在315打假日，知名的Java Web框架Struts2发布了新一轮的安全公告，其中最惹国内眼球的，当属这个s2-29——Possible Remote Code Execution vulnerability，可能存在远程代码执行漏洞。对于这个漏洞我第一时间就是一直在跟踪，但是由于官方透露的细节是在台上，所以这里我只能通过github上代码的变更信息，来猜测这个漏洞点。所以本篇文章仅供各位参考。

0x01 漏洞猜想

由于之前Struts2出现问题时，官方被安全人员和使用者训斥，不应该在安全公告中透露漏洞细节以及利用方法，所以这次官方很乖的在公告里写了一些很模糊的内容。

• spring mvc的入口是servlet，而struts2是filter，这样就导致了二者的机制不同。

• spring mvc是基于方法的设计，sturts2是基于类设计的。

springmvc将url和controller方法映射。映射成功后springmvc生成一个Handler对象，对象中只包括了一个method。方法执行结束，形参数据销毁。springmvc的controller开发类似service开发。strts2每次请求都会实例一个action，每个action都会被注入属性。spring mvc是方法级别的拦截，拦截到方法后根据参数上的注解，把request数据注入进去，在spring mvc中，一个方法对应一个request上下文。而struts2框架是类级别的拦截，每次来了请求就创建一个Action，然后调用setter getter方法把request中的数据注入；struts2实际上是通过setter getter方法与request打交道的；struts2中，一个Action对象对应一个request上下文。

2016年4月26日Struts2官方发布了Apache Struts 2任意代码执行漏洞（CVE-2016-3081, S02-32），该漏洞主要原因为在开启动态方法调用(DMI)的情况下，黑客可以利用漏洞直接执行任意代码，这一漏洞影响的软件版本为2.3.20-2.3.28，不过2.3.20.2、2.3.24.2两个版本除外，建议尽快升级到相应的最新版本，并关闭DMI。

这是自2012年Struts2命令执行漏洞大规模爆发之后，该服务时隔四年再次爆发大规模漏洞。

接中心技术支持企业绿盟通报，2017年9月5日，Apache Struts发布最新的安全公告，Apache Struts 2.5.x的REST插件存在远程代码执行的高危漏洞，漏洞编号为CVE-2017-9805（S2-052）。漏洞的成因是由于使用XStreamHandler反序列化XStream实例的时候没有任何类型过滤导致远程代码执行。

相关链接如下：

https://cwiki.apache.org/confluence/display/WW/S2-052

今天接着昨天的内容：

目标:使用反射知识取到配置在xml文件中的类

回顾昨天的内容:

为了不配置多个servlet,而采用一个ActionServlet来处理很多个请求,但是

• 单一的Servlet中存在大量的if….else if的判断，不利于开发维护，也不满足“分”的思想

• 如何解决？

解决方案: