SSH struts2漏洞升级2.5.30

已于 2022-04-24 09:05:20 修改
阅读量2k 收藏 1
点赞数 1
文章标签: java tomcat struts myeclipse
于 2022-04-22 15:39:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58112279/article/details/124341118
版权

1、背景

项目使用jdk1.7、tomcat7,在升级struts2.5.30版本中jar包出现不少问题

2、升级步骤

  2.1、删除项目中旧jar包

        

其中xwork-2.0.5.jar被整合进struts2-core中

  2.2、替换jar包

                

  2.3、更改web.xml文件

        修改路径:tomcat\webapps\ceims\WEB-INF

        原先的路径为<filter-class>org.apache.struts2.dispatcher.FilterDispatcher</filter-class>
        修改为 org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter

  <filter>
    <filter-name>struts2</filter-name>
    <filter-class>org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter</filter-class>
  </filter>

  2.4、修改struts.xml文件

        修改路径:Tomcat\webapps\ceims\WEB-INF\classes

     2.4.1、原头文件如下

<!DOCTYPE struts PUBLIC
    "-//Apache Software Foundation//DTD Struts Configuration 2.0//EN"
    "http://struts.apache.org/dtds/struts-2.0.dtd">

        将2.0修改成2.5即可

     2.4.2、struts2从2.5版本开始,为了提升安全性,默认开启了严格的方法调用

        如果要使用通配符*,必须在package中设置 strict-method-invocation="false",修改如下

<package name=""  namespace="/" extends="json-default" strict-method-invocation="false"><!-- 启用通配符 -->
    <global-results>
		<result name="" type="json">
            <param name=""> </param>
        </result>
	</global-results>
    <action name="" class=""  method=""> </action>
</package>

     2.4.3、新增constant配置

<!--action设置动态访问-->
<constant name="struts.enable.DynamicMethodInvocation" value="true"/>
<!--该属性指定需要Struts2处理的请求后缀,该属性的默认值是action,即所有匹配*.action的请求都由Struts2处理-->
<constant name="struts.action.extension" value="action"/>

   2.5 、新增log4j2.xml文件

        保存路径:Tomcat\webapps\ceims\WEB-INF\classes

文件内容:

<?xml version="1.0" encoding="UTF-8"?>
<Configuration status="WARN">

    <!--全局参数-->
    <Properties>
        <!-- <Property name="pattern">%d{yyyy-MM-dd HH:mm:ss,SSS} %5p %c{1}:%L - %m%n</Property> -->
        <Property name="pattern">%d %p [%c] - %m%n</Property>
        <Property name="logDir">../logs</Property>
    </Properties>

    <Loggers>
        <Root level="INFO">
            <AppenderRef ref="console"/>
            <AppenderRef ref="rolling_file"/>
        </Root>
    </Loggers>

    <Appenders>
        <!-- 定义输出到控制台 -->
        <Console name="console" target="SYSTEM_OUT" follow="true">
            <!--控制台只输出level及以上级别的信息-->
            <ThresholdFilter level="INFO" onMatch="ACCEPT" onMismatch="DENY"/>
            <PatternLayout>
                <Pattern>${pattern}</Pattern>
            </PatternLayout>
        </Console>
        <!-- 同一来源的Appender可以定义多个RollingFile,定义按天存储日志 -->
        <RollingFile name="rolling_file"
                     fileName="${logDir}/ceims.log"
                     filePattern="${logDir}/ceims_%d{yyyy-MM-dd}.log">
            <ThresholdFilter level="INFO" onMatch="ACCEPT" onMismatch="DENY"/>
            <PatternLayout>
                <Pattern>${pattern}</Pattern>
            </PatternLayout>
            <Policies>
                <TimeBasedTriggeringPolicy interval="1"/>
            </Policies>
            <!-- 日志保留策略,配置只保留七天
            <DefaultRolloverStrategy>
                <Delete basePath="${logDir}/" maxDepth="1">
                    <IfFileName glob="dust-server_*.log" />
                    <IfLastModified age="7d" />
                </Delete>
            </DefaultRolloverStrategy> -->
        </RollingFile>
    </Appenders>
</Configuration>

