解决struts2.3.15.1一下版本的redirect和redirectAction漏洞
来源:互联网 发布:河南中医药大学软件类 编辑:程序博客网 时间:2024/05/17 08:20
项目安全检测到struts2.3.15.1以下的版本存在如下漏洞:
action:redirect和redirectAction前缀参数在实现其功能的过程中使用了Ognl表达式,并将用户通过URL提交的内容拼接入Ognl表达式中,从而造成攻击者可以通过恶意的URL来执行java代码,进而可执行任意命令。
解决方法如下:
1.将struts2的核心包升级到2.3.20
2.加入commons-lang3-3.2.jar
3.注意升级ognl.jar
4.修改web.xml
将
<
filter
>
<
filter-name
>struts2</
filter-name
>
<
filter-class
>org.apache.struts2.dispatcher.FilterDispatcher</
filter-class
>
修改为
<
filter
>
<
filter-name
>struts2</
filter-name
>
<
filter-class
>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</
filter-class
>
<
init-param
>
<
param-name
>actionPackages</
param-name
>
<
param-value
>com.mycompany.myapp.actions</
param-value
>
</
init-param
>
</
filter
>
0 0
- 解决struts2.3.15.1一下版本的redirect和redirectAction漏洞
- struts2中redirect和redirectAction的区别
- struts2中redirect和redirectAction的区别
- Struts2的dispatcher chain redirect和redirectAction的区别
- Struts2的dispatcher,chain,redirect和redirectAction的区别
- Struts2的dispatcher chain redirect和redirectAction的区别
- Struts2的dispatcher chain redirect和redirectAction的区别
- struts2中redirect和redirectAction chain的区别
- java零碎要点---struts2中redirect和redirectAction的区别
- struts2中chain、redirect和redirectAction的区别
- struts2中chain、redirect和redirectAction的区别
- struts2 中chain、redirect、redirectaction的区别
- struts2 中chain、redirect、redirectaction的区别
- struts2 中chain、redirect、redirectaction的区别
- struts2 中chain、redirect、redirectaction的区别 .
- struts2 中chain、redirect、redirectaction的区别
- struts2 中chain、redirect、redirectAction的区别
- struts2 中chain、redirect、redirectaction的区别
- 再牛逼的人,也曾平凡落魄过
- VNC远程连接KVM虚机鼠标不同步问题
- 串口WiFi的调试心得
- 如何积极?真是愚不可及
- 作用域public,private,protected,以及不写时的区别
- 解决struts2.3.15.1一下版本的redirect和redirectAction漏洞
- linux 笔记
- eclipse adt 安卓开发配置
- Android系统makefile文件(Android.mk)组织结构
- Java内存溢出与栈溢出
- js验证身份证号
- camera troubleshot
- Linux内核源代码情景分析-内存管理之用户页面的定期换出
- android Process.killProcess 和 System.exit(0) 区别