框架中使用XML配置文件的好处

• 框架需要能够支持各种不同需求的系统，所以需要足够的灵活度。

• 使用配置文件可以满足对灵活度的要求。

• XML具有强大数据表示功能。

• XML可以有很方便的解析工具。

在315打假日，知名的Java Web框架Struts2发布了新一轮的安全公告，其中最惹国内眼球的，当属这个s2-29——Possible Remote Code Execution vulnerability，可能存在远程代码执行漏洞。对于这个漏洞我第一时间就是一直在跟踪，但是由于官方透露的细节是在台上，所以这里我只能通过github上代码的变更信息，来猜测这个漏洞点。所以本篇文章仅供各位参考。

0x01 漏洞猜想

由于之前Struts2出现问题时，官方被安全人员和使用者训斥，不应该在安全公告中透露漏洞细节以及利用方法，所以这次官方很乖的在公告里写了一些很模糊的内容。

2016年4月26日Struts2官方发布了Apache Struts 2任意代码执行漏洞（CVE-2016-3081, S02-32），该漏洞主要原因为在开启动态方法调用(DMI)的情况下，黑客可以利用漏洞直接执行任意代码，这一漏洞影响的软件版本为2.3.20-2.3.28，不过2.3.20.2、2.3.24.2两个版本除外，建议尽快升级到相应的最新版本，并关闭DMI。

这是自2012年Struts2命令执行漏洞大规模爆发之后，该服务时隔四年再次爆发大规模漏洞。

接中心技术支持企业绿盟通报，2017年9月5日，Apache Struts发布最新的安全公告，Apache Struts 2.5.x的REST插件存在远程代码执行的高危漏洞，漏洞编号为CVE-2017-9805（S2-052）。漏洞的成因是由于使用XStreamHandler反序列化XStream实例的时候没有任何类型过滤导致远程代码执行。

相关链接如下：

https://cwiki.apache.org/confluence/display/WW/S2-052