Tag: dmi

Struts 2 S2-016 Vulenerability Mitigation升级: 最近struts修补了一个允许攻击者执行远程代码的漏洞。显然没有修补这就像给黑帽子带来一个红地毯欢迎与潮流： – / http://struts.apache.org/release/2.3.x/docs/s2-016.html 基本上它允许执行攻击命令，如下所示：合法行为： http://host/struts2-showcase/employee/save.action?redirect:%25{3*4}被利用的行动： http://host/struts2-showcase/employee/save.action?redirect:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{‘command’,’goes’,’here’})).start()} 虽然我知道升级应该尽快完成，但是由于我们的代码库使用了旧的struts版本和插件，因此尽快进行升级。这将需要一些重构来升级struts 2库，然后那些需要进行测试等。我的问题是，是否有人有任何想法阻止此漏洞被执行？这将只有我们能够升级。我想知道是否可以在对OGNL进行评估之前编写一个拦截器来清理URL，如果是这样，它是否可以缓解这个问题？我的其他想法是以某种方式使用Java安全管理器来停止任意进程调用，这可能吗？它会临时修补这个洞吗？正在使用的服务器是jBoss，如果有人认为这是相关的。

Struts Action中的多个入口点（Migration Struts 2.2.3 – > 2.3.1）: 我在struts.xml中有一个动作 reprint /x ${errorFlag} ${message} /jsp/reprintOverview.jsp 一个JSP：有几个表单元素，都绑定到一个操作。每个表单都有一个具有不同method的单独提交按钮（例如“shopPdfReprint”）。每个method都映射到相应类中的方法。 Struts 2.2.3一切正常。但是在迁移到2.3.1之后，方法映射不起作用。而是调用相应的方法（例如“shopPdfReprint”），只调用类的execute -method。我看过Docs，但遗憾的是没有找到线索，如何适应2.3.1。有人遇到过这个吗？感谢帮助：]

使用Struts应用程序时出现404错误: 几天之后，我在运行Struts Web应用程序时遇到了一些问题。我尝试了StackOverflow的几个与我的问题有关的解决方案，但没有一个有效。 web.xml中 Struts2 Application struts2 org.apache.struts2.dispatcher.FilterDispatcher struts2 /* Login.jsp 在struts.xml Welcome.jsp Login.jsp Login.jsp页面 Struts 2 – Login Application | ViralPatel.net Struts 2 – Login Application LoginAction.java package net.viralpatel.struts2; public class LoginAction { private String username; private String password; public String execute() { if (this.username.equals(“admin”) && this.password.equals(“admin123”)) { return “success”; } else { return […]