挽星

摘要： exploit-db网站在7月14日爆出了一个Struts2的远程执行任意代码的漏洞。 漏洞名称：Struts2/XWork 这样的标签在struts2.0中是可以使用的，但是新版中就不解析了，原因就是“#”的问题导致的，补了漏洞，正常的使用也用不了了。所以sebug网站上的建议升级到2.2版本是不可行的。2.struts参数过滤。Java代码 .*\\u0023.*这个可以解决漏洞问题，缺点是工作量大，每个项目都得改struts配置文件。如果项目里，是引用的一个类似global.xml的配置文件，工作量相应减少一些。3.在前端请求进行过滤。比如在ngnix，apache进行拦截，参数中带有\ 阅读全文