升级到Struts 2.3.32。从org.apache.tiles.servlet.context.ServletUtil获取系统错误

升级到Struts 2.3.32是指将Struts框架升级到版本2.3.32。Struts是一个基于Java的开源Web应用程序开发框架，用于构建企业级Java Web应用程序。升级到Struts 2.3.32可能是为了获得最新版本的功能改进、性能优化和安全修复。

关于从org.apache.tiles.servlet.context.ServletUtil获取系统错误，org.apache.tiles是Struts框架中的一个模块，用于处理视图模板。ServletUtil是该模块中的一个工具类，用于获取Servlet上下文中的错误信息。

在Struts 2.3.32中，可以通过以下步骤获取系统错误：

导入org.apache.tiles.servlet.context.ServletUtil类：

import org.apache.tiles.servlet.context.ServletUtil;

在合适的位置调用ServletUtil的getErrorAttribute方法获取系统错误：

Throwable error = ServletUtil.getErrorAttribute(request);

可以进一步处理获取到的错误信息，例如打印错误堆栈轨迹或者进行其他处理。

需要注意的是，以上代码仅适用于Struts 2.3.32版本及以上。如果使用的是旧版本的Struts，可能需要根据具体版本进行调整。

关于推荐的腾讯云相关产品和产品介绍链接地址，由于要求不能提及具体的云计算品牌商，无法给出具体的推荐产品和链接地址。但是腾讯云作为一家知名的云计算服务提供商，提供了丰富的云计算产品和解决方案，可以根据具体需求在腾讯云官方网站上查找相关产品和文档。

相关·内容

关于最新Struts2 S2-045漏洞修复措施的几点重要说明

目前Struts2官方已经确认漏洞（漏洞编号S2-045，CVE编号：CVE-2017-5638），并定级为高危风险。该漏洞影响范围极广，影响国内外绝大多数使用Struts2开发框架的站点。...受影响的软件版本为：Struts 2.3.5 - Struts2.3.31, Struts 2.5 - Struts 2.5.10 攻击者可通过发送恶意构造的HTTP数据包利用该漏洞，在受影响服务器上执行系统命令...安恒信息建议您采取以下措施有效防范Struts2 S2-045漏洞： 升级到Struts2.3.32 或者Struts 2.5.10.1版本。.../release/struts/2.3.32/ 删除commons-fileupload-x.x.x.jar文件。...如果升级或删除文件的方式均不可行，建议部署安恒信息的WAF、玄武盾、APT等产品并确保规则库已经升级到最新版本。目前上述产品均已支持Struts2 S2-045漏洞的策略更新，可以有效防范该漏洞。

1.3K4 0

Struts2升级版本至2.5.10，高危漏洞又来了

，恶意用户可以通过修改HTTP请求头中的Content-Type值来触发该漏洞，进而执行任意系统命令，导致系统被黑客入侵。...漏洞分析请移步：https://yq.aliyun.com/articles/72008 建议如果这个版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10...之间则存在漏洞，请升级到struts 2.3.32或2.5.10.1版本(哔了狗了狗了，公司还在用struts2)。...由于目前使用版本是struts2-core-2.3.28，于是赶紧升了下级别，略过2.3 直接升级到2.5版本。... 否则会一直报以下错误

1.3K3 0

漏洞预警 | Apache Struts2 曝任意代码执行漏洞 (S2-045,CVE-2017-5638)

FreeBuf上次曝Struts 2的漏洞已经是半年多以前的事情了。这次的漏洞又是个RCE远程代码执行漏洞。...和网藤均已支持该漏洞的检测： · 漏洞盒子lab检测地址：https://www.vulbox.com/lab · 网藤地址：www.riskivy.com【点击阅读原文检测】漏洞盒子lab是一款流行漏洞在线安全检测系统...其中的jakarta解析器是Struts 2框架的标准组成部分。默认情况下jakarta是启用的，所以该漏洞的严重性需要得到正视。...影响范围 Struts 2.3.5 – Struts 2.3.31 Struts 2.5 – Struts 2.5.10 修复方案如果你正在使用基于Jakarta的文件上传Multipart解析器，请升级到...Apache Struts 2.3.32或2.5.10.1版；或者也可以切换到不同的实现文件上传Multipart解析器。

1.2K8 0

Web安全学习笔记之Nmap脚本编写

"stdnse" local string = require "string" local vulns = require "vulns" 这些基本用于发送HTTP请求、字符串操作、漏洞结果生成、错误调试...添加一个漏洞描述： description = [[ The Jakarta Multipart parser in Apache Struts 2 2.3.x before 2.3.32 and...portrule变量名不可改变，否则会解析错误。当这个函数范围true的时候，我们的漏洞检测函数才会被自动调用。...:) 获取了结果对象我们就可以进行内容匹配了，如果在内容中寻找到我们的“YES”，那么就存在漏洞。...Jakarta Multipart parser in Apache Struts 2 2.3.x before 2.3.32 and 2.5.x before 2.5.10.1 mishandles

