`

Struts2 的多选项使用 List 接受 避免注入漏洞

阅读更多

后台管理中使用的多选删除,

 

本来使用的是字符串变量 MessID 来接受页面构建的 以 ,分割的字符串,直接传递到 dao 层 。

 

页面代码:循环的

<input name="MessID" type="checkbox" value="${vo.id}" /> 

<input name="MessID" type="checkbox" value="${vo.id}" /> 

<input name="MessID" type="checkbox" value="${vo.id}" /> 

<input name="MessID" type="checkbox" value="${vo.id}" />

 

 

被爆出严重的安全漏洞

 

于是打回重新修改。

 

建议直接使用 List<Long> MessID ;接受 ,这样不使用字符串,可以避免构造SQL造成安全漏洞。

 

在Action层,可以使用Spring 的字符串工具 把List解析成以 , 分割的字符串。

 

String ids = StringUtils.arrayToDelimitedString(messItem_id.toArray(), ",");


messService.deleteMessItem(ids);

 

这样 ,避免了 SQL 注入 。

 

分享到:
评论

相关推荐

    Struts2漏洞测试

    Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试...

    Struts2漏洞检查工具Struts2.2019.V2.3

    1. OGNL(Object-Graph Navigation Language)表达式注入:这是Struts2最著名的漏洞类型,由于框架在处理用户输入时没有进行充分的过滤和验证,攻击者可以通过构造恶意的OGNL表达式来执行任意代码,从而导致远程代码...

    struts2漏洞利用工具

    例如,一个著名的漏洞是CVE-2017-5638,也就是Struts2 OGNL注入漏洞。这个漏洞允许攻击者通过HTTP请求头中的Content-Type字段注入OGNL(Object-Graph Navigation Language)表达式,从而执行任意代码。由于OGNL是一...

    Struts2漏洞检查工具2018版.zip

    对于开发者来说,理解Struts2的架构、掌握如何安全配置和使用OGNL以及定期对应用进行安全审计,是避免Struts2框架被利用的关键。同时,企业应建立严格的安全策略,包括定期更新依赖库、使用安全编码实践以及部署入侵...

    K8 Struts2 Exp 20160516(Struts2综合漏洞利用工具)

    2. **Ognl注入**:Struts2使用OGNL(Object-Graph Navigation Language)表达式语言进行视图层与模型层的数据交互。不恰当的配置或过滤不足可能导致恶意用户输入的OGNL表达式被执行,从而实现远程代码执行。 **K8 ...

    Struts2VulsTools-Struts2系列漏洞检查工具

    该工具的打开路径为:\Struts2VulsTools-2.3.20190927\Test\bin\Release\Text.exe 2019-09-25: 优化部分EXP在部分情况下被WAF拦截的问题,提高检测成功率,优化自定义上传路径exp,文件所在目录不存在时自动创建...

    struts2-scan_struts2-scan_struts2scan_scan_struts2漏洞_

    然而,它在历史上曾出现过多个安全漏洞,其中最著名的就是“Struts2漏洞”。这个标题和描述提到的"struts2-scan"是一种工具,专门用来检测Struts2框架中的安全漏洞。 Struts2漏洞通常涉及到框架的核心组件,例如...

    Struts2漏洞检查工具2018版.rar

    然而,由于其广泛的使用,Struts2也成为了黑客攻击的目标,因为其历史上存在一系列的安全漏洞。 标题中的"Struts2漏洞检查工具2018版.rar"指的是一个专门针对Struts2框架的2018年发布的漏洞检测工具。这个工具可能...

    全网最全Struts 2 全版本漏洞检测工具,最新struts漏洞更新

    渗透测试是网络安全的重要环节,通过使用这样的工具,不仅可以帮助开发者找出并修复Struts 2中的漏洞,还能提高整体的安全意识,建立更为健壮的安全防御体系。对于企业来说,定期进行这样的安全检查,可以降低被黑客...

    Struts2漏洞检测(带自己编写使用说明一看就上手)

    然而,随着时间的推移,Struts2框架发现了一系列的安全漏洞,这些漏洞可能导致远程代码执行、敏感信息泄露等问题,对使用Struts2的系统构成了严重的安全威胁。本资源提供的“Struts2漏洞检测(带自己编写使用说明一...

    Struts2漏洞利用工具

    Struts2是一个基于MVC设计模式的Web应用框架,但2存在远程代码执行的漏洞,现在Struts2漏洞检测工具2017版增加S2-046,官方发布S2-046和S2-045漏洞引发原因一样,只是利用漏洞的位置发生了变化,S2-046方式可能绕过...

    struts2 最新漏洞 S2-016、S2-017修补方案 .docx

    Struts2 最新漏洞 S2-016、S2-017 修补方案 Struts2 是一个基于 Java 的 Web 应用程序框架,由 Apache 软件基金会维护。最近,Struts2 发生了两个严重的漏洞,分别是 S2-016 和 S2-017,这两个漏洞可能会导致攻击者...

    Struts2漏洞检查工具

    然而,由于其广泛使用,Struts2框架在过去曾曝出多个安全漏洞,这些漏洞可能导致远程代码执行、数据泄露等严重后果。因此,针对Struts2的安全检查和漏洞利用工具变得至关重要。 首先,我们需要理解什么是Struts2...

    Struts2漏洞利用工具2017版

    首先,我们要了解的是S2-032漏洞,全称为“Struts2 OGNL注入漏洞”。这个漏洞源于Struts2框架在处理用户输入时,没有正确地过滤OGNL(Object-Graph Navigation Language)表达式,攻击者可以通过构造恶意输入,执行...

    Struts2漏洞利用工具2019版 V2.3.zip

    此漏洞影响了多个Struts2版本,因此成为了很多黑客的攻击目标。 "Struts2漏洞检查工具2019版 V2.3.exe" 可能是用来扫描网络中运行Struts2的应用程序,检查是否存在已知的漏洞,如S2-045。这类工具通常会模拟攻击...

    struts2标签使用例子

    在压缩包中的"example"文件可能包含了一个或多个使用Struts2标签的实际示例,可以参考这些示例来理解和学习Struts2标签的用法。通过实践,你会更好地掌握这些标签的功能和用法,从而在开发过程中更加得心应手。

    低版本struts2升级高版本避免漏洞方案

    ### 低版本Struts2升级至高版本以避免安全漏洞的知识点详解 #### 一、Struts2简介及背景 Struts2是一个基于Java的开源Web应用框架,它继承了Struts1的优点,并在此基础上增加了许多新特性,如拦截器(Interceptor...

    Struts2漏洞检查工具2017版

    本"Struts2漏洞检查工具2017版"正是针对这些问题而设计的,它包含了对多个已知安全漏洞的检测功能,特别是045、046、048这三个著名的漏洞。 首先,让我们详细了解一下这三个漏洞: 1. **CVE-2017-9791(S2-045)**...

    Struts2_s2-016&017&ognl2.6.11_patch漏洞补丁

    -- 为修复struts2 s2-016、s2-017漏洞,重写DefaultActionMapper --&gt; &lt;bean type="org.apache.struts2.dispatcher.mapper.ActionMapper" name="myDefaultActionMapper" class=...

Global site tag (gtag.js) - Google Analytics