Struts 2 development mode 漏洞

最新推荐文章于 2020-05-20 02:51:28 发布
原创 最新推荐文章于 2020-05-20 02:51:28 发布 · 6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#struts 2 #漏洞 #struts2 #struts

本文详细解释了如何在升级Struts时正确处理web.xml配置文件,避免引入高危Struts2DevelopmentMode漏洞。通过移除不必要的旧过滤器代码,并替换为推荐的StrutsPrepareFilter和StrutsExecuteFilter,可以确保应用安全升级。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

被这个漏洞害苦了,百度各种没找到答案 ,原来竟是自己粗心 ,升级struts时没有将web.xml里的这段代码删掉:
<filter>
    <filter-name>struts2</filter-name>
    <filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>struts2</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

在升级struts时 需要在web.xml里添加如下代码:
        <filter>
               <filter-name> StrutsPrepareFilter</filter-name >
               <filter-class> org.apache.struts2.dispatcher.ng.filter.StrutsPrepareFilter
               </filter-class>
        </filter>
        <filter>
               <filter-name> StrutsExecuteFilter</filter-name >
               <filter-class> org.apache.struts2.dispatcher.ng.filter.StrutsExecuteFilter
               </filter-class>
        </filter>
        <filter-mapping>
               <filter-name> StrutsPrepareFilter</filter-name >
               <url-pattern> /*</ url-pattern>
        </filter-mapping>
        <filter-mapping>
               <filter-name> StrutsExecuteFilter</filter-name >
               <url-pattern> /*</ url-pattern>
        </filter-mapping>
此段代码就是用来替换上面那段代码的,如果没删掉上面那段代码,在用AWVS 扫描的时候就会一直出现Struts 2 development mode 这个高危漏洞。原来是从struts2.1.3开始ActionContextCleanUp 和 FilterDispatcher 已经不建议使用了。 将使用StrutsPrepareFilter和StrutsExecuteFilter替代
hackthebox(HTB) Ambassdor !
qq_58869808的博客
12-08 1万+
hackthebox(HTB) Ambassdor !
Golang优秀开源项目汇总, 10大流行Go语言开源项目, golang 开源项目全集(golang/go/wiki/Projects), GitHub上优秀的Go开源项目...
weixin_34245082的博客
05-08 7093
  Golang优秀开源项目汇总(持续更新。。。)我把这个汇总放在github上了, 后面更新也会在github上更新。 https://github.com/hackstoic/golang-open-source-projects  。 欢迎fork, star , watch, 提issue。    资料参考来源:http://studygolang.com/projects 监控...
Struts2漏洞利用工具Devmode
10-26
Struts2漏洞利用工具Devmode版 检测struts2漏洞的一款工具
struts2的DevMode(开发模式)模式
q1054261752的博客
09-23 5772
在实际应用开发或者是产品部署的时候,对应着两种模式: ① 开发模式(devMode);此时 DevMode=ture; ② 产品模式(proMode);此时  DevMode=false; 在struts.properties或者struts.xml中有devMode的配置,在devMode被激活的模式下,能够明显的提高开发效率,它会提供更多的日志或着debug信息。当然
Struts2开发模式漏洞
05-11 669
Struts2中的devMode模式设置为true时,存在严重远程代码执行漏洞。如果WEB服务以最高权限运行时,可远程执行任意命令,包括远程控制服务器。 如果为受影响的版本,建议修改配置文件struts.xml,增加或更改内容如下:<constant name="struts.devMode" value="false"/> Struts2开发...
Struts 2Development mode example
qq_31230529的博客
09-15 436
In Struts 2 development, this should be the first configurable value to learn. To enable the Struts 2 development mode, you can significantly increase your Struts 2 development speed by giving auto con
