struts2 高危漏洞修复

最新推荐文章于 2022-07-14 09:51:12 发布
原创 最新推荐文章于 2022-07-14 09:51:12 发布 · 253 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

本文介绍了一种自定义的Servlet过滤器实现方法,该过滤器用于拦截特定URL请求并进行安全检查。当请求的URL包含预设的敏感字符串时,过滤器将拒绝访问并返回403状态码。
1.

 /**
     * 过滤器
     */
    public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain)
        throws IOException, ServletException
    {

        HttpServletRequest request = (HttpServletRequest)req;
        String url = request.getQueryString();


        if (StringUtils.isEmpty(url) || !pattern.matcher(URLDecoder.decode(url, "utf-8")).matches())
        {
            chain.doFilter(req, resp);
        }
        else
        {
            HttpServletResponse res = (HttpServletResponse)resp;
            res.setStatus(403);
            res.getOutputStream().write("403".getBytes());
            res.getOutputStream().close();
            return;
        }
    }
// 初始化
    public void init(FilterConfig cfg)
        throws ServletException
    {

        String redirects= (new StringBuilder(".*(")).append(cfg.getInitParameter("redirects"))
            .append(").*")
            .toString();
        pattern = Pattern.compile(redirects);
    }
    private Pattern pattern;


2.web.xml

<filter>
       <filter-name>SafeFilter</filter-name>
       <filter-class>com.SafeFilter</filter-class>
       <init-param>
           <param-name>redirects</param-name>
           <param-value>redirect:|action:|redirectAction:</param-value>
       </init-param>
</filter>
<filter-mapping>
       <filter-name>SafeFilter</filter-name>
       <url-pattern>/*</url-pattern>
</filter-mapping>
Struts2高危漏洞修复方案(S2-016/S2-017)
先尝试后决策,天道酬勤
08-08 3634
近期Struts2被曝重要漏洞,此漏洞影响struts2.0-struts2.3所有版本,可直接导致服务器被远程控制从而引起数据泄漏,影响巨大,受影响站点以电商、银行、门户、政府居多. 官方描述: S2-016:https://cwiki.apache.org/confluence/display/WW/S2-016 S2-017:https://cwiki.apache.org/confl
struts2架构网站漏洞修复详情与利用漏洞修复方案
weixin_34319111的博客
12-03 1446
struts2从开发出来到现在,很多互联网企业,公司,平台都在使用apache struts2系统来开发网站,以及应用系统,这几年来因为使用较多,被攻击者挖掘出来的struts2漏洞也越来越,从最一开始S2-001到现在的最新的s2-057漏洞,本文着重的给大家介绍一下struts2漏洞的利用详情以及漏洞修复办法。 先从1开始吧,S2-001影响的版本...
struts2通过过滤器拦截其漏洞配置方法
07-01
通过web配置拦截器进行struts2漏洞拦截源码及配置
Struts2漏洞修复
weixin_30348519的博客
11-24 196
测试方法: 访问地址:http://Host/login.action?redirect:%25{3-4} 建议修复前使用此链接测试struts2是否存在此漏洞。测试结果如下:情况一:地址栏出现:http://Host/-1时说明未修复成功,存在安全漏洞;情况二:地址栏出现:http://Host/login.action?redirect:%25{3-4},说明修复成功 修复前: 修...
Apache Struts 2漏洞分析(CVE-2018-11776/S2-057)
weixin_42998420的博客
10-22 1041
概述 定义XML配置时如果namespace值未设置且上层动作配置(Action Configuration)中未设置或用通配符namespace时可能会导致远程代码执行。 url标签未设置value和action值且上层动作未设置或用通配符namespace时可能会导致远程代码执行。 官方解决方案 升级至版本2.3.35或2.5.17。这两个版本仅仅只是更新了安全补丁,不存在兼容性问题。 临时解...
