摘要:
Apache官方今天晚上发布安全公告(官方编号S2-032/CVE编号CVE-2016-3081),Apache Struts2服务在开启动态方法调用(DMI)的情况下,可以被远程执行任意命令,安全威胁程度高。 这一漏洞影响的软件版本为2.3.20-2.3.28,不过2.3.20.2、2.3.24. 阅读全文
摘要:
众所周知,默认条件下,在浏览器输入indexAction!execute.action,便会执行indexAction类里的execute方法,这样虽然方便,但可能带来安全隐患,通过url可以执行Action中的任意方法。 想要禁止调用动态方法,则要在struts.xml中通过constant元素将 阅读全文