struts2最近量产漏洞分析
http://netsecurity.51cto.com/art/201307/403739.htm
2013-07-18 15:09 佚名 比特网论坛
日前,Apache Struts2发布漏洞公告,称其Struts2 Web应用框架存在一个可以远程执行任意命令的高危漏洞。利用该漏洞,***可轻易攻陷网站服务器,获取网站注册用户的帐号密码和个人资料,而Struts2框架正广泛应用在国内大量知名网站上,包括各大门户、电商、银行等官网也受其影响。
日前,Apache Struts2发布漏洞公告,称其Struts2 Web应用框架存在一个可以远程执行任意命令的高危漏洞。利用该漏洞,***可轻易攻陷网站服务器,获取网站注册用户的帐号密码和个人资料,而Struts2框架正广泛应用在国内大量知名网站上,包括各大门户、电商、银行等官网也受其影响。
据360安全专家石晓虹博士介绍,由于Struts2属于底层框架,其漏洞影响范围广、利用难度低,“菜鸟”也可以使用***工具直接控制网站服务器,盗取用户数据库,甚至导致2011年底多家网站“密码库”泄露事件再次上演。
目前,网络上已开始一些自动化、傻瓜化的Stuts2漏洞***软件,只要在软件中填写存在Struts2漏洞的网站地址,即可直接执行服务器命令,读取网站数据或让服务器关机等操作。而不幸的是,国内大批网站均存在该漏洞,甚至连Stuts2之前的老漏洞尚未修复,从而将网站注册用户信息赤裸裸地暴露在******枪口面前。
石晓虹博士建议,广大网站应尽快自查漏洞、安装Apache官网补丁程序。对普通网民来说,近期最好更换一下常用网络帐号的密码,重要帐号密码应单独设置,以免网站密码库泄露危及自身帐号安全。
附:Struts2高危漏洞分析
此漏洞影响Struts2.0-Struts2.3所有版本,可直接导致服务器被***远程控制,从而引起数据泄露。漏洞根源在于,DefaultActionMapper类支持以"action:"、"redirect:"、"redirectAction:"作为导航或是重定向前缀,但是这些前缀后面同时可以跟OGNL表达式,由于struts2没有对这些前缀做过滤,导致利用OGNL表达式调用java静态方法执行任意系统命令。
这里以“redirect:”前缀举例,struts2会将“redirect:”前缀后面的内容设置到redirect.location当中,如图所示:
key.substring(REDIRECT_PREFIX.length())便是前缀后面的内容也就是OGNL表达式,struts2会调用setLocation方法将他设置到redirect.location中。然后这里调用mapping.setResult(redirect)将redirect对象设置到mapping对象中的result里,如图所示:
然而上面的过程只是传递OGNL表达式,真正执行是在后面,这里是在FilterDispatcher类中的dispatcher.serviceAction()方法,
这里跟入方法最终会在TextParseUtil这个类的调用stack.findValue()方法执行OGNL。
转载于:https://blog.51cto.com/5563447/1254797
struts2最近量产漏洞分析相关推荐
- 痞子衡嵌入式:串行NOR Flash的页编程模式对于量产效率的影响
大家好,我是痞子衡,是正经搞技术的痞子.今天痞子衡给大家分享的是串行NOR Flash的页编程模式对于量产效率的影响. 任何嵌入式产品最终都绕不开量产效率话题,尤其是对于主控是非内置 Flash 型 ...
- Struts2漏洞分析,漏洞波及全系版本
Struts漏洞分析 Apache Struts团队已经发布了Struts 2.3.15.1安全更新版本.在Struts2.3.15.1版本之前,存在着严重的安全漏洞,如果现在一些比较大的网站是 ...
- 全球存算一体技术研究及量产情况最新进展(收录于存算一体芯片赛道投资融资分析)
编者注: 随着技术研发的推进,存算一体技术逐渐由学术研究进入到产品研发阶段. 在存算一体赛道上,各家有各自不同的产品路线和存储器单元选择. 有的坚持走核心技术自研路线,有的则采纳国外先进IP核心. 需 ...
- 甲虫之王怀旧服新开的服务器是否自动开门,魔兽世界怀旧服:不刷虫皮也能当甲虫之王,钻漏洞可量产黑虫子...
原标题:魔兽世界怀旧服:不刷虫皮也能当甲虫之王,钻漏洞可量产黑虫子 虽然魔兽世界怀旧服五阶段开启时间尚未确定,但是大多数怀旧服玩家的目光都聚焦在五阶段即将开放的安其拉副本上.说到安其拉就不得不提魔兽世 ...
- 第14篇:Struts2框架下Log4j2漏洞检测方法分析与总结
Part1 前言 Log4j2漏洞出现有大半年的时间了,这个核弹级别的漏洞危害很大,但是这个漏洞检测起来却很麻烦,因为黑盒测试无法预判网站哪个应用功能在后台调用了log4j2记录日志功能.目前通用 ...
- 万字长文:功能安全量产落地的三座大山
导读: 本文由汽车电子与软件授权发布,作者为刘钊江. 如果说实践是检验真理的唯一标准,那么量产是检验功能安全落地的唯一标准.基于此,笔者根据以往的项目经验,总结了现阶段功能安全量产落地的三大主要困难, ...
- 【每日新闻】国内首款3D AI/MR芯片即将量产
点击蓝字关注我们更多精彩,请点击上方蓝字关注我们! 每日新闻播报 第04-22期 1趋势洞察 谭鸿鑫:科技企业估值的三大标准 清华大学谭鸿鑫表示:很多对科技企业的估值,停留在对技术的评价,其实就是无形 ...
- 自动驾驶年度激辩:量产由三要素驱动,本质是数据的军备竞赛 | MEET2022
编辑部 整理自 MEET 2022 量子位 | 公众号 QbitAI "AI在自动驾驶上是应用科学,除了一些核心算法的开发,70%是智能驾驶工程化."" "特斯 ...
- 单SoC芯片方案,或将加速行泊一体方案规模化量产应用
引言 在电子电气架构从分布式向域集中式演进的过程中,行泊一体域控方案应运而生.据不完全统计,到现在为止,国内至少已经有十几家厂商发布了行泊一体域控的解决方案. 整体来讲,行泊一体技术方案可以划分为中低 ...
最新文章
- POI实现Excel导入Cannot get a text value from a numeric cell
- 机器学习资源-Harvard Ph.D Sam维护
- hornetq_Spring 3 HornetQ 2.1集成教程
- 关于Feign的几个问题
- 前端npm install失败
- 常用的实现Javaweb页面跳转的方式
- 苹果CMS采集方法支持文章资源采集
- Xshell6和Xftp6的使用
- python 扫描枪_获取键盘输入或者USB扫描枪数据
- HTML CSS大学生期末网页大作业 DW个人网页设计 人物介绍 历史人物岳飞介绍
- VScode C/C++ 环境配置教程 (GCC)
- BAT、网易面试经验收集
- MT4外汇结余净值可用预付款
- 中国程序员开发的远程桌面火了!Mac可用,只有9MB,支持自建中继器
- PCI总线的旧计算机,游戏卡成幻灯片 旧电脑升级显卡应该注意什么?
- 怎么判断自己的牙齿是否需要做矫治
- 合租在北京,那些你不知道的事
- 小笨狗的编程感悟:如何成为一个优秀的程序员
- siri语音输入效果_如何输入Siri的语音命令
- 软件测试实验——编写测试用例