Struts2命令执行漏洞--(升级struts至struts-2.3.28.1版本)
来源:互联网 发布:财神抢红包软件 编辑:程序博客网 时间:2024/05/16 01:02
一、替换jar包
将下列jar包
commons-beanutils-1.6.jar
commons-beanutils-1.7.jar
commons-collections-2.1.jar
commons-logging-1.0.4.jar
commons-fileupload-1.2.jar
commons-io-1.3.2.jar
commons-logging-1.1.1.jar
freemarker-2.3.8.jar
log4j-1.2.14.jar
ognl-2.6.11.jar
struts2-core-2.0.11.jar
xwork-2.0.4.jar
替换成
commons-fileupload-1.3.1.jar
commons-io-2.2.jar
commons-logging-1.1.3.jar
freemarker-2.3.22.jar
struts2-core-2.3.28.1.jar
ognl-3.0.14.jar
asm-3.3.jar(新增)
asm-commons-3.3.jar(新增)
commons-lang3-3.2.jar(新增)
javassist-3.11.0.GA.jar(新增)
struts2-convention-plugin-2.3.28.1.jar(新增)
struts2-jasperreports-plugin-2.3.28.1.jar(新增)
struts2-jfreechart-plugin-2.3.28.1.jar(新增)
xwork-core-2.3.28.1.jar(新增)
二、修改配置文件
1.首先修改struts.xml,将struts.xml文件头修改成如下。
<!DOCTYPE struts PUBLIC
"-//Apache Software Foundation//DTD Struts Configuration 2.3//EN"
"http://struts.apache.org/dtds/struts-2.3.dtd">
2.在struts.xml中增加
<constant name="struts.enable.DynamicMethodInvocation" value="false" />
3.修改web.xml里的Struts2核心控制器:
将 <!-- <filter>
<filter-name>org.apache.struts2.dispatcher.FilterDispatcher</filter-name>
<filter-class>org.apache.struts2.dispatcher.FilterDispatcher</filter-class>
</filter>
<filter-mapping>
<filter-name>org.apache.struts2.dispatcher.FilterDispatcher</filter-name>
<url-pattern>*.action</url-pattern>
</filter-mapping> -->
替换为:
<filter>
<filter-name>struts2</filter-name>
<filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>struts2</filter-name>
<url-pattern>*.action</url-pattern>
</filter-mapping>
4.org.apache.commons.lang类包引用修改:
org.apache.commons.lang.xwork.StringUtils
换成
org.apache.commons.lang3.StringUtils
- Struts2命令执行漏洞--(升级struts至struts-2.3.28.1版本)
- Struts 2命令执行漏洞
- Struts 2命令执行漏洞
- Struts2漏洞2.0.xx或2.3.28.1升级为Struts-2.5.12
- struts2 升级 struts-2.3.32 和 struts-2.5.10以上版本报404错误问题
- 关于S2-045漏洞struts版本升级注意事项
- Struts-2.0升级为Struts-2.3.28.1
- PPLIVE源代码泄露及两个struts命令执行漏洞
- Struts S2-016 远程任意命令执行漏洞检测代码
- struts2 S2-045问题,升级struts版本的解决方案
- struts2升级到Struts 2.3.15.1的步骤(最新安全版本)
- struts漏洞修复(升级到2.3.15)
- Strut2 升级到 Struts 2.3.32 漏洞修复教程
- 某版本JEECMS后台存在通用struts2命令执行漏洞。
- struts修复GetShell漏洞,将2.1.8.1升级至2.3.28
- Apache Struts远程命令执行漏洞、开放式式重定向漏洞
- struts漏洞
- Struts2远程命令执行漏洞
- 安装node多版本管理器nvm,以及nvm常用命令
- 备忘杂项
- 聚集索引和非聚集索引(整理)
- 图片自适应手机屏幕问题
- Ubuntu 16.10 安装WPS
- Struts2命令执行漏洞--(升级struts至struts-2.3.28.1版本)
- java IO流:FileDescriptor
- Qt--QString
- 深入理解java异常处理机制
- Android图像处理之Bitmap类
- selenium上传本地文件
- sql里面EXCEPT、INTERSECT的区别
- SpannableString、SpannableStringBuilder、Html字符串
- Android Studio 的build variants 找不到 test artifact问题