怎么解决Struts2 URL跳转S2-017 的问题

最新推荐文章于 2020-01-11 10:27:20 发布
最新推荐文章于 2020-01-11 10:27:20 发布
阅读量1.2k 收藏
点赞数
分类专栏: 自己学习使用的一些小记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42638610/article/details/89551869
版权

出现的问题:在访问网站的路径后面加上 ?redirect:http://www.anonymous.com/  可以直接通过网址重定向到指定的网站

 解决的办法: 

  创建一个实体类继承DefaultActionMapper 来重写里面的一些方法

 

import org.apache.struts2.dispatcher.mapper.ActionMapping;
import org.apache.struts2.dispatcher.mapper.DefaultActionMapper;
import org.apache.struts2.dispatcher.mapper.ParameterAction;

import javax.servlet.http.HttpServletRequest;
import java.util.HashSet;
import java.util.Iterator;
import java.util.Map;
import java.util.Set;

public class MyDefaultActionMapper extends DefaultActionMapper {

    public void handleSpecialParameters(HttpServletRequest request, ActionMapping mapping) {
        Set uniqueParameters = new HashSet();
        Map parameterMap = request.getParameterMap();
        for (Iterator iterator = parameterMap.keySet().iterator(); iterator.hasNext();) {
            String key = (String) iterator.next();

            if ((key.endsWith(".x")) || (key.endsWith(".y"))) {
                key = key.substring(0, key.length() - 2);
            }

            // -- jason.zhou 20130708 add start -- //
            if ((key.contains("redirect:")) || (key.contains("redirectAction:")) || (key.contains("action:"))) {
                return;
            }
            // -- jason.zhou 20130708 add end -- //

            if (!uniqueParameters.contains(key)) {
                ParameterAction parameterAction = (ParameterAction) this.prefixTrie.get(key);
                if (parameterAction != null) {
                    parameterAction.execute(key, mapping);
                    uniqueParameters.add(key);
                    break;
                }
            }
        }
    }




}

 

//重写完需求类之后注入到strtus.xml  配置文件中

 

<!-- 为修复struts2 s2-016、s2-017漏洞,重写DefaultActionMapper -->
<bean type="org.apache.struts2.dispatcher.mapper.ActionMapper" name="myDefaultActionMapper" class="com.supersense.mw.action.MyDefaultActionMapper" />
<constant name="struts.mapper.class" value="myDefaultActionMapper" />

