2. 질의 응답
  3. Struts 액션 이름 와일드 카드 일치가 강화 스캔에서 OGNL 보안 취약점이 있습니다.

Struts 액션 이름 와일드 카드 일치가 강화 스캔에서 OGNL 보안 취약점이 있습니다.

2017-04-12 14 views
1

기본 동작은 아래에서 struts.xml에 정의되어 있습니다. Fortify scan은 ""과 일치하는 "*"에 대해 불평합니다. Struts 2 액션 이름에서 와일드 카드 (*)를 사용하면 공격자가 Session과 같은 시스템 변수를 수정하거나 서버에서 임의의 명령을 실행할 수있는 OGNL 표현식으로 액션 이름을 평가할 수 있습니다.Struts 액션 이름 와일드 카드 일치가 강화 스캔에서 OGNL 보안 취약점이 있습니다.

<action name="*" class="XXXX.XXXXX.XXXX.GenericAction"> 
    <result>{1}.jsp</result> 
    <interceptor-ref name="defaultStacki18n" /> 
</action>

이 문제를 해결하는 방법?

출처

2017-04-12 user3378930

답변

1

이 문제는 Struts 2.3.14.3에서 해결되었습니다 (https://struts.apache.org/docs/s2-015.html 참조).

해결 방법은 허용 목록을 업그레이드하고 수정하는 것입니다.

약간 관련 : Google에 붙여 넣으면 결과의 첫 번째 페이지에 표시됩니다. 때로는 웹 검색만으로도 귀하의 질문에 대한 답변을 얻을 수 있습니다.

출처

2017-04-12 11:33:04

+0

hmmm. 고마워요 많이 – user3378930

+0

하지만 여전히 "화이트리스트를 수정하십시오"부분에 대해 혼란 스러워요 - ----- ----- {1} <인터셉터-REF .jsp를 NAME ="defaultStacki18n "/> user3378930

 관련 문제

  • 관련 문제 없음^_^