北京seo顾问

北京seo顾问-移动端网站优化的冰桶算法2.0解析

今天和朋友们分享的主题是关于Struts 2漏洞（CVE-2018-11776）远程代码执行漏洞-s2057的问题，主题内容来自百度百科和百度安全指数平台。Struts2是一个基于MVC设计模式的Web应用框架，它本质上相当于一个servlet，在MVC设计模式中，Struts2作为控制器(Controller)来建立模型与视图的数据交互。

Struts 2是Struts的下一代产品，是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的St(北京seo顾问)ruts 2的体系结构与Struts 1的体系结构差别巨大。Struts 2以WebWork为核心，采用拦截器的机制来处理用户的请求，这样的设计也使得业务逻辑控制器能够与ServletAPI完全脱离开，所以Struts 2可以理解为WebWork的更新产品。虽然从Struts 1到Struts 2有着太大的变化，但是相对于WebWork，Struts 2的变化很小。【百度百科】

漏洞描述：

2018年8月22日，struts2官方发布了新版本，其中修复了一个高级别远程代码执行漏洞（CVE-2018-11776），该漏洞在编程人员未设置namespace值且上层动作配置（Action Configuration）也未设置names(北京seo顾问)pace值或使用通配符时可能会导致任意代码执行。

影响版本：

<struts2 2.5.17

<struts2 2.3.35漏洞等级:

高危

漏洞分析：

该次漏洞出现在namespace字段，诱发原因是namespace未在配置文件中定义，导致struts2核心包使用ActionProxy直接获取从前端传来的uri作为namespace参数，sturts2在解析uri时候使用了ognl表达式的解析函数，造成了远程代码执行漏洞。

可能的攻击向量

servletUrlRenderer.class

PostbackResult.class

ServletActionRedirectResult.class

VelocityResult.class

FreemarkerResult.class

TagUtils.class

从上面选取一处分析其威胁调用过程分析如下：

这里选取PostbackResult类查看其威胁调用的位置，位置如下图所示：

从上图中可以看到当namespace从ActionContext未获取到配置的时候，调用getProxy方法获取从前端传来的url中取得namespace，上图红线被调用在makePostbackUri方法中，其中postbackUri利用ActionMapping获取到了访问的Uri，这里会携带有从前端传来的攻击载荷。

继续分析makePostbackUri在execute方法中执行，如下图所示：

这里运行execute函数，进入到了StrutsResultSupport类中的execute函数当中，invocatin参数被使用在conditionParse方法中，如下图：

进入conditionalParse方法中发现invocation被OGNL库函数解析和执行，如下图所示：

解决方案：

将struts2-core*.*.*包升级至官方最高版本，未防止与原始版本有冲突建议全部替换成官方最新版本。

了解更多：http://www.cnnvd.org.cn/web/xxk/ldxqById.tag?CNNVD=CNNVD-201808-740

北京seo顾问-SEO相关（1）

最近百度搜索资源平台发布了关于智能小程序接入搜索基础操作的系列内容，着重针对小程序为朋友们提供一些相关的技术支持。今天转载一篇关于小程序新资源提交方式的内容，内容当中有视频讲解，感兴趣的朋友可以收藏一下。

百度搜索每天有亿级流量分发给小程序，为了帮助开发者更好地提升自己的业务效率，快速接入搜索，获取小程序红利。上半年，搜索资源平台快速升级各项工具供小程序开发者顺畅使用，并持续优化提升通路效率。

那么问题来了，小程序进入搜索前需要准备什么？小程序能通过哪些方式接入搜索？已经有H5站点的开发者该如何操作？带着这些问题，我们精心准备了4节线上视频课程，图（she(北京seo顾问)ng）文(qing)并茂，深入浅出，为大家讲解小程序进搜索的流程、技巧以及常见问题详解，帮助大家更高效地获取搜索流量。

第二节：小程序新资源提交方式

课程概要：对于新开通的，没有H5站点的小程序，需要将已开发的小程序资源提交到百度搜索。这样可以使搜索更快抓取和收录开发者的小程序资源。

视频内容可(北京seo顾问)以通过打开原文链接地址查看。

原文链接地址：https://ziyuan.baidu.com/college/videoinfo?id=2830

北京seo顾问-SEO相关（2）

随着手机等移动(北京seo顾问)端的日益发展，移动端网站关键词排名也(北京seo顾问)成为了现在seo网站优化的一种seo技术操作。今天分享的主题是百度搜索引擎最新发布的一则关于移动端冰桶算法的公告，这则公告来自百度站长工具，具体内容如下：

今日，百度站长平台发布了一条公告通知，如下：

亲爱的网站管理员：

秉承用户至上的原则，百度移动搜索不断更新系统、升级算法，一切都为了让用户拥有更顺畅的搜索体验。百度移动搜索冰桶算法近期将升级至2.0版本。2.0版本将严厉打击在百度移动搜索中，打断用户完整搜索路径的调起行为。

提示：冰桶算法2.0将于7月15日正式上线，希望站点及时进行整改，避免站点评价受损。

早在2015年6月2日的时候，百度站长平台就发表过关于移动端网站的seo优化操作当中，百度搜索引擎不建议的两种做法：

1，单一域名下请使用同一种配置方式(跳转适配、代码适配、自适应)，例如，不要把移动站的页面作为pc站网址中的一个子目录来配置。

2，如果使用跳转适配的方式，请不要使用JS对ua进行适配跳转。这种方式存在两个缺点：

a) 对用户：会加大由重定向的客户端造成的延迟；这是因为客户端需要先下载网页，接着解析并执行 Javascript，然后才能触发重定向。301或302则不会有这个延迟。

b) 对搜索：爬虫也需要使用支持JS渲染的爬虫，才能发现此重定向。

而今天所发布的冰桶算法2.0，则更加强调了对于移动端网站用户体验的要求，也就是说对于阻碍用户体验的很多行为，比如强制用户浏览移动端网站的APP下载页面，或者弹窗提升下载APP移动端网站的行为，对于这样的网站将会受到移动端搜索引擎的处罚。