介绍struts2/xwork的Remote Command Execution Vulnerability漏洞,剖析了原因并供给了处理方法,能够拜见http://my-corner.iteye.com/blog/720209

去struts官网逛了一下,发现第一种处理方法晋级到struts2.2版别(当时的最新版),最终仍是没有彻底处理该疑问。当前,需求处理该疑问需求更新至2.3.1.2或是最新版别而且更新相对应的ongl和xwork的jar包。



假如不能进行晋级,建议参加一下过滤设置

my_corner文中供给的方法(过滤#,该方法大概没有疑问,不过我没有试。)


Java代码  保藏代码

"params">    

"excludeParams">.*\\u0023.*    

    

 下面是官方供给的方法



Java代码  保藏代码

"params">  

    "acceptParamNames">\w+((\.\w+)|(\[\d+\])|(\['\w+'\]))*