3、遇到的问题

报错

java.lang.NoSuchMethodError: org.apache.commons.lang3.text.StrSubstitutor.setValueDelimit

解决方法:删除掉冲突的artemis-http-client-1.0.1-SNAPSHOT.jar

weixin_58112279
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
SSHStruts2框架(Action的配置)
流年少年
11-25 5628
Struts2的核心功能是action,对于开发人员来说,使用Struts2主要就是编写action,action类通常都要实现com.opensymphony.xwork2.Action接口,并实现该接口中的execute()方法。 该方法如下:    public String execute() throws Exception Struts2并不是要求所有编写的act
Struts2.0.11升级2.5.30
qq_38701464的博客
10-12 1280
Struts2.0.11升级2.5.30
struts1.2升级struts2.5.30问题汇总
qq3892997的博客
02-22 1868
struts1.2升级struts2.5.30问题汇总
ssh项目中strust2从2.0.11升级到2.3.15.1详细步骤
喝拉菲的猫
03-28 153
ssh项目中strust2从2.0.11升级到2.3.15.1详细步骤 一、替换jar包   将下列jar包   asm-1.5.3.jar   cglib-2.1_3.jar   commons-beanutils-1.8.0.jar   commons-fileupload-1.2.1.jar   commons-io-1.4.jar   commons-lang-2.0.j...
Struts2升级版本到2.5.30遇到的一些问题和解决方式
于采柳的博客
04-21 4578
一、背景 由于Struts2被爆出了远程执行漏洞需要升级版本到2.5.30解决 目前程序使用的struts2-core版本是2.3.32,spring版本是2.5.6,commons-lang3版本是3.1,jdk版本1.6 maven项目管理 二、解决方案 升级Struts2-core包版本,升级jdk版本,升级spring版本 升级Struts2-core包版本,升级jdk版本 三、解决过程 首先在pom文件中升级Struts2-core包的版本至2.5.30进行个简单的编译看有什么变化,结果
struts2.5.30 + spring + hibernate3
05-11
Struts2.5.30、Spring和Hibernate3是经典的Java后端开发框架组合,用于构建企业级Web应用程序。这个组合提供了模型-视图-控制器(MVC)架构,依赖注入(DI)以及对象关系映射(ORM)等功能,极大地提高了开发效率和...
sshstruts-2.5+spring4+hibernate5
06-22
简单的ssh项目,泛型BaseAction配置,简单注解配置,applicationContext.xml配置,jar包地址 链接:https://pan.baidu.com/s/14NkywuhG6mESyhE1VMkhOQ 密码:en19
ssh框架struts2 spring hibernate
10-23
SSH框架,全称为Struts2、Spring和Hibernate的组合,是Java Web开发中常见的三大开源框架集成。它们分别负责Web层、服务层和持久层的管理,构建出高效、灵活的企业级应用程序。 Struts2是MVC(Model-View-...
sshdemo使用的包,struts2.5.30+spring5.2.3+hibernate5.4.11+mysql-jdbc+
04-13
标题中的"sshdemo使用的包"指的是一种基于SSHStruts2、Spring、Hibernate)框架的演示项目,其中还包含了MySQL和Oracle两种数据库的JDBC驱动,这是一套常见的Java Web开发技术栈。让我们详细了解一下这些技术: 1...
SSH.zip_ssh struts2
09-19
这个"SSH.zip_ssh struts2"压缩包文件显然包含了关于如何将这三个框架整合到一起的信息,特别是针对Struts2的实践测试版本。以下是相关的知识点详解: 1. **Struts2**:Struts2是一个基于MVC(Model-View-...
Struts2升级2.5.30,问题解决及过程记录
05-05
Struts2升级2.5.30,问题解决及过程记录, 文章详见:https://blog.csdn.net/sinat_36743893/article/details/124582101
如何修复ssh漏洞进行版本升级
最新发布
Liu_Fang_Hong的博客
07-09 5573
