默认操作在struts.xml中定义如下。 强化扫描抱怨“*”匹配说 - “在Struts 2动作名称中使用通配符(*)可以将动作名称评估为OGNL表达式,从而有效地允许攻击者修改会话等系统变量或在服务器上执行任意命令。”
<action name="*" class="XXXX.XXXXX.XXXX.GenericAction">
<result>{1}.jsp</result>
<interceptor-ref name="defaultStacki18n" />
</action>
如何解决此问题?
答案 0 :(得分:1)
这已在Struts 2.3.14.3中得到解决(参见https://struts.apache.org/docs/s2-015.html)。
解决方案是升级并修复白名单。
略有关联:将其粘贴到Google的第一页结果中;有时只是搜索网页会回答你的问题。