如何重现安全问题CVE-2014-0094。我用谷歌搜索,但找不到相同的引用。

最佳答案

得到它的工作。

我必须启用日志记录(对于ognl软件包)才能看到该错误。

将类似class.classLoader.resource.dircontext.docBase = someText的参数传递给struts2应用程序。

本地主机:8080 / sampleApp / showlogin.do?class.classLoader.resource.diretext.docBase = someText

然后在日志中,我将看到类似这样的内容。

java.lang.IllegalArgumentException: Document base base does not exist or is not a readable directory
    at org.apache.naming.resources.FileDirContext.setDocBase(FileDirContext.java:136)
    at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)


应用解决方法后,我在日志中看不到上述错误。

参考:
http://www.brentron.com/safe/web/9248.html
http://isayan.cocolog-nifty.com/diary/2014/04/s2-020.html

关于security - Struts2 + Classloader漏洞+如何复制,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/23341344/

10-10 07:31