在struts2中的filter在weblogic中无效

发布于 2021-11-27 17:08:15 字数 1797 浏览 950 评论 8

应用上有个漏洞,漏洞如下

在web.xml中添加过滤器

<!-- 	修复Struts OGNL控制面板泄露漏洞,添加访问过滤,过滤掉问题链接 -->
	<filter>  
        <filter-name>ognlFilter</filter-name>  
        <filter-class>OgnlFilter</filter-class>  
     </filter>  
     <filter-mapping>  
        <filter-name>ognlFilter</filter-name>  
       <url-pattern>*/struts/webconsole.html</url-pattern> 
     </filter-mapping>



过滤器

import java.io.IOException;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * @author weber
 *    Struts OGNL控制面板泄露漏洞链接过滤
 *      
 */
public class OgnlFilter implements Filter{

	@Override
	public void destroy() {
		
		
	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain arg2) throws IOException, ServletException {
		 HttpServletRequest req = (HttpServletRequest) request;  
	     HttpServletResponse resp = (HttpServletResponse) response;  
	     //跳转到错误界面
	     resp.sendRedirect("/404.jsp");
		
	}

	@Override
	public void init(FilterConfig arg0) throws ServletException {
		
		
	}

}



在本地好使,但是发布到weblogic的时候就无效了,求助啊!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(8

鹤舞 2021-12-01 17:59:22

这个页面如果你没有引入dojo的jar也是无法正常使用的...

女中豪杰 2021-12-01 17:10:29

还有,这个不是一个漏洞,是...个功能...但你要是发布了不关...就是功能性漏洞了...

噩梦成真你也成魔 2021-12-01 11:42:30

回复
我再试一试

琴流音 2021-12-01 10:59:03

回复
还有啊,你weblogic应该还有另外的几个配置才能跑struts2...你都配过了?[44]你这么聪明.....

柳若烟 2021-12-01 07:20:50

回复
weblogic是配置好了的,改这个还需要什么特殊配置么?求教啊

眉黛浅 2021-11-30 23:46:50

回复
weblogic需要配置什么?

拥有 2021-11-30 21:28:19

回复
我在本地配置了那两行代码都不好使啊

奢华的一滴泪 2021-11-29 10:53:11

不需要这么麻烦.

解决办法:二选一或保险点两个都做了

1.升级

2.添加排除:struts.xml中:(或properties里)

<constant name="struts.devMode" value="false" />
<constant name="struts.action.excludePattern" value="/struts/webconsole.html,/struts/webconsole.js,/struts/webconsole.css"/>

~没有更多了~
我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
原文