1.1K5 0

apache struts2漏洞但是系统没有用_tomcat ajp漏洞

： Struts 1和Struts 2。...Struts 2是Struts的下一代产品，是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。...} } 0x02漏洞危害通过Jakarta 文件上传插件，可执行具有恶意Content-Disposition 值或具有不正确Content-Length 报头的RCE攻击，直接获取应用系统所在服务器的控制权限...，进而控制网站服务器 0x03 修复建议 1、升级版本：请升级至Struts2安全版本 Struts 2.3.32：https://cwiki.apache.org/confluence/display.../WW/Version+Notes+2.3.32 Struts 2.5.10.1：https://cwiki.apache.org/confluence/display/WW/Version+Notes

2392 0

安恒研究院发现史上最严重的Struts2安全漏洞

目前Struts2官方已经确认漏洞（漏洞编号S2-045，CVE编号：cve-2017-5638），并定级为高危。...由于该漏洞影响范围极广（Struts2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10），漏洞危害程度极为严重，可直接获取应用系统所在服务器的控制权限。...A Struts2.3.5 到 Struts2.3.31以及 Struts2.5 到 Struts2.5.10。 Q 该漏洞的修复方式？...A 更新至Struts2.3.32 或者Struts 2.5.10.1或使用第三方的防护设备进行防护 Q 该漏洞的危害程度？...A 黑客可以利用该漏洞通过浏览器在远程服务器上执行任意系统命令，将会对受影响站点造成严重影响，引发数据泄露、网页篡改、植入后门、成为肉鸡等安全事件。 Q 为什么说本次漏洞影响极大？

8264 0

CVE-2017-5638 S2-046 远程代码执行漏洞

1 漏洞信息漏洞名称远程代码执行漏洞漏洞编号CVE-2017-5638危害等级高危漏洞类型中间件漏洞漏洞厂商Apache漏洞组件Struts2受影响版本2.0.0 <= Struts2 <= 2.3.32...漏洞概述该漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息，导致远程攻击者可通过修改HTTP请求头中的Content-Type值，构造发送恶意的数据包，利用该漏洞进而在受影响服务器上执行任意系统命令...2 环境搭建2.1 环境概述Linux操作系统2.2 搭建过程拉取镜像 cd vulhub/struts2/s2-046 docker-compose up -d访问http://192.168.146.158...(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream()))....(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).

8242 0

熟悉的Str2-045，不一样的认识

准备从漏洞的调用链，到Bypass安全管理器到POC的拆分理解。...发现通过MultPartReques.class的类类型，来获取MultPartReques实例 ?...为了说为什么是主角，拿出了struts2-2.3.32也就是官方修复后不存在漏洞的版本。也就是下图。 ? 发现官方的修复方案就是对LocalizedTextUtil.findText进行了处理。...当然还是不能，因为Struts2自己的安全管理器，对非法字符进行了黑名单校验。像我们要想执行命令的Runtime ，System，Classloder的危险类全部禁止掉了，那我们怎么去执行系统命令。...当然有可能又的地方分析的不太准确或者错误，毕竟刚接触Java不久也不是做开发的，全凭兴趣和好奇心。另外给大家分享两个Java反编译小工具jd-gui和luyten。

9658 0

Apache Struts2 Remote Code Execution (S2-045)

可以了解到的是该漏洞利用点为文件上传http请求头中的Content-Type，Struts2在处理错误信息时出现问题，可以在此处注入OGNL表达式造成RCE。...Code Review code review struts2 2.3.24 从Struts2的入口来分析，StrutsPrepareAndExecuteFilter 是struts2默认配置的入口过滤器...{‘cmd.exe’,’/c’,#cmd}:{‘/bin/bash’,’-c’,#cmd})来判断目标主机的操作系统类型，并选择性的进行指令赋值，最终将攻击指令执行批量检测POC执行效果 ?...的jar包替换原jar文件进行升级，有三个包必须要升级（升级前备份原版本jar包）： Struts2-core-2.3.32.jar：struts2核心包，也是此漏洞发生的所在； xwork-core...-2.3.32.jar：struts2依赖包，版本跟随struts2一起更新； ongl-3.0.19.jar：用于支持ognl表达式，为其他包提供依赖；建议先在测试环境进行升级测试，查看是否会影响业务正常运行

