Struts 2 development mode 漏洞

本文详细解释了如何在升级Struts时正确处理web.xml配置文件,避免引入高危Struts2DevelopmentMode漏洞。通过移除不必要的旧过滤器代码,并替换为推荐的StrutsPrepareFilter和StrutsExecuteFilter,可以确保应用安全升级。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

被这个漏洞害苦了,百度各种没找到答案 ,原来竟是自己粗心 ,升级struts时没有将web.xml里的这段代码删掉:
<filter>
    <filter-name>struts2</filter-name>
    <filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
  </filter>
  <filter-mapping>
    <filter-name>struts2</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

在升级struts时 需要在web.xml里添加如下代码:
        <filter>
               <filter-name> StrutsPrepareFilter</filter-name >
               <filter-class> org.apache.struts2.dispatcher.ng.filter.StrutsPrepareFilter
               </filter-class>
        </filter>
        <filter>
               <filter-name> StrutsExecuteFilter</filter-name >
               <filter-class> org.apache.struts2.dispatcher.ng.filter.StrutsExecuteFilter
               </filter-class>
        </filter>
        <filter-mapping>
               <filter-name> StrutsPrepareFilter</filter-name >
               <url-pattern> /*</ url-pattern>
        </filter-mapping>
        <filter-mapping>
               <filter-name> StrutsExecuteFilter</filter-name >
               <url-pattern> /*</ url-pattern>
        </filter-mapping>
此段代码就是用来替换上面那段代码的,如果没删掉上面那段代码,在用AWVS 扫描的时候就会一直出现Struts 2 development mode 这个高危漏洞。原来是从struts2.1.3开始ActionContextCleanUp 和 FilterDispatcher 已经不建议使用了。 将使用StrutsPrepareFilter和StrutsExecuteFilter替代
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值