struts2 ongl漏洞解决方案

最新推荐文章于 2024-06-14 00:00:00 发布
最新推荐文章于 2024-06-14 00:00:00 发布
阅读量609 收藏 1
点赞数
分类专栏: java 文章标签: struts filter class null
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/familyGo/article/details/6687030
版权
  
采用比较简单的过滤器方式拦截掉攻击代码。
以下为解决方式:
过滤器代码:
package org.openxtiger.filter;
import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
public class CMSContextFilter implements Filter {
@Override
public void destroy() {
// TODO Auto-generated method stub
}
@Override
public void doFilter(ServletRequest request, ServletResponse response,FilterChain chain) throws IOException, ServletException {
request.setCharacterEncoding(“utf-8″);
HttpServletRequest req = (HttpServletRequest)request;
HttpServletResponse res = (HttpServletResponse)response;
String queryString = req.getQueryString();
System.out.println(“queryString=”+queryString);
if(queryString!=null && queryString.indexOf(“\\u0023″)>0){
System.out.println(“有攻击代码!”);
res.sendRedirect(“error.jsp”);
return;
} else {
System.out.println(“没有代码!”);
}
chain.doFilter(request, response);
}
@Override
public void init(FilterConfig cfg) throws ServletException {
}
}
web.xml中的相关配置:
<filter>
<filter-name>filter</filter-name>
<filter-class>
org.openxtiger.filterCMSContextFilter
</filter-class>
</filter><filter-mapping>
<filter-name>filter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
赵-旭-东
关注
专栏目录
OGNL漏洞原理与解决方案
MoYanHanHuiLengMa的博客
12-09 1554
一,漏洞存在的地方和原理 Struts2的核心是使用的webwork框架,处理 action时通过调用底层的getter/setter方法来处理http的参数,它将每个http参数声明为一个ONGL(这里是ONGL的介绍)语句。当我们提交一个http参数: Java代码 ?user.address.city=Bishkek&user['favoriteDrink']=kumys...
Struts2漏洞检查工具Struts2.2019.V2.3
01-25
"Struts2漏洞检查工具Struts2.2019.V2.3"是一个专门针对这些漏洞进行检测的工具,旨在帮助开发者和网络安全专业人员识别并修复Struts2框架中的安全问题。 Struts2的安全漏洞主要包括以下几类: 1. OGNL(Object-...
struts2--(5)--ongl
wliang11的专栏
04-03 758
struts2中,可以使用ognl表达式来获取值栈中相应的属性或action中对应的方法。下面是具体示例: 1.获取值栈中普通属性(相应action中的属性,它会存入value stack中) 访问值栈中的普通属性username:  这时要求,action中定义一个username的属性,并有get和set方法: private String username; public S
Struts2漏洞浅析之Ongl代码执行分析
weixin_34013044的博客
07-22 279
一、简述2010年7月exploitdb爆出的《Struts2/XWork<2.2.0RemoteCommandExecutionVulnerability》,可以称之为神一样的漏洞,***者只要构造出合适的语句,就有很大的几率获得系统权限(System或者root,因为tomcat默认都会以这样的权限运行),而且时至今日存在这个漏洞的网站仍然大有存在。本文...
Struts2/XWork 安全漏洞及解决办法
weixin_30849403的博客
02-07 260
exploit-db网站在7月14日爆出了一个Struts2的远程执行任意代码的漏洞漏洞名称:Struts2/XWork < 2.2.0 Remote Command Execution Vulnerability相关介绍: http://www.exploit-db.com/exploits/14360/ http://seb...
CVE Struts2 s2-062 ONGL漏洞复现
最新发布
8888的博客
06-14 799
{}解析OGNL表达式,对用户输入 的内容进行二次解析的时候,如果没有验证, 可能导致远程代码执行,他会自动计算结果,并把结果自动赋值给Struts的标签的地方,我们可以再试一下,我们将6*6改为 9*9。然而,值得注意的是,Struts2在某些版本中存在远程代码执行漏洞,因此在使用Struts2进行开发时,需要确保使用最新的、已经修复漏洞的版本,并采取必要的安全措施来保护应用程序的安全性。项目使用了%{}解析OGNL表达式,对用户输入 的内容进行二次解析的时候,如果没有验证, 可能导致远程代码执行。
全网最全Struts 2 全版本漏洞检测工具,最新struts漏洞更新
04-18
这个标题提到的是一个全面的Struts 2漏洞检测工具,旨在帮助开发者和安全专家识别并修复Struts 2框架中的各种安全漏洞Struts 2的安全问题主要源于其OGNL(Object-Graph Navigation Language)表达式语言的使用,...
