struts2 - OGNL 表达式注入:Struts 2
问题描述
我该如何修复这个漏洞?
Kingdom:输入验证和表示
摘要:在 Struts 2 动作名称中使用通配符 (*) 可以将动作名称评估为 OGNL 表达式,从而有效地允许攻击者修改 Session 等系统变量或在服务器上执行任意命令。
<action name="MyAction_*" class="MyActionClass" method="{1}">
谢谢
解决方案
您更新您的 S2 版本,就像一个微不足道的网络搜索所说的那样。
或者,您可以遵循S2 漏洞页面中给出的建议:
<constant name="struts.allowed.action.names" value="[a-zA-Z]*" />
注意到这个漏洞现在已经有五年的历史了,而且很久以前就被修复了。
推荐阅读
- python - 方法 POST 不允许 [DRF]
- python - Pandas Group by dict 值
- android - 更新到新的库版本后,导航撰写状态保存中断
- python - 为什么我在我的 python 程序中不断遇到“EOFError:读取文件时出现 EOF”?
- javascript - DataTables 警告:表 id=document_table - 无效的 JSON 响应
- python - 数据框类型错误:“方法”对象不可迭代
- android - 如何在 Android Studio 中更改 FirebaseReference 的 Firebase URL?
- java - 当我有映射时,出现没有映射的异常
- kubernetes - 将其公开为服务后无法访问由谷歌 kubernetes 引擎(GKE)创建的 IP
- javascript - Discord.JS 13 斜杠命令显示目标用户的特定用户角色并嵌入,