Struts2 devMode远程代码执行漏洞检测利用
Fly_鹏程万里
12-14 2959
Apache Struts 2是世界上最流行的Java Web服务器框架之一,当Struts2开启devMode模式时,将导致严重远程代码执行漏洞。如果WebService 启动权限为最高权限时,可远程执行任意命令,包括关机、建立新用户、以及删除服务器上所有文件等等。 什么是devMode? 所谓的devMode模式,看名称也知道,是为Struts2开发人员调试程序准备的,在此模式下可...
Struts2-032/033/037/devMode漏洞演示环境搭建
乐枕的家
07-29 5212
环境搭建 安装Java(ubuntu自带的openjdk就行) 安装Tomcat apt-get install tomcat7 下载这个含漏洞版本的struts2(已验证) https://pan.baidu.com/s/1nvpkq5z 解压,将apps文件夹下的所有示例(.war)拷贝到Tomcat下(路径默认为/var/lib/tomcat7/webapps/) 启动tomcat servi
使用Acunetix Web Vulnerability Scanner扫描漏洞解决方法(积累)
qq_27942899的博客
07-10 3538
1、Apache JServ protocol service 注释掉tomcat的server.xml &lt;Connector port="8009" protocol="AJP/1.3" redirectPort="8443"/&gt;2、Slow HTTP Denial of Service Attack将tomcat的server.xml 的&lt;Connector URIEncod...
struts2之开发模式(devMode)
11-03 575
在实际应用开发或者是产品部署的时候,对应着两种模式:开发模式(devMode)和产品模式(proMode);在一些服务器或者框架中也存在着这两种模式,例如:tomcat、struts2等(其他的有待学习,呵呵),在这两种不同的模式下,他们运行的性能方面有很大的差异,前面曾对tomcat产品部署作过介绍,下面主要介绍一下struts2在产品部署时要做的配置: 在struts.properties或...
K8_Struts2_EXP 20170310
12-14
K8_Struts2_EXP 20170310是一款用于检测项目是否存在Struts系列漏洞的工具,切勿用于恶意破坏,如果造成法律效应作者概不负责。切记,切记,切记!
Struts2 devMode导致远程代码执行漏洞
热门推荐
煜铭2011
07-20 1万+
一、漏洞基本信息 CVE编号:暂无 漏洞名称:Struts2 devMode导致远程代码执行漏洞 漏洞发布日期:2016.06 受影响的软件及系统:在开启devMode情况下,本漏洞可影响Struts 2.1.0--2.5.1,通杀Struts2所有版本 漏洞概述:Apache Struts 2是世界上最流行的Java Web服务器框架之一。Apache Struts2在使用REST插件
Struts2DevelopmentModeExample
yandufeng的专栏
10-24 778
struts2开发中,你可以提升你的开发速度,如:自动配置,properties文件从加载,和额外的logging和debugging 默认情况下,struts2 develop模式是关闭的。 Enable the struts2 development mode struts.properties struts.devMode = true struts.xml
struts2的开发模式
残缺的孤独
03-02 6622
为了在开发过程中方便进行struts2程序调试,可以将struts2设置成开发模式,在struts.xml中进行设置,具体设置见如下:   即将struts.devMode的value设置为true。从而当更改struts.xml文件后不需要重新启动服务就可以进行程序调试。 需要注意的是:当配置tomcat时,其目录不要有空格,否则在某些版本中启动时会报错。
Struts2开发者模式
dengjuanshou7445的博客
08-19 336
Struts2开发中,这应该是第一个学习配置的值。为了启用 Struts2 的开发模式,可以通过自动配置显著增加Struts2的开发速度和属性文件加载,以及额外的日志和调试功能。 注:自动重新加载功能真的是一个方便的功能。每次修改属性或XML配置文件更改,应用程序不再需要重启才能生效。 默认情况下,Struts2的开发模式是禁用的。 启用Struts2开发模...
关于Struts2中的struts.devMode
筚路蓝缕 以启山林
07-18 982
devMode模式是开发模式,开启它则默认开启了i18n.reload、configuration.xml.reload。 ### when set to true, Struts will act much more friendly for developers. This ### includes: ### - struts.i18n.reload = true ### - struts.c
Struts 2 –开发模式示例
一名可爱的技术搬运工
05-20 281
Struts 2开发中,这应该是第一个要学习的可配置值。 要启用Struts 2开发模式,您可以通过重新加载自动配置和属性文件以及额外的日志记录和调试功能来显着提高Struts 2开发速度。 自动重新加载功能确实是一项便捷功能。 每次我更改属性或XML配置文件时,都不再需要重新启动应用程序才能生效。 默认情况下,Struts 2开发模式是禁用的。 启用S​​trut2开发模式 ...
STRUTS2 getClassLoader漏洞深度分析
"STRUTS2的getClassLoader漏洞利用" STRUTS2的getClassLoader漏洞是一个安全问题,涉及到了Java Web框架Struts2的核心组件。该漏洞源于Struts2的Ognl(Object-Graph Navigation Language)表达式语言的处理方式,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值