉字输入方法 ... -
redis——相关问题汇总
2019-10-16 10:09:19而在skiplist上进行范围查找就非常简单,只需要在找到小值之后,对第1层链表进行若干步的遍历就可以实现。 平衡树的插入和删除操作可能引发子树的调整,逻辑复杂,而skiplist的插入和删除只需要修改相邻节点的指针... -
关于操作系统常见问题总结
2018-10-04 11:08:07进程是具有一定功能的程序关于某个数据集合上的一次运行活动,进程是系统进行资源调度和分配的一个独立单位。 线程是进程的实体,是CPU调度和分派的基本单位,它是比进程更小的能独立运行的基本单位。 一个进程可以... -
一条cpu指令执行过程
2017-09-12 23:07:58计算机每执行一条指令都可分为三个阶段进行。即取指令-----分析指令-----执行指令。 取指令的任务是:根据程序计数器PC中的值从程序存储器读出现行指令,送到指令寄存器。 分析指令阶段的任务是:将指令寄存器中的... -
C/C++输入过程中检测回车符作为程序输入结束的若干问题
2015-08-02 14:48:31针对此应用,对存在的若干问题进行说明。 1.示例程序1——C语言 1.1 程序源码 输入一系列未知个数的数字,然后输出max ,min和average。 #include #include #include using namespace std; #pragma warning... -
统计一行字符串中单词的个数,一行字符串由键盘输入,规定所有单词由小写字母组成,单词之间由若干个空格隔...
2020-06-01 11:43:32} PS:下面是程序执行结果,上面是文字版,想要文字版的朋友可以直接复制。 如果有疑问欢迎评论咨询,想要其他方法也可以哦 新人原创不易,如果帮助到你,点个赞再走呗,可爱的朋友们 求点赞求点赞求点赞求点赞求... -
多道程序设计有哪些新特性呢?它又是如何实现程序的并发执行的呢?
2020-01-13 16:58:45多道程序设计技术充分发挥了处理器与外围设备以及外围设备之间的并行工作能力,从而提高处理器和其他各种资源的利用率。下面从程序的顺序执行、程序的执行环境和程序的并发执行几方面介绍多道程序设计模型。 一、...