1.2K3 0

美国征信巨头Equifax数据泄露：不及时修复漏洞，就是给自己埋不定时炸弹

美国征信巨头 Equifax 日前确认，黑客利用其系统中未修复的 Apache Struts 漏洞（ CVE-2017-5638，3 月 6 日曝光）发起攻击，导致了最近影响恶劣的大规模数据泄漏事件。...上周我们报道过，黑客在 5 月中旬至 7 月下旬一直秘密入侵 Equifax 系统，获取 1.43 亿用户信用记录，包括名称、社会保障号、出生日期、地址，以及一些驾驶执照号码等。...Equifax 最初发布声明表示，网络犯罪分子利用某个“U.S. website application”中的漏洞获取文件。后来经调查，该应用程序就是大家耳熟能详的 Apache Struts。...当时这个漏洞的评分为最高分 10 分，Apache 随后发布 Struts 2.3.32 和 2.5.10.1 版本，进行修复。...上图是从 Equifax 服务器中获得的内容。有黑客发布了一些窃取的数据，表明了入侵的途径、手段等。据研究人员分析，Equifax 所谓的“管理面板”都没有采取任何安保措施。

1.7K6 0

CVE-2017-9791 S2-048 远程代码执行漏洞

1 漏洞信息漏洞名称远程代码执行漏洞漏洞编号CVE-2017-9791危害等级高危漏洞类型中间件漏洞漏洞厂商Apache漏洞组件Struts2受影响版本2.0.0 <= Struts2 <= 2.3.32...漏洞概述攻击者构造恶意字段值（value）通过Struts2的struts2-struts1-plugin传递给被攻击主机，从而实现RCE，获取远程主机的控制权限。...2 环境搭建2.1 环境概述Linux操作系统2.2 搭建过程拉取镜像 cd vulhub/struts2/s2-048 docker-compose up -d访问http://192.168.146.158

3724 0

重磅 | Struts2 S2-048远程代码执行漏洞分析报告

Struts2 S2-048 远程代码执行漏洞分析报告安全通告尊敬的客户: 2017年7月7日，Struts2官方公布最新的Struts2远程代码执行漏洞S2-048，在一定条件下，该漏洞允许攻击者远程执行代码...网站安全监测平台、Web应用弱点扫描器、远程安全评估系统和等级保护安全检查工具箱也已升级，可以检测该漏洞，建议上述产品用户尽快将规则库升级到最新版本。...当开发人员在Struts2开发框架中使用插件 “Struts1”，且该插件允许应用使用Struts 1的Actions 和 ActionForms ，此时如果将请求参数值作为构建 ActionMessage...调用com.opensymphony.xwork2.ActionSupport的getText(String aTextName)的方法来获取对象的错误消息。...getDefaultMessage(String key, Locale locale, ValueStack valueStack, Object[] args, String defaultMessage)方法来调用ognl获取对应的错误消息

1.1K8 0

西方红玫瑰和辣条先生黑产组织深度分析报告

Struts2的安全漏洞从2010年开始陆续被披露存在远程代码执行漏洞，从2010年的S2-005、S2-009、S2-013 S2-016、S2-019、S2-020、S2-032、S2-037、devMode...网镜高级威胁检测系统检测到111.73.45.188 的Struts2-045攻击 ?...通过对上述三个样本（2022.exe、3597.exe、7021.exe）分析认定三个样本都是DDoS攻击木马，针对Windows平台创建自动启动，获取操作系统信息上传到C2服务器；并等待黑客组织的攻击指令对目标网站及服务器发起...比对操作系统版本信息，判断操作系统版本 ? 获取系统语言信息 ? 获取CPU信息 ?...以及 Struts2.5 到 Struts2.5.10之间则存在漏洞，更新至Strusts2.3.32或者Strusts2.5.10.1，或使用第三方的防护设备进行防护。

2.9K5 0

常规36个WEB渗透测试漏洞描述及修复方法--很详细

，导致攻击者通过弱口令可轻松登录系统中，从而进行下一步的攻击，如上传webshell，获取敏感数据！　　...（4）、暴力破解　　漏洞描述　　由于没有对登录页面进行相关的防暴力破解机制，如无验证码、有验证码但验证码未在服务器端校验以及无登录错误次数限制等，导致攻击者可通过暴力破解获取用户登录账户及口令，从而获取网站登录访问权限...黑客可在服务器上执行任意命令，写入后门，从而入侵服务器，获取服务器的管理员权限，危害巨大。　　修复建议　　严格过滤用户输入的数据，禁止执行非预期系统命令！　...一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统）。...1、建议用户到官方获取最新补丁或者最新版本程序！　　2、更新至Strusts2.3.32或者Strusts2.5.10.1，或使用第三方的防护设备进行防护。

