# Feature Request 增加struts2的ognl表达式长度的安全策略

k4n5ha0 opened this issue 2 years ago · 2 comments

k4n5ha0 commented 2 years ago

Feature Request

增加对st2的ognl表达式长度的安全策略，官方文档建议不要超过400
主要是为了防护未知的新0day，目前经过压缩的最新exp长度为709
我考虑过很多方案，还给官方提pr，官方对默认长度限制也不是很积极，我觉得可以设置400为限制，如果超过了400则按照当前模式进行拦截或者打一条日志

CaledoniaProject commented 2 years ago

你可以写个算法，ognl语句长度超过400就直接阻断，可以提个PR

CaledoniaProject commented 2 years ago

已合入