关于struts漏洞之---/struts/webconsole.html
使用扫描工具扫描出struts项目存放访问 路径:http:host:port/web//struts/webconsole.html,
刚开始以为是在项目的struts.xml配置文件中开启了开发模式,后来发现无论开启与否,甚至显式的关闭开发模式,这个链接都可以访问,
于是上网看看别人的解决办法,从先解决问题出发,按网上的办法进入如下路径:
struts2-core-*.jar\org\apache\struts2\interceptor\debugging\
删除了里面的所有静态文件,ftl,html,js,css,
再访问就变成404了,问题到此基础解决了,先交差吧,但,是否就只有这个“无奈”的解决方法呢?
于是将视线转向国外,在SO上找到如下两个自称解决办法的“办法”:
struts.xml中添加<constant name="struts.action.excludePattern" value="/struts/webconsole.html" />
及
web.xml中添加
<security-constraint>
<web-resource-collection>
<web-resource-name>OGNLconsole</web-resource-name>
<url-pattern>*/struts/webconsole.*</url-pattern>
</web-resource-collection>
</security-constraint>
经测试,这两种都“不能”解决问题,为什么使用双引号呢,因为如果真一点用的都没有,就干脆不用提了,
这两种方法方法都基于一种思想:权限,
第一种方法是想把某些url排除,而第二种方法也是对url进行详细配置,包括权限,
经过改良,第一种改成,必须使用 * ,不能是详细的后缀等形式
<constant name="struts.action.excludePattern" value="/static/.*" />
第二种改成正好相反,必须详细到后缀,不能使用万用格式 *
<security-constraint>
<web-resource-collection>
<web-resource-name>OGNLconsole</web-resource-name>
<url-pattern>/struts/webconsole.html</url-pattern>
</web-resource-collection>
<auth-constraint/>
</security-constraint>
至此,经过改良,已经不需要再对jar包进行修改了,应用的配置功能得以体现。