struts2漏洞 S2-013原理

Struts2 标签中 和 都包含一个 includeParams 属性，其值可设置为 none，get 或 all，参考官方其对应意义如下：

none - 链接不包含请求的任意参数值(默认)

get - 链接只包含 GET 请求中的参数和其值

all - 链接包含 GET 和 POST 所有参数和其值

用来显示一个超链接，当includeParams=all的时候，会将本次请求的GET和POST参数都放在URL的GET参数上。在放置参数的过程中会将参数进行OGNL渲染，造成任意命令执行漏洞。

、

终端机就是把一个主机分成多个用户同时使用的设备，可以把一个主机分出来让1-50个人同时使用这台主机，其余的每个分机用一台显示器，一套鼠标键盘，一个终端机组成一套独立的电脑。

每个终端机都可以同时、独立的进行网上冲浪、网络游戏及ASP、Instant Messenger(即时通信)、Private E-Mail(私人电子邮件)等互联网应用，还可以用于Office套装软件、半多媒体等任何Windows应用软件，而无需要复杂又昂贵的标准计算机。