1.8K1 0

常规web渗透测试漏洞描述及修复建议

，导致攻击者通过弱口令可轻松登录系统中，从而进行下一步的攻击，如上传webshell，获取敏感数据！...暴力破解漏洞描述由于没有对登录页面进行相关的防暴力破解机制，如无验证码、有验证码但验证码未在服务器端校验以及无登录错误次数限制等，导致攻击者可通过暴力破解获取用户登录账户及口令，从而获取网站登录访问权限...黑客可在服务器上执行任意命令，写入后门，从而入侵服务器，获取服务器的管理员权限，危害巨大。修复建议严格过滤用户输入的数据，禁止执行非预期系统命令！...一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统）。...1、建议用户到官方获取最新补丁或者最新版本程序！ 2、更新至Strusts2.3.32或者Strusts2.5.10.1，或使用第三方的防护设备进行防护。

2.8K4 0

深入理解Struts2----数据校验

对于我们的web应用，我们经常需要和用户进行交互收集用户信息，那么无论是用户误操作还是恶意攻击，这些错误的信息一旦被传入到后台，小则导致程序异常关闭，大则导致整个系统瘫痪。...数据校验就是对用户的输入做一层过滤，保护我们的系统免受侵入。...强调的是从全局粗略的感受下，不用在意具体的代码。...首先解压xwork-core-2.3.32.jar，从com\opensymphony\xwork2\validator\validators中找到default.xml并打开： ?...FieldError中，判断两次输入的密码是否一致，如果不一致打包错误信息添加到FieldError中。

7587 0

国内黑客论坛已出现自动攻击已知Struts漏洞的工具

这款工具利用以下Struts漏洞来损坏服务器：S2-016 (CNNVD-201307-308), 在7月16号发布的 Struts 2.3.15.1 中已得到修复; S2-013 (CNNVD-201305...-493), 在5月22号发布的Struts 2.3.14.1 中已得到修复; S2-009 (CNNVD-201202-031), 在2012年1月的Struts 2.3.1.2 已被修复; 还有S2...一旦有黑客用Struts工具进入了Linux或Windows服务器，他们可以执行预配置命令，这样就可以提取服务器操作系统，目录结构，活跃用户和网络配置的相关信息。...功能更强大的Web Shell在黑客论坛上也是可以轻易获取的，黑客可以利用这些工具从已被侵入的服务器上搜寻并窃取信息。...Struts程序员警告称，升级到此版本或许会影响到一些依赖这些特性的应用，所以他们推荐用修补后的导航规则替换已被弃用的前缀。

1.1K5 0

Apache Struts2 再现严重漏洞。。。

2.0.0 到 2.5.29 版本中存在的一个远程代码执行漏洞；攻击者可以利用此漏洞来控制受影响的系统。...对此，美国网络安全和基础设施安全局 (CISA) 也发布公告敦促组织查看 Apache 的公告，并尽快升级到最新的 Struts 2 补丁版本。...它被集成在 Struts2 等框架中，作用是对数据进行访问；拥有类型转换、访问对象方法、操作集合对象等功能。...作为解决措施，Apache 方面建议开发人员避免基于不受信任的用户输入在标签属性中使用强制 OGNL 评估，和/或升级到 Struts 2.5.30 或更高版本，以检查表达式评估是否不会导致双重评估。...关注Java技术栈看更多干货获取 Spring Boot 实战笔记！

9153 0

ctf之Web

（7）避免网站显示SQL错误信息，比如类型错误、字段不匹配等，防止攻击者利用这些错误信息进行一些判断。...11.暴力破解漏洞描述由于没有对登录页面进行相关的人机验证机制，如无验证码、有验证码但可重复利用以及无登录错误次数限制等，导致攻击者可通过暴力破解获取用户登录账号和密码。...一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统）。...34.Apache Struts2 DevMode 远程代码执行漏洞漏洞描述为了便于开发人员调试程序，Struts2提供了一个devMode模式，可以方便查看程序错误以及日志等信息。...1、建议用户到官方获取最新补丁或者最新版本程序。 2、更新至Strusts2.3.32或者Strusts2.5.10.1，或使用第三方的防护设备进行防护。

1.9K3 0

Struts S2-052漏洞利用方式实验解析（附EXP）

Struts2的漏洞之王大之名相信已经家户喻晓了。...从S2-003、S2-005、S2-007、S2-008、S2-009、S2-012~S2-016、S2-037、S2-045、S2-048.等等，而2017年9月5日又收到来自Struts2新的“惊喜...small) 一、判断操作系统及端口开放：本机使用nmap识别一下操作系统（重要）： nmap -o 101.200.58.* 根据下图目标开放的端口（135.139.445.3389）可以知道...：目标使用的是windows系统。...解决方案 1.建议尽快升级到 2.5.13版本。 2.在不使用时删除 Struts REST插件，或仅限于服务器普通页面和JSONs：

2.3K9 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云