struts2.1.8.1升级至2.3.28步骤:
Apache Struts 2是世界上最流行的Java Web服务器框架之一。然而不幸的是,有安全研究员在Struts 2上发现了一枚远程代码执行漏洞。 目前Apache官方已发布公告,该漏洞危险级别为高危。
正好手上有个项目的Struts版本较低,存在该漏洞,于是记录下来:
-
JAR包修改:
– 新增jar包
javassist-3.11.0.GA.jar
asm-3.3.jar
asm-commons-3.3.jar
asm-tree-3.3.jar
– 更新jar包
commons-fileupload-1.2.1.jar —-> commons-fileupload-1.3.1.jar
commons-io-1.4.jar —-> commons-io-2.2.jar
commons-lang3-3.1.jar —-> commons-lang3-3.2.jar
commons-logging-1.1.1.jar —-> commons-logging-1.1.3.jar
freemarker-2.3.16.jar —-> freemarker-2.3.22.jar
ognl-2.7.3.jar —-> ognl-3.0.13.jar
struts2-convention-plugin-2.1.8.1.jar —-> struts2-convention-plugin-2.3.28.jar
struts2-spring-plugin-2.1.8.1.jar —-> struts2-spring-plugin-2.3.28.jar
struts2-core-2.1.8.1.jar —-> struts2-core-2.3.28.jar
xstream-1.3.1.jar —-> xstream-1.4.8.jar
xwork-core-2.1.6.jar —-> xwork-core-2.3.28.jar
– json相关
json-lib-2.1.jar —-> json-lib-2.3-jdk15.jar
struts2-json-plugin-2.1.8.1.jar —-> struts2-json-plugin-2.3.28.jar
struts2-junit-plugin-2.1.8.1.jar —-> struts2-junit-plugin-2.3.28.jar -
修改文档类型声明:
– struts.xml的文档类型声明修改:
原来: - <!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.1//EN" "http://struts.apache.org/dtds/struts-2.1.dtd">
现在:
<!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.3//EN" "http://struts.apache.org/dtds/struts-2.3.dtd">
– strtus 2.3.15 版本后, 默认是关闭DMI动态调用action 方法这个功能的.
开启该功能需要在struts.xml中, 增加了下面的配置:
<constant name="struts.enable.DynamicMethodInvocation" value="true" />
-
到此已经完成了Struts 版本更新
-
相关推荐
Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试...
这个标题提到的是一个全面的Struts 2漏洞检测工具,旨在帮助开发者和安全专家识别并修复Struts 2框架中的各种安全漏洞。 Struts 2的安全问题主要源于其OGNL(Object-Graph Navigation Language)表达式语言的使用,...
Struts2远程命令执行漏洞解析 漏洞解析 远程命令 Struts2
今天,我们将讨论如何修复 Struts2 漏洞 S2-045 而不升级 jar 版本。 漏洞概述 S2-045 漏洞是一个严重的安全漏洞,影响 Struts2 的多个版本,包括 2.3.5-2.3.31 和 2.5-2.5.102。该漏洞是由于 Struts2 中的 ...
4. **修复建议**:除了利用工具,这个压缩包可能还包含针对这些漏洞的修复建议,例如更新到不受影响的Struts2版本、配置修改或添加过滤规则。 在进行漏洞利用时,需要遵循道德黑客的原则,只在获得授权的情况下对...
"Struts2漏洞检查工具Struts2.2019.V2.3"是一个专门针对这些漏洞进行检测的工具,旨在帮助开发者和网络安全专业人员识别并修复Struts2框架中的安全问题。 Struts2的安全漏洞主要包括以下几类: 1. OGNL(Object-...
-- 为修复struts2 s2-016、s2-017漏洞,重写DefaultActionMapper --> <bean type="org.apache.struts2.dispatcher.mapper.ActionMapper" name="myDefaultActionMapper" class=...
Struts2 最新漏洞 S2-016、S2-017 修补方案 Struts2 是一个基于 Java 的 Web 应用程序框架,由 Apache 软件基金会维护。最近,Struts2 发生了两个严重的漏洞,分别是 S2-016 和 S2-017,这两个漏洞可能会导致攻击者...
struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 ...
漏洞的成因是 Struts2 标签库中的 url 标签和 a 标签的 includeParams 属性,代表显示请求访问参数的含义,一旦它的值被赋予 ALL 或者 GET 或者 POST,就会显示具体请求参数内容。按照正常的需求,把参数 urlEncode ...
这些漏洞允许攻击者通过精心构造的输入,利用Struts2的内置机制执行任意代码,从而对系统造成严重危害。 首先,s2-005漏洞(CVE-2012-0881)是2012年发现的一个严重问题,它涉及到Struts2的OGNL(Object-Graph ...
"struts1.3.15.1高危漏洞修复版ssh包"是指针对Struts 1.3.15版本中的上述高危漏洞进行了修复的SSH框架集成包。这个修复版的包确保了系统在运行时不会受到该漏洞的影响,增强了系统的安全性。用户下载并解压这个包后...
然而,就像任何其他复杂的软件系统一样,Struts2也存在安全漏洞。其中,S2-045 和 CVE-2017-5638 是一个极其严重的问题,可能导致远程代码执行(RCE),进而让攻击者完全控制受影响的服务器。 S2-045 漏洞,官方...
修复此漏洞需要更新Struts2的核心库到安全版本。 2. **CVE-2017-5638(S2-046)**:这同样是一个远程代码执行漏洞,与S2-045类似,它发生在Struts2的OGNL表达式处理阶段。当用户提交的数据未经充分过滤或验证,就...
该漏洞影响范围(Struts 2.3.5 - Struts 2.3.31, Struts 2.5 ...文件包含ognl-3.0.21.jar,struts2-convention-plugin-2.3.34.jar,struts2-core-2.3.34.jar,struts2-spring-plugin-2.3.34.jar,xwork-core-2.3.34.jar
Struts2的一个著名漏洞是CVE-2017-5638,也被称为“S2-045”或“Struts GET Shell”。这是一个远程代码执行漏洞,攻击者可以通过精心构造的HTTP请求头触发漏洞,执行任意服务器端代码。此漏洞影响了大量使用Struts2...
本篇文章将深入探讨Struts2的安全漏洞以及如何进行修复。 一、Struts2安全漏洞概述 1. CVE-2017-5638(Struts2 S2-045):这是一个严重影响的远程代码执行漏洞,它允许攻击者通过恶意构造的HTTP请求头来执行任意...
Struts2.3.32库包是Apache Struts框架的一...总之,Struts2.3.32lib包的发布是针对特定安全漏洞的修复措施,其目的是提高基于Struts2的应用程序的安全性,防止潜在的攻击。及时更新和维护库文件是保持系统安全的关键。
使用这样的工具,开发者和管理员可以定期对他们的Struts2应用进行安全评估,找出这些已知漏洞,然后根据官方发布的补丁或者安全指导来修复它们。同时,了解和学习这些漏洞的原理也有助于提升安全防护意识,预防未来...
5、作者对不同的struts2漏洞测试语句做了大量修改,执行命令、上传功能已经能通用。 6、支持HTTPS。 7、支持GET、POST、UPLOAD三种请求方法,您可以自由选择。(UPLOAD为Multi-Part方式提交) 8、部分漏洞测试支持...