項目驗收通過半年之后, 甲方找了一些網絡磚家用工具掃描我司做的社保卡申領系統, 找到了struts2漏洞S2-046, 真是服了, 只知道struts2有bug, 現在才知道它漏洞。
磚家們給出了修復建議:
方法一:升級Struts2至Struts 2.3.20.2,2.3.24.2,2.3.28.1版本修復該漏洞。(注:更新地址:
https://cwiki.apache.org/confluence/display/WW/Migration+Guide)
方法二:為應急修復,可以在Struts2配置文件中關閉動態方法調用來避免漏洞被利用。(注:配置屬性信息<constantname“struts.enable.DynamicMethodInvocation”value=“false”/>,此操作可能影響用戶信息系統其他正常功能,僅作為臨時應急修復手段)。
https://cwiki.apache.org/confluence/display/WW/Migration+Guide)
方法二:為應急修復,可以在Struts2配置文件中關閉動態方法調用來避免漏洞被利用。(注:配置屬性信息<constantname“struts.enable.DynamicMethodInvocation”value=“false”/>,此操作可能影響用戶信息系統其他正常功能,僅作為臨時應急修復手段)。
該系統使用的是struts2.3.15版本, 我們按照磚家的建議進行修復, 結果令人失望, 一點效果都沒有, 還好我自己到網上搜索了同樣的掃描工具來檢測, 不然以為修復好了反饋回去給hk人社局, 肯定會被罵死。。。
幸好有強大的搜索引擎, 我自己找到了解決方案, 就是到下面地址下載這些jar包更新到系統里面就好了:
http://download.csdn.net/download/lshj01/9790994
謝謝提供下載的大神!