2025年07月14日
在315打假日,知名的Java Web框架Struts2发布了新一轮的安全公告,其中最惹国内眼球的,当属这个s2-29——Possible Remote Code Execution vulnerability,可能存在远程代码执行漏洞。对于这个漏洞我第一时间就是一直在跟踪,但是由于官方透露的细节是在台上,所以这里我只能通过github上代码的变更信息,来猜测这个漏洞点。所以本篇文章仅供各位参考。
0x01 漏洞猜想
由于之前Struts2出现问题时,官方被安全人员和使用者训斥,不应该在安全公告中透露漏洞细节以及利用方法,所以这次官方很乖的在公告里写了一些很模糊的内容。
2025年07月14日
2016年4月26日Struts2官方发布了Apache Struts 2任意代码执行漏洞(CVE-2016-3081, S02-32),该漏洞主要原因为在开启动态方法调用(DMI)的情况下,黑客可以利用漏洞直接执行任意代码,这一漏洞影响的软件版本为2.3.20-2.3.28,不过2.3.20.2、2.3.24.2两个版本除外,建议尽快升级到相应的最新版本,并关闭DMI。
这是自2012年Struts2命令执行漏洞大规模爆发之后,该服务时隔四年再次爆发大规模漏洞。
2025年07月14日
接中心技术支持企业绿盟通报,2017年9月5日,Apache Struts发布最新的安全公告,Apache Struts 2.5.x的REST插件存在远程代码执行的高危漏洞,漏洞编号为CVE-2017-9805(S2-052)。漏洞的成因是由于使用XStreamHandler反序列化XStream实例的时候没有任何类型过滤导致远程代码执行。
相关链接如下:
https://cwiki.apache.org/confluence/display/WW/S2-052
2025年07月14日
大家好,今天给大家演示的是一款基于jsp+struts2+hibernate+mysql实现的Java web在线考试系统,系统项目源码在【猿来入此】获取!其中struts版本为struts2,主要实现的功能有:管理员管理学生信息、管理成绩、管理课程、管理题目等功能,学生登录选择科目进行考试、查看成绩等功能,项目包含完整的源码及教你如何导入配置运行的教程!
2025年07月14日
《“爱读书”--给你讲技术》,我来看书,你来进步,让我们开始吧!
书名为《轻量级JavaEE企业应用实战》,是本人在学习JavaEE框架的时候阅读的第一本书,本书对于框架及相关基础知识讲述的比较详细和浅显,适合初学者和需要全面了解JavaEE知识的人群。
本文内容为本书第四章
2025年07月14日
Struts2真是三天两头爆出漏洞来,特别是一爆出漏洞就建议升级到最新版,也是无语的,并且最新版相比老板还相差挺大的,这部这次需要从Struts2.3.32一下子就必须升级到最新版,这可让人头大,谷歌百度了几天都没有解决方案,大概是因为每个人的项目都是不同的吧,有些用纯注解,有些用配置文件,所以可能适合你的解决方案却不适合别人,最终还是得靠自己解决,下面整理了一下我的解决方案,其中有些错误只能通过修改源码来搞定的。
2025年07月14日
spring mvc的入口是servlet,而struts2是filter,这样就导致了二者的机制不同。
spring mvc是基于方法的设计,sturts2是基于类设计的。
springmvc将url和controller方法映射。映射成功后springmvc生成一个Handler对象,对象中只包括了一个method。方法执行结束,形参数据销毁。springmvc的controller开发类似service开发。strts2每次请求都会实例一个action,每个action都会被注入属性。spring mvc是方法级别的拦截,拦截到方法后根据参数上的注解,把request数据注入进去,在spring mvc中,一个方法对应一个request上下文。而struts2框架是类级别的拦截,每次来了请求就创建一个Action,然后调用setter getter方法把request中的数据注入;struts2实际上是通过setter getter方法与request打交道的;struts2中,一个Action对象对应一个request上下文。