ognl

S2-059 Struts 远程代码执行漏洞（CVE-2019-0230），在不规范的使用某些 tag 等情况下，可能存在 OGNL 表达式注入，从而引发远程代码执行漏洞。 S2-060 Struts 拒绝服务漏洞（CVE-2019-0233），使得在上传文件并对其进行操作的时候，造成拒绝服务漏洞攻击。 使用腾讯云 Web 应用防火墙，腾讯云 Web 应用防火墙是基于 AI 的一站式 Web 安全解决方案

据最新公布的调查报告显示，撞库攻击正在大幅增加，过去一年半时间里，共有35亿次撞库攻击尝试。而在去年受到网络攻击的企业中，有一半是针对金融服务业的。 数据还显示，从去年12月初到今年5月，有近20万个网络钓鱼域名被发现，除了针对金融服务企业外，还有三分之二是针对一般用户的

2022年4月13日，Apache官方发布了Apache Struts2的风险通告，漏洞编号为CVE-2021-31805，漏洞等级：高危，漏洞评分：8.5。由于对CVE-2020-17530(S2-061)的修复不完善。导致一些标签的属性仍然可以执行OGNL表达式，当对标签属性中未经验证的原始用户输入进行二次解析时，可能会导致远程代码执行，攻击者可利用该漏洞从OGNL实现沙盒逃逸完成命令执行