struts2/xwork的Remote Command Execution Vulnerability,剖析了原因并供给了处理方法,能够拜见http://my-corner.iteye.com/blog/720209
去struts官网逛了一下,发现第一种处理方法晋级到struts2.2版别(当时的最新版),最终仍是没有彻底处理该疑问。当前,需求处理该疑问需求更新至2.3.1.2或是最新版别而且更新相对应的ongl和xwork的jar包。
假如不能进行晋级,建议参加一下过滤设置
my_corner文中供给的方法(过滤#,该方法大概没有疑问,不过我没有试。)
Java代码 保藏代码
"params">
"excludeParams">.*\\u0023.*
下面是官方供给的方法
Java代码 保藏代码
"params">
"acceptParamNames">\w+((\.\w+)|(\[\d+\])|(\['\w+'\]))*