struts2 ongl漏洞解决方案

最新推荐文章于 2022-06-21 15:57:57 发布
最新推荐文章于 2022-06-21 15:57:57 发布
阅读量576 收藏
点赞数
分类专栏: java 文章标签: struts filter class null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/familyGo/article/details/6687030
版权
  
采用比较简单的过滤器方式拦截掉攻击代码。
以下为解决方式:
过滤器代码:
package org.openxtiger.filter;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
public class CMSContextFilter implements Filter {
@Override
public void destroy() {
// TODO Auto-generated method stub
}
@Override
public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException {
request.setCharacterEncoding(“utf-8″);
HttpServletRequest req = (HttpServletRequest)request;
HttpServletResponse res = (HttpServletResponse)response;
String queryString = req.getQueryString();
System.out.println(“queryString=”+queryString);
if(queryString!=null && queryString.indexOf(“\\u0023″)>0){
System.out.println(“有攻击代码!”);
res.sendRedirect(“error.jsp”);
return;
} else {
System.out.println(“没有代码!”);
}
chain.doFilter(request, response);
}
@Override
public void init(FilterConfig cfg) throws ServletException {
}
}
web.xml中的相关配置:
<filter>
<filter-name>filter</filter-name>
<filter-class>
org.openxtiger.filterCMSContextFilter
</filter-class>
</filter><filter-mapping>
<filter-name>filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
赵-旭-东
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
struts2漏洞解决方案
05-31
struts2漏洞解决方案
OGNL设计及使用不当造成的远程代码执行漏洞
weixin_34061555的博客
03-08 506
紫气东来 · 2013/07/19 14:48我们可以把OGNL作为一个底层产品,它在功能实现中的设计缺陷,是如何能够被利用并远程执行恶意代码的,而不是完全在struts2这个产品的功能设计层面去讨论漏洞原由!什么是OGNL?OGNL是Object-Graph Navigation Language的缩写,它是一种功能强大的表达式语言(Expression Language,简称为EL),通过它简...
OGNL漏洞原理与解决方案
MoYanHanHuiLengMa的博客
12-09 1408
一,漏洞存在的地方和原理 Struts2的核心是使用的webwork框架,处理 action时通过调用底层的getter/setter方法来处理http的参数,它将每个http参数声明为一个ONGL(这里是ONGL的介绍)语句。当我们提交一个http参数: Java代码 ?user.address.city=Bishkek&user['favoriteDrink']=kumys...
57:代码审计-JAVA项目框架类漏洞分析报告
mingyqf的博客
06-21 598
思维导图过滤器&拦截器区别:struts执行流程Struts2详细执行流程自己总结:https://blog.csdn.net/qq_33322074/article/details/80137667Struts2漏洞,一般在传统企业会用一点,比如:物流,erp 等 ,面试的时候要求你了解Struts的执行流程 ,真实工作开发中一般用的少一些。BS架构web项目SpringMVC ,SpringBoot,SpringCloud 企业中用的相对多一些。struts2的defaultActionMappe
Struts2/XWork 安全漏洞及解决办法
weixin_30849403的博客
02-07 243
exploit-db网站在7月14日爆出了一个Struts2的远程执行任意代码的漏洞漏洞名称:Struts2/XWork < 2.2.0 Remote Command Execution Vulnerability相关介绍: http://www.exploit-db.com/exploits/14360/ http://seb...
Struts2.1.8 Ognl 漏洞浅析和解决方案
热门推荐
xlxxcc的专栏
08-21 1万+
前面的话   工作了好几点,一直都没有认认真真的去写过什么东西,趁着最近这段时间有空,总结一下这几年在工作中的一些经验,尤其是Struts2 Ognl 漏洞,当年不知道影响了多少个互联网企业。现在把他记录下来,作为对几年工作的一个回忆吧。   如果您是对Struts2不熟悉,又想测试Struts2 Ognl 漏洞的读者,请下先移步到Struts2 入门示例,里面有一个简单的Struts示例,
struts2漏洞分析及解决方案
12-04
struts2漏洞的分析,及解决方法,主要通过自定义一个拦截器来完成,简单有效
struts1漏洞总结及整改方案
08-07
因为最近攻防演练,对公司的资产进行梳理,发现部分应用还使用的struts1框架,所以赶快收集整理了相关的漏洞以及相关的整改方案。提供给大家。
Struts2漏洞检查工具2018版.rar
03-31
Struts2各版本漏洞扫描利用工具
Struts2 安全漏洞解决方法
09-15
Struts2 安全漏洞解析,距离上个版本发布仅仅过去1周,apache struts官网又发布struts2最新版本安全公告,主要修复了一个漏洞,代号S2-022:从漏洞简要描述来看,确定是对之前S2-021的补充。
Struts2漏洞浅析之Ongl代码执行分析
weixin_34013044的博客
07-22 262
一、简述2010年7月exploitdb爆出的《Struts2/XWork<2.2.0RemoteCommandExecutionVulnerability》,可以称之为神一样的漏洞,***者只要构造出合适的语句,就有很大的几率获得系统权限(System或者root,因为tomcat默认都会以这样的权限运行),而且时至今日存在这个漏洞的网站仍然大有存在。本文...
