struts2 高危漏洞修复

最新推荐文章于 2022-07-14 09:51:12 发布
最新推荐文章于 2022-07-14 09:51:12 发布
阅读量231 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iteye_17277/article/details/82521760
1. 

 /**
     * 过滤器
     */
    public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain)
        throws IOException, ServletException
    {

        HttpServletRequest request = (HttpServletRequest)req;
        String url = request.getQueryString();


        if (StringUtils.isEmpty(url) || !pattern.matcher(URLDecoder.decode(url, "utf-8")).matches())
        {
            chain.doFilter(req, resp);
        }
        else
        {
            HttpServletResponse res = (HttpServletResponse)resp;
            res.setStatus(403);
            res.getOutputStream().write("403".getBytes());
            res.getOutputStream().close();
            return;
        }
    }
// 初始化
    public void init(FilterConfig cfg)
        throws ServletException
    {

        String redirects= (new StringBuilder(".*(")).append(cfg.getInitParameter("redirects"))
            .append(").*")
            .toString();
        pattern = Pattern.compile(redirects);
    }
    private Pattern pattern;


2.web.xml 

<filter>
       <filter-name>SafeFilter</filter-name>
       <filter-class>com.SafeFilter</filter-class>
       <init-param>
           <param-name>redirects</param-name>
           <param-value>redirect:|action:|redirectAction:</param-value>
       </init-param>
</filter>
<filter-mapping>
       <filter-name>SafeFilter</filter-name>
       <url-pattern>/*</url-pattern>
</filter-mapping>
Struts2高危漏洞修复方案(S2-016/S2-017)
先尝试后决策,天道酬勤
08-08 3574
近期Struts2被曝重要漏洞,此漏洞影响struts2.0-struts2.3所有版本,可直接导致服务器被远程控制从而引起数据泄漏,影响巨大,受影响站点以电商、银行、门户、政府居多. 官方描述: S2-016:https://cwiki.apache.org/confluence/display/WW/S2-016 S2-017:https://cwiki.apache.org/confl
struts2架构网站漏洞修复详情与利用漏洞修复方案
weixin_34319111的博客
12-03 1418
struts2从开发出来到现在,很多互联网企业,公司,平台都在使用apache struts2系统来开发网站,以及应用系统,这几年来因为使用较多,被攻击者挖掘出来的struts2漏洞也越来越,从最一开始S2-001到现在的最新的s2-057漏洞,本文着重的给大家介绍一下struts2漏洞的利用详情以及漏洞修复办法。 先从1开始吧,S2-001影响的版本...
struts2通过过滤器拦截其漏洞配置方法
07-01
通过web配置拦截器进行struts2漏洞拦截源码及配置
Struts2漏洞修复
weixin_30348519的博客
11-24 176
测试方法: 访问地址:http://Host/login.action?redirect:%25{3-4} 建议修复前使用此链接测试struts2是否存在此漏洞。测试结果如下:情况一:地址栏出现:http://Host/-1时说明未修复成功,存在安全漏洞;情况二:地址栏出现:http://Host/login.action?redirect:%25{3-4},说明修复成功 修复前: 修...
Apache Struts 2漏洞分析(CVE-2018-11776/S2-057)
weixin_42998420的博客
10-22 973
概述 定义XML配置时如果namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace时可能会导致远程代码执行。 url标签未设置value和action值且上层动作未设置或用通配符namespace时可能会导致远程代码执行。 官方解决方案 升级至版本2.3.352.5.17。这两个版本仅仅只是更新了安全补丁,不存在兼容性问题。 临时解...
