struts2漏洞
- struts2漏洞
1、该漏洞因用户提交表单数据并验证失败时,后端会将用户之前提交的参数使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL表达式解析,直接可以构成payload进行命令执行。
2、特征:访问的目录为.atcion或.do;content-type的值是默认的,返回的页面可能也会有struts2字样。
本文作者:予遂计划
本文链接:https://www.cnblogs.com/ysjh/p/18743218
版权声明:本作品采用知识共享署名-非商业性使用-禁止演绎 2.5 中国大陆许可协议进行许可。
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步