基于Python的Struts2安全漏洞扫描工具设计源码
04-09
Struts2安全漏洞扫描工具 - 基于Python开发,包含21个文件,如WAR、GITIGNORE、...该项目为用户提供了一个Struts2安全漏洞扫描工具,通过界面交互和功能模块,为用户提供了一个高效、易用的安全漏洞检测解决方案
Spring+struts+hibernate漏洞解决方案
12-17
最近公司系统升级,整理出的漏洞解决方案
Struts2VulsTools-Struts2系列漏洞检查工具
11-05
该工具的打开路径为:\Struts2VulsTools-2.3.20190927\Test\bin\Release\Text.exe 2019-09-25: 优化部分EXP在部分情况下被WAF拦截的问题,提高检测成功率,优化自定义上传路径exp,文件所在目录不存在时自动创建...
OGNL设计及使用不当造成的远程代码执行漏洞
weixin_34061555的博客
03-08 539
紫气东来 · 2013/07/19 14:48我们可以把OGNL作为一个底层产品,它在功能实现中的设计缺陷,是如何能够被利用并远程执行恶意代码的,而不是完全在struts2这个产品的功能设计层面去讨论漏洞原由!什么是OGNL?OGNL是Object-Graph Navigation Language的缩写,它是一种功能强大的表达式语言(Expression Language,简称为EL),通过它简...
57:代码审计-JAVA项目框架类漏洞分析报告
mingyqf的博客
06-21 801
思维导图过滤器&拦截器区别:struts执行流程Struts2详细执行流程自己总结:https://blog.csdn.net/qq_33322074/article/details/80137667Struts2漏洞,一般在传统企业会用一点,比如:物流,erp 等 ,面试的时候要求你了解Struts的执行流程 ,真实工作开发中一般用的少一些。BS架构web项目SpringMVC ,SpringBoot,SpringCloud 企业中用的相对多一些。struts2的defaultActionMappe
Struts2.1.8 Ognl 漏洞浅析和解决方案
热门推荐
xlxxcc的专栏
08-21 1万+
前面的话   工作了好几点,一直都没有认认真真的去写过什么东西,趁着最近这段时间有空,总结一下这几年在工作中的一些经验,尤其是Struts2 Ognl 漏洞,当年不知道影响了多少个互联网企业。现在把他记录下来,作为对几年工作的一个回忆吧。   如果您是对Struts2不熟悉,又想测试Struts2 Ognl 漏洞的读者,请下先移步到Struts2 入门示例,里面有一个简单的Struts示例,
OGNL表达式注入漏洞要成为过去了吗?
u013224189的专栏
07-18 8558
起因 Struts2今年来爆出一系列安全漏洞,以至于在官方release页面,还专门罗列了各个版本对应的CVE漏洞,也算是一大奇观。 ![struts_release](https://img-blog.csdn.net/20180716180339458?watermark/2/text/aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3UwMTMyMjQxODk=/font/5a6...
struts2框架漏洞复现
Bird&Bird
01-07 4919
目录1、S2-001远程代码执行漏洞(CVE-2007-4556)漏洞简介影响范围漏洞复现S2-005 远程代码执行漏洞(CVE-2010-1870)漏洞简介影响版本绕过过程漏洞复现 1、S2-001远程代码执行漏洞(CVE-2007-4556) 漏洞简介 当用户提交表单数据并验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。 影响范围 Struts 2.0.0 - 2.0.8 漏洞复现 输入%{1+1},返回2就是存在该漏洞。 获取
struts2架构网站漏洞修复详情与利用漏洞修复方案
weixin_34319111的博客
12-03 1375
struts2从开发出来到现在,很多互联网企业,公司,平台都在使用apache struts2系统来开发网站,以及应用系统,这几年来因为使用较多,被攻击者挖掘出来的struts2漏洞也越来越,从最一开始S2-001到现在的最新的s2-057漏洞,本文着重的给大家介绍一下struts2漏洞的利用详情以及漏洞修复办法。 先从1开始吧,S2-001影响的版本...
Struts2 OGNL 漏洞
weixin_34194087的博客
11-23 643
2019独角兽企业重金招聘Python工程师标准>>> ...
Maven Struts2
十年彩虹
09-10 657
org.apache.struts struts2-core ${struts.version} org.apache.struts struts2-json-plugin ${struts.version} org.apache.struts struts2-spring-plugin ${struts.version}
Struts2Ongl的使用
qq_38334528的博客
05-18 551
介绍:OGNL表达式   什么是表达式?  具有特殊意义的一串由数字、英文、和符号组成的式子OGNL 存放东西用的 对象 变量  表达式 来快速的定位到整个变量maven中央仓库地址  &lt;!-- https://mvnrepository.com/artifact/ognl/ognl --&gt;&lt;dependency&gt; &lt;groupId&gt;ognl&lt;/gr...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值