Struts2 (S2-016/S2-017)高危漏洞修复文件
04-06
然而,像任何其他软件一样,Struts2也存在安全漏洞,其中S2-016和S2-017是两个知名的高危漏洞。 S2-016漏洞,全称为"Struts2 REST插件远程代码执行漏洞",主要影响Struts2的REST插件。该漏洞源于框架在处理XML内容...
Struts2高危漏洞2.3.15.3
03-15
2017年,Struts2被发现存在一个名为CVE-2017-9791的高危漏洞,该漏洞可能导致远程代码执行(RCE),从而使攻击者能够控制服务器,窃取敏感信息,甚至导致服务瘫痪。针对这个漏洞Struts2官方发布了修复版本2.3....
struts1.3.15.1高危漏洞修复版ssh包
08-15
总之,"struts1.3.15.1高危漏洞修复版ssh包"是一个集成了修复Struts高危漏洞的SSH框架,旨在帮助开发者构建更安全的Java Web应用程序。用户在使用时,应了解每个框架的最新安全更新,合理配置项目,以保障系统的稳定...
struts2.3.35漏洞升级全部JAR包
06-27
struts漏洞升级全部JAR包,struts22.3.15.1升级到2.3.35相关配置说明,在附件中包含有2.3.15.1版本的jar包和2.3.35版本的jar包
struts2漏洞s2-045,不升级jar版本的修补方法,已验证.docx
07-04
0、这是一个简单、暴力、治根的补漏方法 1struts2漏洞s2-045,不升级jar版本的修补方法,已验证
struts2045修复建议及补丁
01-29
- 严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。 - 如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.322.5.10.1版本。(强烈推荐) - 升级到2.3.32所用到的jar包:(已经在附件中提供jar文件) - freemarker-2.3.22.jar - ognl-3.0.19.jar - struts2-convention-plugin-2.3.32.jar - struts2-core-2.3.32.jar - struts2-spring-plugin-2.3.32.jar - xwork-core-2.3.32.jar
struts2.3.32修补S2-045漏洞所有核心jar包及依赖的jar(含core包)
03-09
struts-2.3.32-all (含struts2-core-2.3.32.jar) 修补S2-045漏洞所有核心jar包及依赖的jar
struts2的常见异常信息(二)
topMan'blog
04-29 293
Unable to load bean org.apache.struts2.dispatcher.multipart.MultiPartRequest (jakarta) - [unknown location] 这个问题是在使用Struts2想做一个上传文件的页面时候Tomcat报出来的错误,详细信息如下:2007-7-19 21:34:09 org.apache.catalina.co...
Filter中的FilterChain.doFilter(req,resp)的报错解决
qq_46617035的博客
07-14 6885
Filter中的FilterChain.doFilter(req,resp)的报错解决
struts2安全漏洞修复
eddysoft126的专栏
07-22 425
  1、登陆界面Sql注入     users = daoSrv.findByHql("from Manager m where m.mngName='" + username +"'");    if(users.size() == 1&amp;&amp;((Manager)users.get(0)).getMngName().equals(username)){     Manager ...
修复Struts2 045漏洞(s2-045)
长心子的博客
05-09 1734
升级Struts2 2.3.28.1struts2-core-2.3.28.1 替换jar: freemarker-2.3.22.jar ognl-3.0.21.jar struts2-core-2.3.34.jar xwork-core-2.3.34.jar struts2-json-plugin-2.3.34...
Struts 2.3.32升级到Struts2.3.35
TivonaLH的博客
08-23 8067
更新缘由: 北京时间8月2213时,Apache官方发布通告公布了Struts2中一个远程代码执行漏洞(cve-2018-11776)。该漏洞可能在两种情况下被触发,第一,当没有为底层xml配置中定义的结果设置namespace 值,并且其上层动作集配置没有或只有通配符命名空间值,可能构成 RCE攻击。第二,当使用没有 value和动作集的url标签时,并且其上层动作集配置没有或只有通配符命名空...
struts2 升级2.3.35 action中方法无法正常映射
08-29 3809
内部项目,使用了maven,struts2则是使用了它的零配置特性(使用注解或默认约定) 1、maven中定义版本常量 &lt;struts2.version&gt;2.3.35&lt;/struts2.version&gt; 2struts2关键依赖相关jar内容(好像还有commons-io,commons-fileupload,commens-lang3,comments-loggin...
Struts2高危漏洞详解:从S2-001到S2-003
"struts2漏洞列表,包括S2-001和S2-003,描述了这两个高危漏洞的详情、受影响版本及exploit示例" Struts2是一个流行的Java开源框架,用于构建企业级Web应用程序。然而,随着它的广泛使用,一些安全漏洞也逐渐暴露...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值