OGNL表达式注入漏洞要成为过去了吗?
u013224189的专栏
07-18 8451
起因 Struts2今年来爆出一系列安全漏洞,以至于在官方release页面,还专门罗列了各个版本对应的CVE漏洞,也算是一大奇观。 ![struts_release](https://img-blog.csdn.net/20180716180339458?watermark/2/text/aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3UwMTMyMjQxODk=/font/5a6...
7z apache解析漏洞_CVE202017530 Struts2 OGNL表达式执行漏洞分析
weixin_36032446的博客
12-16 339
极矛之端,铸盾之御0x01 漏洞简述昨晚收到s2-061的威胁情报,看了下内容:类似s2-059的漏洞,猜测漏洞大概还是从tag中引入,并且在评估时触发。官方建议升级至2.5.26版本修复,因此下载2.5.25和2.5.26 struts2 jar包进行diff,查看core包,结合漏洞公告所示,快速定位到修改的AbstractUItag,查看AbstractUITag,发现导入类变动:...
Struts2漏洞分析之Ognl表达式特性引发的新思路
HBohan的博客
07-10 691
摘要 在Ognl表达式中,会将被括号“()”包含的变量内容当做Ognl表达式执行。Ognl表达式的这一特性,引发出一种新的攻击思路。通过将恶意代码存储到变量中,然后在调用Ognl表达式的函数中使用这个变量来执行恶意的代码,从而实现攻击。 本文将会以CVE-2011-3923漏洞作为示例,描述这种利用思路的具体过程。但是,本文的内容绝不仅仅局限于这个漏洞,在实际的审计过程中,这种思路可以用来发现很多类似的漏洞。 背景介绍与原理分析 这个漏洞和CVE-2010-1870很相似,都是是通过Ognl表达式执行ja.
程序世界系列之-struts2安全漏洞引发的安全杂谈(上)
weixin_33725272的博客
07-25 437
目录: 1.讨论关于struts 安全问题。 2.黑客文化。 3.如何降低安全漏洞的出现。 4.忠告建议。 题记: 这篇文章本来很早应该和大家见面的,中间由于个人原因调整了系列文章发布时间,实属罪过。为了不误导大众文章中间讲述的经历想法实战,均属个人看法个人行为不代表任何团体及组织。观看者请保留自己的想法观点!欢迎各位热爱编程的技术人员交流。废话不多,开始正文。 1.讨论...
Apache Struts OGNL表达式注入漏洞
weixin_30693183的博客
06-07 1079
漏洞名称: Apache Struts OGNL表达式注入漏洞 CNNVD编号: CNNVD-201306-105 发布时间: 2013-06-07 更新时间: 2013-06-07 危害等级: 漏洞类型: 威胁类型: 远程 CVE编号: CVE-2013-2135 ...
ONGL表达式
暖心~的博客
09-17 6028
OGNL是对象图导航语言(Object-Graph Navigation Languaged)的缩写,他是一种功能强大的表达式语言,通过简单一致的表达式语法,可以存取Java对象的任意属性,调用对象的方法,遍历整个对象的结构图,实现字段类型的转化功能。他使用相同的表达式去存取对象的属性。如果吧表达式看作一个带有语义的字符串,那么OGNL无疑成为了这个语义字符串与java对象之间沟通的桥梁。OGNL是
struts2: OGNL表达式、OGNL表达式与struts2结合
weixin_39472341的博客
01-23 2093
OGNL表达式 OGNL:对象视图导航语言.  ${user.addr.name} 这种写法就叫对象视图导航. OGNL不仅仅可以视图导航.支持比EL表达式更加丰富的功能. 使用OGNL准备工作  导包:struts2 的包中已经包含了.所以不需要导入额外的jar包 。  代码准备 语法: 基本取值 赋值
struts2l漏洞
最新发布
07-27
Struts2是一个Java Web应用框架,曾经存在过一些安全漏洞。其中比较著名的是S2-045漏洞,它是一个远程代码执行漏洞,攻击者可以通过构造恶意的表达式注入攻击代码,并最终执行在服务器上。该漏洞影响了Struts2版本...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值