cve-2010-4478漏洞验证，cve-2016-2183漏洞复现

关于Apache Struts2 Struts2 是一个基于MVC 设计模式的Web 应用程序框架。本质上相当于一个servlet。在MVC设计模式中，Struts2充当控制器，在模型和视图之间建立数据交互。 Struts 2是下一代Struts，新的Struts 2框架集成了Struts 1和WebWork技术。它不再是主流的Web 技术，并且仍然存在于一些旧系统上。

高漏洞级别

漏洞分析：如果攻击者能够将Struts 2标签的属性值设置为恶意OGNL表达式，则可能发生RCE。

受影响范围Struts 2.0.0 至2.5.20

要升级到版本2.5.22 或更高版本，建议打开ONGL 表达式注入保护(https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections-attachs-if-easily-applicable)。安全性Struts2 和fastjson 在漏洞方面是密不可分的（它们是兄弟姐妹）。首先，它更有可能引起问题。二是问题影响大。经常导致RCE。三是涉案业务难以修复。作者建议企业制定适合自身情况的计划，通过分阶段更换来加速当前使用的Struts2系统的退役。

参考https://mp.weixin.qq.com/s/sRcP27-y_Ps-YGTZ3Y4uZQhttps://cwiki.apache.org/confluence/display/WW/S2-059https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections- Attacks-if-easy-applicablehttps://cert.360.cn/warning/detail id=d2b39f48fd31f3b36cc957f23d4777afhttps://stackoverflow.com/questions/6134411/jstl-escaping-special-characters/6135001#6135001