struts2安全漏洞及解决办法

最新推荐文章于 2022-08-01 11:49:44 发布
最新推荐文章于 2022-08-01 11:49:44 发布
阅读量1.3k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andyLiuJava/article/details/43735749
版权
http://blog.csdn.net/chals115/article/details/9387239

struts2安全漏洞及解决办法

分类: struts2 互联网 安全  2013-07-20 00:43  172人阅读  评论(0)  收藏  举报

          7月17日,世界知名开源软件struts 2爆出了2个高危漏洞,这些漏洞可使黑客取得网站服务器的“最高权限”,从而使企业服务器变成黑客手中的“肉鸡”。

 

详细漏洞信息:
  http://struts.apache.org/release/2.3.x/docs/s2-016.html

  http://struts.apache.org/release/2.3.x/docs/s2-017.html
  http://struts.apache.org/release/2.3.x/docs/version-notes-23151.html

目前,官方已经发布高危安全漏洞补丁升级(最新版本为:2.3.15.1,下载地址:http://struts.apache.org/download.cgi#struts23151),升级修补了多个安全漏洞,其中包括这个远程任意代码的高危安全漏洞。


关于此漏洞,最好的解决方法当然是将struts2的jar包更新到最新版本。不过对于不同struts2版本,升级会引起一些包冲突。

升级步骤:
1.下载到的更新包中主要用到以下几个替换掉旧版本的:
commons-lang3-3.1.jar (保留原有的commons-lang.jar,因为升级后,org.apache.commons.lang.StringUtils类被 org.apache.commons.lang3.StringUtils替换了,所有要保留原有包)
javassist-3.4.GA.jar (新加包)
ognl-3.0.6.jar (替换旧版本)
struts2-core-2.3.15.1.jar (替换旧版本)
xwork-core-2.3.15.1.jar (替换旧版本)
struts2-spring-plugin-2.3.15.1.jar(替换旧版本)


2.如果原有spring包版本太低,如2.0,还需要升级spring包到2.5版本。
struts2.1以下版本,需要检查struts的xml配置文件,type="redirect" 改为 type="redirectAction"。


3.修改 web.xml文件


struts-cleanup
org.apache.struts2.dispatcher.ActionContextCleanUp


struts-cleanup

public class SqlFilter implements Filter {
public static final Logger logger = Logger.getLogger(sun.reflect.Reflection.getCallerClass(1));
//需要过滤的post字符
private static String sqlStr="',<,>,and,exec,insert,select, ,delete,update,count,*,%,chr,mid,master,truncate,char,like,declare,&,#,(,),,=,script,

