Servlets 基于Java的web应用程序（servlet/Java）中是否可能存在远程文件执行攻击？

除非有编程错误，比如执行用户提供的命令，或者有服务（servlet或struts操作或任何东西）检索用户作为输入传递的文件，否则有没有办法在Java web服务器上执行文件？

不，没有。如果有代码来执行外部程序，那么它可能会像在任何其他服务上一样被利用；但是如果没有这样的代码，也没有像Java代码那样编译和执行用户数据的疯狂的东西，那么就不可能有任何方法来进行这样的利用。

如果完全排除编程错误；不。但是你必须意识到，框架本身存在编程错误，即使它们可能比你的平均系统更健壮

我不知道任何导致纯Java servlet中代码执行的漏洞

至于JavaWeb框架，有很多例子。例如，您可以在这里查看Meder Kydyraliev的幻灯片，其中有几张是他发现的：

---

你没有给出太多的背景，所以很难给出一个好的答案。这一切归结为您需要应用程序的安全程度。

也许您可以尝试更好地描述您的场景和关注点？除非你只是想用一个普通的问题来挑起对话，否则你就不能指望得到一个有意义的答案。换言之；当然，您不应该能够在Java web服务器上执行远程代码，而Java web服务器并不是为此而设计的，而且，没有任何东西是真正安全的，可以用时间和资源抵御攻击者。