今天我的站点被扫描出了远程执行任意代码漏洞,以前一直知道struts2有这漏洞但一直没了解具体是哪个版本的漏洞,今天发现决定不再让它嚣张下去!
g了一大把资料,总结如下:
方案一:最直接了当,将struts2换到最新版本,比较麻烦,要换很多依赖jar包。
方案二:配置参数拦截器,将敏感参数拦截掉。
<package name="basePackage" extends="struts-default">
<interceptors>
<interceptor-stack name="baseStack">
...
<interceptor-ref name="params">
<param name="excludeParams">dojo\..*,^struts\..*,.*\\u0023.*,.*\\x5Cu0023.*,.*\\x5cu0023.*</param>
</interceptor-ref>
...
</interceptor-stack>
</interceptors>
<default-interceptor-ref name="baseStack" />
</package>
<package name="member" extends="basePackage" namespace="/member/">
...
</package> |
|