WooYun.org

Apache Struts2中WebWork框架使用XWork基于HTTP参数名执行操作和调用，将每个HTTP参数名处理为OGNL(对象图形导航语言)语句。为了防范攻击者通过HTTP参数调用任意方式，XWork使用了以下两个变量保护方式的执行：
　　- OgnlContext的属性xwork.MethodAccessor.denyMethodExecution(默认设置为true)
　　- SecurityMemberAccess私有字段allowStaticMethodAccess(默认设置为false)
　　为了防范篡改服务器端对象，XWork的ParametersInterceptor不允许参数名中出现“#”字符，但如果使用了Java的unicode字符串表示\u0023，攻击者就可以绕过保护，修改保护Java方式执行的值。进一步可调用java语句来执行任意命令，甚至控制操作系统。
　　之前Struts2官方补丁屏蔽了通过\u0023 (16进制的#) 攻击的方式，但仍可以利用\43(8进制的#)实施突破。