摘要:
exploit-db网站在7月14日爆出了一个Struts2的远程执行任意代码的漏洞。 漏洞名称:Struts2/XWork 这样的标签在struts2.0中是可以使用的,但是新版中就不解析了,原因就是“#”的问题导致的,补了漏洞,正常的使用也用不了了。所以sebug网站上的建议升级到2.2版本是不可行的。2.struts参数过滤。Java代码 .*\\u0023.*这个可以解决漏洞问题,缺点是工作量大,每个项目都得改struts配置文件。如果项目里,是引用的一个类似global.xml的配置文件,工作量相应减少一些。3.在前端请求进行过滤。比如在ngnix,apache进行拦截,参数中带有\ 阅读全文
