struts2.2以前版本远程执行任意代码漏洞修复方案
企业开发
2018-05-12 21:07:00
阅读次数: 2
今天我的站点被扫描出了远程执行任意代码漏洞,以前一直知道struts2有这漏洞但一直没了解具体是哪个版本的漏洞,今天发现决定不再让它嚣张下去! g了一大把资料,总结如下: 方案一:最直接了当,将struts2换到最新版本,比较麻烦,要换很多依赖jar包。 方案二:配置参数拦截器,将敏感参数拦截掉。 <package name="basePackage" extends="struts-default"> <interceptors> <interceptor-stack name="baseStack"> ... <interceptor-ref name="params"> <param name="excludeParams">dojo\..*,^struts\..*,.*\\u0023.*,.*\\x5Cu0023.*,.*\\x5cu0023.*</param> </interceptor-ref> ... </interceptor-stack> </interceptors> <default-interceptor-ref name="baseStack" /> </package>
<package name="member" extends="basePackage" namespace="/member/"> ... </package> |
|
|
转载自labuladuo.iteye.com/blog/1807410