//重新启动项目,发现项目路劲后面拼接重定向和转向则无法实现跳转

布偶猫葵葵
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
struts2 最新漏洞 S2-016、S2-017修补方案 .docx
08-01
struts2 最新漏洞 S2-016、S2-017修补方案 .docx
struts2-016/017漏洞解决
03-21
在不升级原框架的基础上解决漏洞
Struts s2-016 s2-017 补丁
09-27
对Struts s2-016 s2-017的官方修复建议是升级struts, 但对正在运行的系统,许多依赖包会导致运行出错, 直接更改代码是更快的选择. 本补丁是针对 struts2-core-2.0.11.jar 的修改, 把文件中 bin下的文件直接copy到 web-inf/classes下, 重启web server, 就可解决问题(代码修改采用 jason.zhou 的方案, 做了一点改动), 源码在压缩文件的src目录下
struts2_S016_S017_repair
02-14
官方描述: S2-016:https://cwiki.apache.org/confluence/display/WW/S2-016 S2-017:https://cwiki.apache.org/confluence/display/WW/S2-017 官方建议修复方案:升级到最新版本 struts-2.3.15.1 但通常现有系统升级,可能导致不稳定及与其他框架比如spring等的不兼容,成本较高。 鉴于此csdn网友jzshmyt整理了一种既可以不用升级现有struts版本,有能完美解决这两个漏洞的方案,
Struts2_s2-016&017&ognl2.6.11_patch漏洞补丁
07-25
struts.xml文件中新增以下内容: struts2_s2-016&017_patch.jar拷贝到lib目录下。 ognl-2.6.11.jar直接覆盖掉原有文件。 使用工具进行测试漏洞是否依然存在。 2013年7月25日
struts2 最新漏洞 S2-016、S2-017修补方案
a1314loveyou的专栏
07-18 1290
昨天struts2爆了一个好大的漏洞,用道哥的话来说就是:“今天下午整个中国的黑客圈像疯了一样开始利用这个漏洞黑网站,大家可以感受一下。” 看下乌云这两天的数据: 相关报道: 灾难日:中国互联网惨遭Struts2高危漏洞摧残 Struts2被曝重要漏洞,波及全系版本 官方描述: S2-016:https://cwiki.apache.org/confluence/display...
修复漏洞--Struts2远程命令执行S2-016/S2-017
qq_38281963的博客
11-28 2319
问题描述:该问题是由于Struts2框架,主要是2.2之前版本漏洞所造成的,漏洞会引起数据泄露和容易被黑客攻击。 解决思路1:可以对现有工程进行maven版本更新,升级到2.3,但是版本升级一般费时费力 解决思路2:下载当前工程使用的Struts2版本源码,修改DefaultActionMapper中handleSpecialParameters方法 因为本项目版本依赖复杂,版本升级难度较大...
struts2中的跳转详解 ----“请求转发”和“重定向”之间的区别
yonglongwang的专栏
04-14 2581
Struts2的ResultType和Action处理链  Struts2的结果类型 在struts-default.xml中定义了Struts2内置的所有可用的 所有的Struts2结果处理类都要直接或间接的实现com.opensymphony.xwork2.Result接口 在struts-default.xml中的里面,有这样一行声明 Deprecated name form
Struts2基础之三:URL路径的跳转 和basePath
thewebcode
10-12 380
一:URL经过Struts找到jsp的流程 上一个示例的URL是http://127.0.0.1:8080/Struts2Project01/myAction01,以它为例: 1. “127.0.0.1:8080/” 会找到Tomcat下web应用的根目录 2. “Struts2Project01” 是tomcat的项目,既然是tomcat的项目 就会先检查其中的web.xml文...
Struts2 高危漏洞修复方案 (S2-016/S2-017)
傾城如夢的专栏
08-27 110
建忠 闫. 于 星期四, 08/08/2013 - 08:09 提交 近期Struts2被曝重要漏洞,此漏洞影响struts2.0-struts2.3所有版本,可直接导致服务器被远程控制从而引起数据泄漏,影响巨大,受影响站点以电商、银行、门户、政府居多. 官方描述: S2-016:https://cwiki.apache.org/confluence/display/WW/S...
struts2漏洞s2-045,不升级jar版本的修补方法,已验证.docx
07-04
0、这是一个简单、暴力、治根的补漏方法 1、struts2漏洞s2-045,不升级jar版本的修补方法,已验证
Struts2简单的页面跳转示例
11-19
初学Struts2,写了一个简单的用struts2实现页面跳转的功能。高手勿喷
struts2反序列化漏洞,存在s2-005、s2-016、s2-016_3、s2-017
08-28
struts2.0反序列化漏洞,存在s2-005、s2-016、s2-016_3、s2-017等漏洞解决方案,已升级可用
java 代码获取当天24小时的整点时间
weixin_42638610的博客
08-14 9492
Date day=new Date(); SimpleDateFormat df = new SimpleDateFormat("yyyy-MM-dd 00:00:00"); SimpleDateFormat format=new SimpleDateFormat("yyyy-MM-dd HH:mm:ss"); String s = df.format(day); Date date = df....
java三元运算符最简单的格式
weixin_42638610的博客
11-14 5240
package www.study; import javax.swing.plaf.basic.BasicInternalFrameTitlePane; public class Study01 { /* * 多行注解的快捷键 ctrl+shift+/ * */ public static void main(String[] args) { int ...
js 中从文件的路径获取相应的文件名
weixin_42638610的博客
01-11 2254
var value="http://114.116.37.87:8084/garbageClassifyManageSystem/resources/images/5bfaee44d70eae6b8f918bb4f626e010.mp4";pos = value.lastIndexOf('/'); str = value.substr(pos+1); ...
mysql 中查询当天的某一个时间段的sql 语句怎么写
weixin_42638610的博客
07-31 1794
SELECT * FROM t_device_value_hour WHERE ( create_time >= date(now()) AND create_time < DATE_ADD(date(now()), INTERVAL 1 DAY) ) AND time(create_time) BETWEEN time(...
svn 服务器之间本地仓库数据的迁移
weixin_42638610的博客
03-13 1461
有2种方式: 第一种方式:直接将本地自己dowm下来的代码导入到本地svn服务器上。(缺陷是:没有把版本号同步上来,这种领导说不行,也不建议用这种方式) 第二种方式:操作原始svn服务器,将原始svn服务器上需要导出的仓库进行备份,文件以dump的方式呈现。(这种方式更合适) 备份思路是: 第一步:将准备要迁移的仓库导出 svnadmin dump 第二步:在目标服务器上创建新的仓库 第三步:导...
freemarker 在生成word 的时候同时动态插入图片
weixin_42638610的博客
01-22 1319
  @RequestMapping(value = "downLoadWord", method = RequestMethod.GET) public void downloadExcel(String constCheckId, HttpServletResponse response) throws IOException, TemplateException { Co...
s2-016 struts2 修复
最新发布
10-15
s2-016是一个Struts2框架中的安全漏洞,修复此漏洞的方式是升级Struts2版本。 首先,我们需要确定当前使用的Struts2版本。通过查看项目依赖或者查看项目中的Struts2相关配置文件,可以得知当前使用的Struts2版本号...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值