Struts2 (S2-016/S2-017)高危漏洞修复文件
04-06
然而,像任何其他软件一样,Struts2也存在安全漏洞,其中S2-016和S2-017是两个知名的高危漏洞。 S2-016漏洞,全称为"Struts2 REST插件远程代码执行漏洞",主要影响Struts2的REST插件。该漏洞源于框架在处理XML内容...
Struts2高危漏洞2.3.15.3
03-15
2017年,Struts2被发现存在一个名为CVE-2017-9791的高危漏洞,该漏洞可能导致远程代码执行(RCE),从而使攻击者能够控制服务器,窃取敏感信息,甚至导致服务瘫痪。针对这个漏洞Struts2官方发布了修复版本2.3....
struts1.3.15.1高危漏洞修复版ssh包
08-15
总之,"struts1.3.15.1高危漏洞修复版ssh包"是一个集成了修复Struts高危漏洞的SSH框架,旨在帮助开发者构建更安全的Java Web应用程序。用户在使用时,应了解每个框架的最新安全更新,合理配置项目,以保障系统的稳定...
struts2.3.35漏洞升级全部JAR包
06-27
struts漏洞升级全部JAR包,struts22.3.15.1升级到2.3.35相关配置说明,在附件中包含有2.3.15.1版本的jar包和2.3.35版本的jar包
struts2漏洞s2-045,不升级jar版本的修补方法,已验证.docx
07-04
0、这是一个简单、暴力、治根的补漏方法 1、struts2漏洞s2-045,不升级jar版本的修补方法,已验证
struts2045修复建议及补丁
01-29
- 严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。 - 如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.322.5.10.1版本。(强烈推荐) - 升级到2.3.32所用到的jar包:(已经在附件中提供jar文件) - freemarker-2.3.22.jar - ognl-3.0.19.jar - struts2-convention-plugin-2.3.32.jar - struts2-core-2.3.32.jar - struts2-spring-plugin-2.3.32.jar - xwork-core-2.3.32.jar
struts2.3.32修补S2-045漏洞所有核心jar包及依赖的jar(含core包)
03-09
struts-2.3.32-all (含struts2-core-2.3.32.jar) 修补S2-045漏洞所有核心jar包及依赖的jar
struts2的常见异常信息(二)
topMan'blog
04-29 273
Unable to load bean org.apache.struts2.dispatcher.multipart.MultiPartRequest (jakarta) - [unknown location] 这个问题是在使用Struts2想做一个上传文件的页面时候Tomcat报出来的错误,详细信息如下:2007-7-19 21:34:09 org.apache.catalina.co...
Filter中的FilterChain.doFilter(req,resp)的报错解决
qq_46617035的博客
07-14 6784
Filter中的FilterChain.doFilter(req,resp)的报错解决
struts2安全漏洞及解决办法
chals115的专栏
07-20 4479
7月17日,世界知名开源软件struts 2爆出了2个高危漏洞,这些漏洞可使黑客取得网站服务器的“最高权限”,从而使企业服务器变成黑客手中的“肉鸡”。 详细漏洞信息:   http://struts.apache.org/release/2.3.x/docs/s2-016.html   http://struts.apache.org/release/2.3.x/docs/s2-
修复Struts2 045漏洞(s2-045)
长心子的博客
05-09 1702
升级Struts2 2.3.28.1 到struts2-core-2.3.28.1 替换jar: freemarker-2.3.22.jar ognl-3.0.21.jar struts2-core-2.3.34.jar xwork-core-2.3.34.jar struts2-json-plugin-2.3.34...
Struts 2.3.32升级到Struts2.3.35
TivonaLH的博客
08-23 8015
更新缘由: 北京时间8月22日13时,Apache官方发布通告公布了Struts2中一个远程代码执行漏洞(cve-2018-11776)。该漏洞可能在两种情况下被触发,第一,当没有为底层xml配置中定义的结果设置namespace 值,并且其上层动作集配置没有或只有通配符命名空间值,可能构成 RCE攻击。第二,当使用没有 value和动作集的url标签时,并且其上层动作集配置没有或只有通配符命名空...
struts2 升级2.3.35 action中方法无法正常映射
08-29 3794
内部项目,使用了maven,struts2则是使用了它的零配置特性(使用注解或默认约定) 1、maven中定义版本常量 &lt;struts2.version&gt;2.3.35&lt;/struts2.version&gt; 2struts2关键依赖相关jar内容(好像还有commons-io,commons-fileupload,commens-lang3,comments-loggin...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值