详细描述 在通过启用了X11转发的SSH登录时,sshd(8)没有正确地处理无法绑定到IPv4端口但成功绑定到IPv6端 口的情况。在这种情况下,使用X11的设备即使没有被sshd(8)绑定也会连接到IPv4端口,因此无法安全的进行转 发。 恶意用户可以在未使用的IPv4端口(如tcp 6010端口)上监听X11连接。当不知情的用户登录并创建X11转 发时,恶意用户可以捕获所有通过端口发送的X11数据,这可能泄露敏感信息或允许以使用X11转发用户的权限执
struts2-core-2.3.15.1遇到两个漏洞升级最新版【Struts 2.5.26】
JEFFYU328的专栏
04-20 1406
一、背景 一个老网站Struts2版本struts2-core-2.3.15.1,遇到两个漏洞。 ①被查到存在编号【Struts2 S2-045 远程命令执行漏洞,CVE编号CVE-2017-5638】;受影响版本:【Struts 2.3.5 – Struts 2.3.31 Struts 2.5Struts 2.5.1】。 ②升级版本过程中查询到存在另一个漏洞。计划升级到相近版本2.3.37。但在查询网上帮助时,发现有另一个漏洞;【Struts2 S2-061 远程代码执行漏洞(CVE-202.
报错 java.lang.NoSuchMethodError: org.apache.commons.lang3.StringUtils.repacePattern()
happyzxs的博客
08-12 5606
异常现象 : 编译时正常,压住ctrl + 鼠标单击StringUtils 发现引用的是 commons-lang3-3.2.1.jar中的StringUtils.class。 eclipse 启动项目执行正常不报错。 部署到linux 执行报错java.lang.NoSuchMethodError: org.apache.commons.lang3.StringUtils.r...
NoSuchMethodError 常见原因及解决方法
qq_30062771的博客
04-04 3212
在环境部署的时候,因为是整个拷贝,遗留的历史jar包没有对应删除,导致加载的不同的jar包中存在相同的class类。IOUtils类中没有readFully()方法,通过反编译工具查找这个class类对应的jar包发现,其中一个jar包的类中的确缺少这个方法,但是另外一套环境,包括本地代码环境运行时却没有发现这个问题。这说明在编译期没有报错,运行时,报错,然后后面导致进程终止,程序异常,并且此异常并没有在Log4J的log日志中体现,一开始排查并没有找到这个报错,查看nohup后台日志发现这个错误。
struts2升级2.5.30遇到的问题
vifaceeeeee的博客
05-11 1252
1、升级的jar包(根据项目调整,将老jar包删掉,最后2个是必须) 2、UeditorStrutsFilter改为extendsStrutsPrepareAndExecuteFilter //调整前 import org.apache.struts2.dispatcher.FilterDispatcher; public class UeditorStrutsFilter extends FilterDispatcher{} //调整后 import org.apache.strut...
Structs2.0.11.1升级2.5.30
weixin_40781373的博客
04-19 744
Structs2.0.11.1升级2.5.30
Struts2升级2.5.30的那些坑
weixin_44254243的博客
04-18 9605
1.版本修改 将pom.xml 文件修改为2.5.30版本 <properties> <struts2-version>2.5.30</struts2-version> </properties> <dependencies> <dependency> <groupId>org.apache.struts</groupId> <artifactId>s
漏洞:CVE-2021-31805——升级struts版本2.0.6-2.5.30
weixin_49439135的博客
04-28 1265
漏洞:CVE-2021-31805——升级struts版本2.0.6-2.5.30一、切换jar包更改配置二、页面标签修改三、异常原因分析 漏洞描述 Apache struts2部分版本存在漏洞,对不受信任的用户输入使用强制OGNL可能导致远程代码执行,黑客可利用该漏洞控制服务器。 一、切换jar包更改配置 切换jar包: struts2-core-2.5.30.jar struts2-spring-plugin-2.5.30.jar 删除 xwork-2.0.4 这个包已经包含在了struts
ssh配制文件详解
02-13
在这段描述中,讨论了两个主题:SSH配制文件和Struts2+Hibernate+Spring各种配制文件。下面将对两个主题进行详细描述。 一、SSH配制文件详解 SSH是指Struts2+Spring+Hibernate,是一种常用的Java Web应用程序开发...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值