項目驗收經過半年以後, 甲方找了一些網絡磚家用工具掃描我司作的社保卡申領系統, 找到了struts2漏洞S2-046, 真是服了, 只知道struts2有bug, 如今才知道它漏洞。apache
磚家們給出了修復建議:網絡
方法一:升級Struts2至Struts 2.3.20.2,2.3.24.2,2.3.28.1版本修復該漏洞。(注:更新地址:
https://cwiki.apache.org/confluence/display/WW/Migration+Guide)
方法二:爲應急修復,能夠在Struts2配置文件中關閉動態方法調用來避免漏洞被利用。(注:配置屬性信息<constantname「struts.enable.DynamicMethodInvocation」value=「false」/>,此操做可能影響用戶信息系統其餘正常功能,僅做爲臨時應急修復手段)。
該系統使用的是struts2.3.15版本, 咱們按照磚家的建議進行修復, 結果使人失望, 一點效果都沒有, 還好我本身到網上搜索了一樣的掃描工具來檢測, 否則覺得修復好了反饋回去給hk人社局, 確定會被罵死。。。ide
幸虧有強大的搜索引擎, 我本身找到了解決方案, 就是到下面地址下載這些jar包更新到系統裏面就行了:
http://download.csdn.net/download/lshj01/9790994工具
謝謝提供下載的大神!ui