Struts2/XWork 安全漏洞Remote Command Execution(二)
【my_corner】在其博客中介绍了struts2/xwork的Remote Command Execution Vulnerability漏洞,分析了原因并提供了解决方式,可以参见http://my-corner.iteye.com/blog/720209
去struts官网逛了一下,发现第一种解决方式升级到struts2.2版本(当时的最新版),最终还是没有彻底解决该问题。目前,需要解决该问题需要更新至2.3.1.2或是最新版本并且更新相对应的ongl和xwork的jar包。
如果不能进行升级,建议加入一下过滤设置
my_corner文中提供的方式(过滤#,该方式应该没有问题,不过我没有试。)
<interceptor-ref name="params">
<param name="excludeParams">.*\\u0023.*</param>
</interceptor-ref>
下面是官方提供的方式
<interceptor-ref name="params">
<param name="acceptParamNames">\w+((\.\w+)|(\[\d+\])|(\['\w+'\]))*</param>
</interceptor-ref>
如何验证漏洞就不多说了,有兴趣去研究一下吧。
建议大家有条件的还是升一下struts的包,虽然不知道最新的包还会爆出什么漏洞来。
对于开源组件应该关注其更新升级情况,至少应该关心S级别的bug。
最后【my_corner】文中提到Windows服务器执行的问题,同样可以执行成功,这种漏洞和服务器无关,只和想象力有关。
分享到:
相关推荐
struts2下的Xwork2源文件 在 opensymphony开源社区http://www.opensymphony.com/ 可匿名使用SVN checkout xwork2的源代码 http://svn.opensymphony.com/svn/xwork/trunk
而XWork是Struts2的核心组件,它负责处理Action的业务逻辑和控制流程。在深入理解Struts2与XWork的关系之前,我们首先需要了解MVC模式的基本概念。 MVC模式是一种软件设计模式,它将应用程序分为三个主要部分:模型...
Struts2.2.3 + xwork半中文帮助文档 Struts2.2.3 + xwork半中文帮助文档 Struts2.2.3 + xwork半中文帮助文档 Struts2.2.3 + xwork半中文帮助文档 Struts2.2.3 + xwork半中文帮助文档
根据提供的文件信息,我们可以深入探讨Struts2与XWork2的相关知识点,特别是关于它们的下载、功能特性以及在实际项目中的应用。 ### Struts2框架简介 Apache Struts2是基于MVC(Model-View-Controller)设计模式的...
XWork是Struts2的核心组件,负责处理请求、动作调度、数据绑定以及异常处理等核心功能。本文将深入探讨XWork的源码,解析其设计理念和关键实现,帮助开发者更好地理解和使用Struts2。 1. **ActionInvocation**:...
Struts2是基于Model-View-Controller(MVC)设计模式的开源框架,而Xwork是它的一个核心组件,负责处理Action和业务逻辑。 **Struts2** 是一个强大的MVC框架,它的出现是为了改进原先的Struts1框架,提供了更灵活、...
Struts2和XWork2是两个非常重要的Java Web框架,它们在开发企业级应用程序时扮演着核心角色。Struts2是基于MVC(Model-View-Controller)设计模式的开源框架,而XWork2则是其底层的核心工作引擎,负责处理Action、...
9. **安全相关**: Struts2的安全性是开发者关注的重点,文档可能涵盖防止XSS、CSRF等攻击的方法。 10. **性能优化**: 如何提高Struts2应用的性能,包括缓存策略、减少HTTP请求等技巧。 通过阅读这份文档,开发者...
同时,源代码分析也能帮助开发者避免潜在的问题,如安全漏洞,例如著名的Struts2 S2-045远程代码执行漏洞,就是由于OGNL表达式不当处理导致的。因此,理解和掌握这些源代码不仅能提高开发效率,也有助于增强应用的...
Struts2和XWork2是两个非常重要的Java Web框架,它们在开发企业级应用程序时起着核心作用。Struts2是基于MVC(Model-View-Controller)设计模式的开源框架,而XWork2则是其底层工作框架,负责处理Action和业务逻辑。...
Struts-xwork-core是Struts2框架的核心组件,它提供了Action和结果的执行模型,以及类型转换、数据验证和国际化等功能。在这个压缩包中,包含了该核心库的源代码,对于学习和理解Struts2的工作原理及其内部机制极具...
XWork是Struts2的核心组件,负责处理Action的业务逻辑和控制流程。深入理解XWork的源码有助于开发者更好地掌握Struts2的工作原理,提高开发效率和解决实际问题的能力。 在Struts2中,XWork扮演着以下几个关键角色:...
2.如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。(强烈推荐) 3.升级到2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-...
最全的struts2.3和xwork2.chm中文帮助文档
这次提到的安全漏洞主要涉及Struts2的OGNL(Object-Graph Navigation Language)表达式语言。OGNL是一种强大的表达式语言,用于获取和设置对象的属性。然而,如果框架配置不当或者没有充分过滤用户输入,攻击者可以...
XWork是Struts2的核心组件,负责动作处理和业务逻辑的执行。XWork2.3.4_API和Struts2 Core2.3.4_API这两个CHM文件分别包含了这两个关键组件的API文档。 Struts2 Core2.3.4_API.chm文档将详细阐述Struts2的核心组件...
其他依赖如`struts2-core-2.3.14.jar`,`xwork-core-2.3.14.jar`等,都是Struts2框架的核心组件,它们提供了动作调度、拦截器、类型转换、结果类型等核心功能。`javassist-3.11.0.GA.jar`用于动态类生成,`ognl-...
struts2+xwork的源代码调试项目,包含简单的demo项目。次项目可直接导入eclispe、部署在服务器上要加入servlet-api.jar包的支持,此项目为研究源代码者提供,这也是个人好长时间自己探索出来的,希望大家努力。...
包含Struts2和Xwork的核心API,字体适中,方便阅读,chm格式,方便查询
在集成中,它的核心是`struts2-core`库,同时依赖于XWork、OGNL、FreeMarker和日志组件。`struts.xml`是配置文件,定义了Action和结果映射。 2. **Spring**:Spring是一个全面的后端开发框架,提供了依赖注入、AOP...