struts漏洞解决方法

最新推荐文章于 2021-08-18 15:44:09 发布
最新推荐文章于 2021-08-18 15:44:09 发布
阅读量1k 收藏
点赞数
分类专栏: java基础 文章标签: struts
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sjxos/article/details/62276860
版权
解决方案:
1、删除jar包
freemarker-2.3.8.jar               
 xwork-2.0.7.jar                                    
 ognl-2.6.11.jar                            
 struts2-core-2.0.14.jar                    
 struts2-jfreechart-plugin-2.0.11.jar       
 struts2-spring-plugin-2.0.11.jar
2、新增jar包
commons-lang3-3.2.jar                      
 freemarker-2.3.22.jar                      
 javassist-3.11.0.GA.jar                    
 ognl-3.0.14.jar                            
 struts2-config-browser-plugin-2.3.28.1.jar 
 struts2-core-2.3.28.1.jar                  
 struts2-jfreechart-plugin-2.3.28.1.jar     
 struts2-json-plugin-2.3.28.1.jar           
 struts2-spring-plugin-2.3.28.1.jar         
 xwork-core-2.3.28.1.jar      
3、修改web.xml文件
 将原先的过滤器配置
    
        struts2
        
            org.apache.struts2.dispatcher.FilterDispatcher
         
    
替换为
    
        struts2
        
            org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter
         
    
4、修改struts.xml文件(可选)
 如果之前有模块的struts配置文件使用了动态代理,而且升级后之后还要继续使用这一特性,则要在struts.xml文件中,打开动态代理。配置入下:
 <constant name="struts.enable.DynamicMethodInvocation" value="true"/>


并同时修改模块的strutsxxx.xml文件中的写法,将原先的:        

<result name="add" type="redirect-action">msgShow_add?opType=add&amp;msgFlag=2&amp;msg=success</result> 

更改为:

<result name="add" type="redirectAction">msgShow_add?opType=add&amp;msgFlag=2&amp;msg=success</result>
  

5、升级后jsp页面中如果使用了自定义标签,如v_maxlength,v_minlength等,会由于不识别而报错。需要将struts2-core-2.1.1.jar中的几个文件,替换为原先老版本中的struts2-core-2.0.14.jar中的对应文件。因为原先的jar包中已经将这几个文件做了修改,添加了对这些自定义标签的支持。需要替换的文件如下:
 (1)struts2-core-2.1.1.jar解压后里面有个template目录,下面是标签的格式,你可以修改的 

