一、数据校验

由于 Web 应用是基于请求/响应架构的应用，所以不管哪个 MVC Web 框架，都需要在

本文以Struts2的官方工作原理图作为主线讲解（参考部分书籍与视频）

1.初始概念

struts2是web.xml进行配置的一个过滤器，当web项目启动的时候，这个过滤器就会生效。

2.web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
xmlns="http://xmlns.jcp.org/xml/ns/javaee" 
xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee 
http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd" 
id="WebApp_ID" version="3.1">
  <display-name>zzh</display-name>

  <filter>
  	<filter-name>struts2</filter-name>
  	<filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
  </filter>
  <filter-mapping>
  	<filter-name>struts2</filter-name>
	<url-pattern>/*</url-pattern>
  </filter-mapping>
  
  <welcome-file-list>
    <welcome-file>index.jsp</welcome-file>
  </welcome-file-list>
</web-app>

1. 远程代码执行漏洞

漏洞检测或扫描方法：使用Nmap和Struts2-Scan脚本进行扫描；使用Metasploit的

《java高级框架应用开发SSH》，这本书是我大学教材，主要讲的是SSH框架。之前在网上看到有些公司还在用Struts2，简单过一遍Struts2，和Spring MVC的Servlet做对比，可以更好的理解Servlet。

全书分三大块，第一部分从第1章到第6章讲述Struts2，第二部分从第7章到第9章讲述Hibernate，第三部分从第10章到12章讲述Spring。

第一章：Struts+Spring+Hibernate概述

文章来源： 系统安全运维

Struts2-Scan

大家好，今天给大家演示的是一款基于jsp+struts2+hibernate+mysql实现的Java web在线考试系统，系统项目源码在【猿来入此】获取！其中struts版本为struts2，主要实现的功能有：管理员管理学生信息、管理成绩、管理课程、管理题目等功能，学生登录选择科目进行考试、查看成绩等功能，项目包含完整的源码及教你如何导入配置运行的教程！

Struts2真是三天两头爆出漏洞来，特别是一爆出漏洞就建议升级到最新版，也是无语的，并且最新版相比老板还相差挺大的，这部这次需要从Struts2.3.32一下子就必须升级到最新版，这可让人头大，谷歌百度了几天都没有解决方案，大概是因为每个人的项目都是不同的吧，有些用纯注解，有些用配置文件，所以可能适合你的解决方案却不适合别人，最终还是得靠自己解决，下面整理了一下我的解决方案，其中有些错误只能通过修改源码来搞定的。

漏洞信息

漏洞号： CVE-2021-31805

漏洞等级：高危

漏洞状态：POC状态 已公开

EXP状态 已公开

技术细节 已公开

在野利用 未发现