struts漏洞修复(升级到2.3.15)
来源:互联网 发布:淘宝卖家流量怎么计算 编辑:程序博客网 时间:2024/06/05 06:09
测试方法:
访问地址:http://Host/login.action?redirect:http://www.baidu.com,是否跳转到百度
或者:是否弹出计算器
http://Host/login.action?('\43_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\43context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\43foo')('\\43foo\u003dnew\u0020java.lang.Boolean("false")'))&(asdf)(('@java.lang.Runtime@getRuntime().exec("calc")')(a))=1
漏洞修复步骤:
需要升级以下包:
struts2-core-2.3.15.1.jar
struts2-spring-plugin-2.3.15.1.jar
xwork-core-2.3.15.1.jar
commons-lang3-3.1.jar
ognl-3.0.6.jar
删除webwork.jar包,去除其他相应的旧版本的jar包,保留commons-lang的旧版本
2、修改web.xml文件中的Struts2过滤器配置如下:
<filter>
<filter-name>struts2</filter-name>
<filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
</filter>
3.struts配置文件重复
Unable to load configuration. - bean - jar:file:/E:/tomcat-7.0.11/webapps/struts/WEB-INF/lib/struts2-core-2.2.3.jar!/struts-default.xml:
项目中已经存在struts-default.xml,和struts2-core-2.2.3.jar包下的struts-default.xml文件冲突,要删除其中一个文件;
转载自:
http://eddysoft.iteye.com/blog/1911561和http://nassir.iteye.com/blog/1910100、http://security.ctocio.com.cn/100/11466600_4.shtml
- struts漏洞修复(升级到2.3.15)
- Strut2 升级到 Struts 2.3.32 漏洞修复教程
- struts修复GetShell漏洞,将2.1.8.1升级至2.3.28
- OpenSSL漏洞升级修复
- 修复Strtus远程命令执行漏洞 : Strtus 2.2.3 升级到 Strtus 2.3.24
- 最新Struts漏洞修复方案
- struts s2-045漏洞修复
- android studio 升级到2.3.3修复
- 平滑升级Nginx到新版本v1.12.1修复Nginx最新漏洞CVE-2017-7529
- 升级OpenSSL修复高危漏洞Heartbleed
- Debian7离线升级bash漏洞修复方法
- 升级OpenSSL修复高危漏洞Heartbleed测试
- Struts2漏洞修复到2.3.15.1版本步骤
- Struts2漏洞修复到2.3.15.1版本步骤
- Struts2漏洞修复到2.3.15.1版本步骤
- jboss4.2.3漏洞修复
- struts升级到2.3出现各种问题
- Struts2命令执行漏洞--(升级struts至struts-2.3.28.1版本)
- magento整合wordpress(二)
- Exchange Server 2010/2013功能差异
- Delphi 共享内存的应用
- 贪心算法--哈夫曼编码问题
- UVALive 3181 Fixing the Great Wall
- struts漏洞修复(升级到2.3.15)
- emac配置IDE
- jquery.cookie
- 如何从数据库调出数据显示到页面 PHP+Mysql+Html(简单实例)
- contentprovider的学习实例总结
- jquery.metadata
- vs2012布局问题
- jquery.bgiframe
- 【android】计算手机内存空间
