我们有一个使用Struts-1.2.4版本开发的项目。由于这个版本存在一些安全漏洞,我们计划只在1.x中采用一个新版本(而不是Struts 2,因为Struts 2是一个全新版本)。Struts1.x中的版本是什么版本,它没有安全漏洞,也是最好的版本?
谢谢你,苏尼尔
浏览 5提问于2018-05-10得票数 2
我在一个使用Struts 2的Maven项目上工作,最近我发现了Struts2中的一些安全漏洞,这些漏洞显然是在2.3.26版本中修复的。不幸的是,对Maven构建的最高Struts2版本是2.3.24.1,它与Struts2 页面上可下载的版本相匹配。我相信是Struts2.3.26的源代码和标记。
浏览 3提问于2016-03-21得票数 0
回答已采纳
2回答
如何修复struts漏洞
、、、、
我正在开发一个遗留应用程序,最近我了解到Struts1和Struts2版本中存在漏洞,并通过Google找到了以下链接。
在这里,我对如何修复这些漏洞感到困惑。有谁能在这方面给我指点。
浏览 4提问于2018-09-04得票数 0
1回答
最近的网络扫描显示了以下漏洞: Apache Struts s:a / s:url标记href元素XSS。下面是有关此漏洞的更多信息的链接:http://osvdb.org/show/osvdb/54122
我想修补这个漏洞,但是我所读到的所有内容都表明您需要更新struts包。
浏览 0提问于2014-06-24得票数 0
回答已采纳
根据,Struts2是易受攻击的,建议Struts2.3的用户升级到2.3.35;Struts2.5的用户需要升级到2.5.17。我使用的是struts 2.3版本&最新的版本只包含对该漏洞的修复,不保证向后兼容。
请建议我应该遵循哪些替代方案?
浏览 10提问于2018-08-23得票数 0
1回答
我使用的是Struts1.1版本。Fortify扫描工具在表单参数中报告XSS攻击的可能性。默认情况下,Struts标记可以防止xss攻击吗
浏览 0提问于2014-01-23得票数 0
1回答
春天“重定向”:“易受伤害?”
、、、、
我有一个面向公众的web应用程序,它使用Spring (3.2.x)和Security (3.1.x)。今天上午,我在访问日志中观察到以下形式的请求:这是在试图利用Spring的哪些缺陷或特性?Spring (或其他代码)在什么条件下评估EL表达式?如果${ }中的代码实际运行,它就会尝试将/etc/pa
浏览 2提问于2014-04-07得票数 1
回答已采纳
最近我做了一些漏洞扫描,发现了一些问题。一个关键问题是代码评估(Apache Struts),即攻击者可以在系统上执行任意Apache Struts代码。攻击者还可以执行任意系统命令。如果这是业务需求,则通过删除可以直接解释为Apache Struts源代码的任何数据来验证应用程序的所有输入。
有没有人可以帮我解决这类问题,因为我无法解决这个问题?
浏览 2提问于2018-03-28得票数 0
1回答
我支持一个较旧的应用程序,它使用struts和ibatis以及各种其他框架。按照struts的设置方式,它们根本无法访问这些jsp文件,让我担心的是它们根本无法创建这些文件。我如何才能防止这种情况发生?.ServletActionContext@getRequest()')(d))&(i12)(('\\43xman\\75@org.apache.struts2.ServletActionContext.ServletActionContext@getRequest()')(d))&(i2)((&
浏览 0提问于2013-05-07得票数 11
回答已采纳
我还有一个与JSP和安全问题有关的问题--如何测试这个问题( Struts 2标记库中不允许JSP表达式,因为出于安全考虑,允许黑客使用JSP将OGNL注入标记来做坏事),我做了很多搜索,但无法创建这样的测试用例
浏览 2提问于2013-08-02得票数 1
1回答
今天我第一次登录并看到它:
mysite.com/?debug=command&expression=%23res%3d%23context.get(\'com.opensymphony.xwork2.dispatcher.HttpServletResponse\'),%23res.setCharacterEncoding(%22UTF-8%22),%23req%3d%23context.get(\'com.opensymphony.xwork2.dispatcher.HttpServletRequest\'),%23res.getWriter().pr
浏览 0提问于2015-10-17得票数 0
回答已采纳
我有一个Struts项目,Struts版本2.3。
这个项目在Tomcat 7中运行得很好。最近,由于被一些中国ip入侵的应用程序,我们发现系统中存在一些Tomcat漏洞,所以我们计划将服务器升级到Tomcat 8,但是当我们比较Tomcat 8和Tomcat 7时,应用程序在Tomcat 8Tomcat8和Struts2.3之间是否存在兼容性问题?
浏览 2提问于2017-04-05得票数 0
回答已采纳
最近,Struts修补了一个允许攻击者执行远程代码的漏洞。显然,没有修补,这就像给黑色帽子一个红地毯欢迎与一股潮流。基本上,它允许像这样执行攻击命令:http://host/struts2-showcase/employee/save.action?redirect:%25{3*4}http://host/struts2-showcase/employee/save.action?java.l
浏览 9提问于2013-08-01得票数 6
回答已采纳
3回答
我正在使用常规Servlets将Java应用程序迁移到Struts2操作。提前谢谢。我的struts.xml <
浏览 4提问于2014-01-08得票数 0
1回答
我仍然在使用Struts 2.3.16。我已经浏览了Struts2文档,并尝试在我的JSP页面上使用lambda表达式。但不起作用。
浏览 3提问于2014-05-27得票数 1
回答已采纳
5回答
在Struts1中,我听说存在由引起的类加载器漏洞问题。但我无法在我的项目中重现这方面的内容。有人能帮我复制这个问题吗。我在谷歌上搜索过,但没有任何复制的程序。我的网络项目使用struts-1.1,Jboss -4.2.3.GA,Apache 2.2.0,MySql 5.0.37,JKMod,JDK 1.6.0_12,Ant 1.7.0。
浏览 8提问于2014-05-05得票数 2
回答已采纳
1回答
毒刺滤波器与参数验证滤波器
、、、、
我是java安全的新手,我需要为我的项目实现输入验证器,我们使用的是struts 2.5.13,我们正在通过对比安全工具进行测试。对比工具显示了一个漏洞,即“表达式语言注入”,在我对Owasp网站的研究中,我看到了两个项目,一个是Stinger过滤器,另一个是参数验证过滤器。
浏览 1提问于2018-06-10得票数 0
正如我所说的,我已经在struts2框架和hibernate中构建了th网站。但是,当在web上检查struts2时,xwork会引起问题。任何人请参考这个,并让我知道这是否消除任何问题。
浏览 6提问于2013-11-16得票数 1
回答已采纳
1回答
一个基于Apache Struts的网站使用central authentication service (cas)登录。我想知道是否需要在Struts中提供额外的csrf保护,以防cas没有提供这种保护。
此外,当提交凭据时,cas将以URL形式生成令牌。这是安全漏洞吗?
浏览 0提问于2014-06-06得票数 3
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
云直播
对象存储
腾讯会议活动推荐
腾讯云开发者
