1. Struts2的重定向漏洞根据Apache给出的漏洞修复方案,只是升级了jar包版本2.3.16升级完成后所有页面访问都出现了404,凳盯如下bug:There is no Action mapped for namespace [/] and action name [XX!XX] associated with context path.... 解决办法:当时好像使用了Dynamic Method Invocation 动态方法调用,然后Struts.xml文件都修改了通配符和占位符匹配。2. Struts2 OGNL的高危漏洞S-045Struts使用的Jakarta解析文件上传请求包不当,当远程攻击者构造恶意的Content-Type,可能导致远程命令执行。针对此问题做出如下修改: (1)根据Apache给出的漏洞修复方案,升级Struts2相关jar到2.3.32 (2)关于上传文件部分做出如下验证<1>上传文件非空验证;<2>上传文件格式验证;<3>上传差樱文件验证MimeType;<4>文件是否可被修改高宽或裁剪(本次项目上传完文件为图片)<5>文件保存路径重命名。学虚粗丛习java知识,推荐北京尚学堂,我们拥有多年编程培训经验,会让你在学习的时候快人一步!
标签:struts2,漏洞