标签定义的META-INF目录下,有个文件struts-tags.tld


(2)所有要修改的文件




sjxos
关注
专栏目录
struts1漏洞总结及整改方案
08-07
因为最近攻防演练,对公司的资产进行梳理,发现部分应用还使用的struts1框架,所以赶快收集整理了相关的漏洞以及相关的整改方案。提供给大家。
jboss与struts漏洞解决
08-13
《JBoss与Struts漏洞解决详解》 在信息技术领域,安全问题始终是不容忽视的关键环节。本文主要针对两个常见的漏洞——JBoss漏洞Struts漏洞,详述其情况、影响以及解决方案,旨在帮助用户理解漏洞的危害并采取有效...
Struts1.x 跨站脚本(XSS)漏洞解决
ab316600的博客
10-25 276
一. 演示XSS 当访问一个不存在的网址时,例如[url]http://localhost:8080/demo/noAction.do[/url],那么Struts处理后都会跳到提示“Invalid path /noAtcion.do was requested”的页面。 但如果我们访问的网址是[url]http://localhost:8080/demo/<script&...
程序世界系列之-struts2安全漏洞引发的安全杂谈(上)
weixin_33725272的博客
07-25 447
目录: 1.讨论关于struts 安全问题。 2.黑客文化。 3.如何降低安全漏洞的出现。 4.忠告建议。 题记: 这篇文章本来很早应该和大家见面的,中间由于个人原因调整了系列文章发布时间,实属罪过。为了不误导大众文章中间讲述的经历想法实战,均属个人看法个人行为不代表任何团体及组织。观看者请保留自己的想法观点!欢迎各位热爱编程的技术人员交流。废话不多,开始正文。 1.讨论...
重现Struts1的操纵classLoader漏洞
sunxing007的专栏
05-15 7650
注:本文仅限技术研究,探讨,测试使用 2014年4月29日爆出的struts的可操纵classLoader的漏洞, 横跨struts1和struts2的所有版本。 影响面和问题的严重性几乎可以和heartbleed相媲美。 struts2要严重一些,对于struts1,只是说在特定条件下可执行特殊操作。 因为项目中用的是struts1,所以主要精力集中在struts1上。既然要修复漏洞
Struts框架漏洞
小小猪的博客
08-18 1299
Struts框架漏洞 Struts-S2-013漏洞利用 不妨先来看下index.jsp中标签是怎么设置的 <p><s:a id="link1" action="link" includeParams="all">"s:a" tag</s:a></p> <p><s:url id="link2" action="link" includeParams="all">"s:url" tag</s:url></p&
struts2漏洞解决
11-16
在"struts2漏洞解决"这个主题下,我们需要关注以下几个关键知识点: 1. **Struts2漏洞概述**:Struts2框架在处理用户输入时,如果存在不当的类型转换或对象初始化,可能导致远程代码执行(RCE)漏洞。这些漏洞通常...
Struts2 安全漏洞解决方法
09-15
Struts2 安全漏洞解析,距离上个版本发布仅仅过去1周,apache struts官网又发布struts2最新版本安全公告,主要修复了一个漏洞,代号S2-022:从漏洞简要描述来看,确定是对之前S2-021的补充。
关于struts2漏洞问题及解决办法
04-21
这篇博客文章“关于struts2漏洞问题及解决办法”可能详细探讨了Struts2框架中的一些关键安全问题,以及如何通过更新、配置优化或使用安全工具来应对这些问题。 首先,Struts2最臭名昭著的漏洞是S2-045,这是一个...
struts1.3.15.1高危漏洞修复版ssh包
08-15
ssh1.3.15.1-struts最新高危漏洞修复版ssh整合jar包。解压后直接buildPath.
Struct2命令执行漏洞
Jim的博客
08-22 1541
Struct2漏洞产生原因: 1.Apache Struts2的“Dynamic Method Invocation”机制是默认开启的,仅提醒用户如果可能的情况下关闭此机制,如果未关闭此机制将导致远程代码执行漏洞,远程攻击者可利用此漏洞在受影响应用上下文中执行任意代码。 2.Apache Struts2在实现过程中使用了OGNL表达式,并将用户通过URL提交的内容拼接入OGNL表达式中,当de
2017年3月Apache Struts2报高危漏洞一枚附漏洞解决方案
huckers的博客
03-08 2570
Struts2是当今最出色的J2EE框架之一,目前多数公司企业依然大面积使用其作为电商,金融等项目的底层框架。近期,安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现 Struts2存在远程代码执行的严重漏洞。目前Struts2官方已经确认漏洞(漏洞编号S2-045,CVE编号:cve-2017-5638),并定级为高危风险。 该漏洞是基于Jakarta...
漏洞公告】CVE-2017-9791:Struts(S2-048)远程命令执行漏洞
chengli1824的博客
07-11 569
了解更多技术文章请点击原文链接 2017年7月7日,ApacheStruts发布最新的安全公告,漏洞编号为S2-048,该漏洞存在Struts2Struts1一个Showcase插件Action Message类中,通过构建不可信的输入实现远程命令攻击,存在安全风险。 具体详情如下...
struts漏洞
MoYanHanHuiLengMa的博客
07-19 585
struts.devModel 是struts的开发模式  默认值是false                        产品模式                                                                          true                          开发模式(优点:明显提高开发效率。会提供更多的日志和de
Apache Struts 多个开放重定向漏洞(CVE-2013-2248)
weixin_30646315的博客
07-18 736
漏洞版本: Struts < 2.3.15.1 漏洞描述: BUGTRAQ ID: 61196 CVE(CAN) ID: CVE-2013-2248 Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。它是WebWork和Struts社区合并后的产物。 Apache Struts 2.0.0没...
java struts 漏洞_Struts2.1.8以下的漏洞
weixin_31961675的博客
02-24 112
?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")...
关于struts漏洞
BeALittleCat的专栏
02-15 1075
(文章出处:阿里云社区  漏洞扫描 > 技术运维问题 > 技术分享 > Struts2代码执行漏洞) Apache Struts s2-005 远程代码执行漏洞(CVE-2010-1870)  受影响版本: Struts 2.0.0 - Struts 2.1.8.1 漏洞描述: 在Struts2中访问OGNL的上下文对象必须要使用#符号,S2-003的修复方案中对#号
Struts 漏洞
weixin_30530339的博客
05-02 784
1.Struts 远程执行漏洞(很早的)       起因:.do:以do为扩展名的网页文件是java语言写的,以Struts为框架的;它的运行环境是tomcat,weblogic等;通常用的数据库有oracle,mysql,mssql,access等。网页后台程序是*.jsp 或者 struts的组件文件*.do;.do一般是servlet的映射。j2ee平台,基于struts框架开发;*.d...
Struts与JBoss安全漏洞修复详解与防范措施
解决这两个问题的最佳实践是更新Struts2至最新版本,但考虑到可能存在的包冲突,文档推荐了一种相对简单的方法:通过编写actionFilter过滤器来限制这些危险的URL操作。 具体的修复步骤包括: 1. 创建一个名为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值