andyLiuJava
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Struts2低版本安全漏洞解决办法
01-12
Struts2低版本安全漏洞解决办法 Struts2低版本安全漏洞解决办法
18-struts2安全漏洞解决办法
高调做事,低调做人!
05-09 1359
http://blog.csdn.net/chals115/article/details/9387239 struts2安全漏洞解决办法 分类: struts2 互联网 安全 2013-07-20 00:43 172人阅读 评论(0) 收藏 举报 struts2安全漏洞filter           7月17日,世界知名开源软件struts 2爆出了2个高危漏
程序世界系列之-struts2安全漏洞引发的安全杂谈(上)
weixin_33725272的博客
07-25 440
目录: 1.讨论关于struts 安全问题。 2.黑客文化。 3.如何降低安全漏洞的出现。 4.忠告建议。 题记: 这篇文章本来很早应该和大家见面的,中间由于个人原因调整了系列文章发布时间,实属罪过。为了不误导大众文章中间讲述的经历想法实战,均属个人看法个人行为不代表任何团体及组织。观看者请保留自己的想法观点!欢迎各位热爱编程的技术人员交流。废话不多,开始正文。 1.讨论...
Struts2 高危漏洞修复方案 (S2-016/S2-017)
kutekute的专栏
08-27 1579
建忠 闫. 于 星期四, 08/08/2013 - 08:09 提交 近期Struts2被曝重要漏洞,此漏洞影响struts2.0-struts2.3所有版本,可直接导致服务器被远程控制从而引起数据泄漏,影响巨大,受影响站点以电商、银行、门户、政府居多. 官方描述: S2-016:https://cwiki.apache.org/confluence/display/
Struts2被爆严重漏洞,完美解决方案
chen471924542的博客
07-18 620
Struts2被爆出严重漏洞,现解决方案如下(亲测): 升级到struts-2.3.15.1即可解决! 1, 删除lib包 struts2-core-2.0.14.jar,ognl-2.6.11.jar,commons-lang-2.1.jar,xwork-2.0.7.jar 2, 增加lib包 struts2-core-2.3.15.1.jar,xwork-core...
解密:Struts2漏洞及其补丁漏洞“曝光”纪实
weixin_33991418的博客
08-01 191
还记得4月15号,安恒信息在Struts 2上发现了一个严重的远程代码执行漏洞(CVE-2016-3081),并已给出详实分析及修复办法。随后,Apache Struts2官方又发布安全公告:Apache Struts2 服务在开启动态方法调用的情况下可以远程执行任意命令。 这是自2013年Struts2(s2-016)命令执行漏洞大规模爆发之后...
Struts2 安全漏洞解决方法
09-15
Struts2 安全漏洞解析,距离上个版本发布仅仅过去1周,apache struts官网又发布struts2最新版本安全公告,主要修复了一个漏洞,代号S2-022:从漏洞简要描述来看,确定是对之前S2-021的补充。
关于struts2漏洞问题及解决办法
04-21
这篇博客文章“关于struts2漏洞问题及解决办法”可能详细探讨了Struts2框架中的一些关键安全问题,以及如何通过更新、配置优化或使用安全工具来应对这些问题。 首先,Struts2最臭名昭著的漏洞是S2-045,这是一个...
Struts2远程执行漏洞 Jar包集合体
08-26
然而,随着时间的推移,Struts2框架发现了一系列的安全漏洞,这些漏洞可能导致远程代码执行(RCE)风险,使攻击者能够完全控制受影响的服务器。在给定的标题和描述中,提到了几个关键的Struts2漏洞,包括S2-057、S2-...
Struts2漏洞利用工具2017版
02-06
然而,随着其广泛应用,Struts2框架也暴露出一系列的安全漏洞,其中2017年的一些漏洞尤其引人关注。本工具集合了针对这些漏洞的利用工具,帮助安全研究人员和系统管理员识别和修复潜在问题。 首先,我们要了解的是...
struts2漏洞修复
01-29
漏洞影响范围(Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10),漏洞危害程度严重,可造成直接获取应用系统所在服务器的控制权限 文件包含ognl-3.0.21.jar,struts2-convention-plugin-2.3.34.jar,struts2-core-2.3.34.jar,struts2-spring-plugin-2.3.34.jar,xwork-core-2.3.34.jar
struts2漏洞升级jar包
02-19
struts2漏洞升级jar包,包含所有需要替换的jar,替换后需要把旧版本jar包删除,要不然会导致jar包冲突。
struts2.0漏洞补丁
10-28
免费资源 ==================== struts2漏洞解决办法 commons-lang3-3.1.jar (保留commons-lang-2.6.jar) javassist-3.11.0.GA.jar (新加包) ognl-3.0.5.jar (替换旧版本) struts2-core-2.3.4.1.jar (替换旧版本) xwork-core-2.3.4.1.jar (替换旧版本)
Struts2.1.8 Ognl 漏洞浅析和解决方案
热门推荐
xlxxcc的专栏
08-21 1万+
前面的话   工作了好几点,一直都没有认认真真的去写过什么东西,趁着最近这段时间有空,总结一下这几年在工作中的一些经验,尤其是Struts2 Ognl 漏洞,当年不知道影响了多少个互联网企业。现在把他记录下来,作为对几年工作的一个回忆吧。   如果您是对Struts2不熟悉,又想测试Struts2 Ognl 漏洞的读者,请下先移步到Struts2 入门示例,里面有一个简单的Struts示例,
struts2漏洞原理及解决办法
chengjuli6368的博客
05-11 402
一、 在Struts2的Model-View-Controller模式实现以下五个核心组件:动作-Actions、拦截器-Interceptors、值栈/OGNL、结果/结果类型、视图技术   Struts2的核心是使用的webwork框架,处理 action时通过调用底层的...
Struts2的插件的使用方法
qq_38334528的博客
05-18 848
1.注解插件  我们如果要使用注解的功能 必须在struts2 已有的jar包的基础上 添加一个插件包 插件包一定要和struts2的版本保持一致引入struts2-convention-plugin基于maven方式&lt;dependency&gt; &lt;groupId&gt;org.apache.struts&lt;/groupId&gt; &lt;artifactId&gt;str...
关于struts2 S2-20漏洞及其补丁绕过的简要分析
yd0str
04-25 3194
23日,struts2 S2-020漏洞补丁被绕过,
『Java安全』Struts2 2.1.8.1 参数名OGNL注入漏洞S2-003复现与浅析
最新发布
Ho1aAs‘s Blog
08-01 1119
Struts2解析参数名称使用了OGNL表达式,构建恶意OGNL表达式会造成注入。
Struts2安全缺陷
09-15
为了避免这些安全漏洞,开发者在学习和使用Struts2时需要做好一些安全防护措施,如输入验证、输出编码、权限控制等。此外,还需要及时关注Struts2官方发布的安全更新,保持框架的最新版本,以弥补框架本身的安全漏洞...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值