护网&HVV面试题
【汇总】HVV面试题
各种攻击工具/漏洞流量特征
面试怎么做自我介绍?
如何排查JAVA内存马
如何判断被搭建了什么隧道
如何识别web网站是否使用了Spring Boot框架
CSRF、SSRF和重放攻击有什么区别?
蜜罐的识别
护网日薪过千是骗局吗?
2025网络安全面试题大全
初级红队面试题
参加护网的要求
hvv面试题3
hvv面试题2
hvv面试题1
关于分析研判的一些问题回答(仅供参考)
怎么判断一个web网站使用了struts
本文档使用 MrDoc 发布
-
+
首页
怎么判断一个web网站使用了struts
可以通过以下几种方式判断一个网站是否使用了Struts框架: 1. 检查响应头中是否包含Struts相关信息。例如: ```X-Powered-By: Servlet/2.5 JSP/2.1 (Struts ?,Struts ?,Lotus-Notes/?,?)``` 如果响应头包含Struts相关字段,则很有可能使用了Struts。 2. 尝试访问Struts常用的Debug调试页面。例如: ```/struts/webconsole.html ``` ```/struts/debug.html``` 如果能访问到以上页面,则证明使用了Struts。 3. 扫描网站是否存在Struts漏洞可以利用的 endpoints。常见的有: ```- /struts2-showcase/``` ```- /struts2-blank/``` ```- /struts2-rest-showcase/``` 如果网站包含以上路径,则很可能基于Struts构建。 4. 发送Struts特有的请求参数以触发响应。例如: ``` ?debug=command&expression=(%23_memberAccess.allowStaticMethodAccess%3Dtrue,%23foo%3Dnew%20java.lang.Boolean%28false%29,%23context%5B%27com.opensymphony.xwork2.dispatcher.HttpServletResponse%27%5D.org.apache.struts2.ServletActionContext.getResponse().getWriter().println%28%23foo%29)` ``` 如果该请求能够响应,则证明网站使用Struts构建。 5. 其他方式:检查页面源代码是否包含Struts相关JS文件引入;扫描网站可能存在的已知Struts漏洞; fuzzing网站的参数以寻找Struts漏洞等。
无涯
2025年4月1日 11:30
转发文档
收藏文档
上一篇
下一篇
手机扫码
复制链接
手机扫一扫转发分享
复制链接
Markdown文件
分享
链接
类型
密码
更新密码