struts2最新更新的2.3.15.2版本的修复的两处漏洞

最新推荐文章于 2019-11-18 15:19:34 发布
最新推荐文章于 2019-11-18 15:19:34 发布
阅读量143 收藏
点赞数
分类专栏: 安全 文章标签: struts 漏洞 安全 框架 struts2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dingodingy/article/details/84495874
版权
漏洞概述:
身份认证绕过漏洞和任意方法调用漏洞。
漏洞影响:
配置了struts2身份认证的应用都有可能受到影响
漏洞详情:

可以先参考今天轻瑶发布的struts2更新日志。
http://struts.apache.org/release/2.3.x/docs/version-notes-23152.html

主要更新了如下两点:
Broken Access Control Issue fixed
Dynamic Method Invocation set to false by default
看描述:第一点是权限控制的漏洞,第二点是动态方法调用默认关闭。官方同时还给出了两个cve,但是都没有给出漏洞详情。吸取了上次的教训,:)

先说第一点:
下载struts2的源码作对比,主要还是更新了DefaultActionMapper这个类,详情如图
[img]http://dl2.iteye.com/upload/attachment/0090/8558/03a6e04e-e284-306f-bd7a-7d9c0ee7b047.jpg[/img]
通过这个diff,可以猜出漏洞的利用方式。
如下例子,通过jetty和struts配置的一个权限控制绕过的例子。
首先在web.xml中配置HelloWorld.action的访问,只有dingo身份的用户才可以访问。 
<security-constraint>
      <web-resource-collection>
          <web-resource-name>dingo</web-resource-name>
          <url-pattern>/example/HelloWorld.action</url-pattern>
      </web-resource-collection>
      <auth-constraint>
          <role-name>dingo</role-name>
      </auth-constraint>
   </security-constraint>

同时认证采用了jetty的Basic认证。 
<login-config>
       <auth-method>BASIC</auth-method>
       <realm-name>UserBasic Authentication</realm-name>
</login-config>

jetty中配置了用户名和密码。 

fuck=fuckme,dingo


正常情况下,当我们启动应用访问HelloWorld.action的时候,会弹出身份验证框:

[img]http://dl2.iteye.com/upload/attachment/0090/8560/d5f825bf-b607-3061-9aad-c0c391aba461.jpg[/img]
输入用户名密码:fuck fuckme,即可显示内容。

但是当我们直接采用如下的url访问时,身份验证直接被绕过了。

http://127.0.0.1:8080/struts2-blank/example/Login.action?action:HelloWorld

[img]http://dl2.iteye.com/upload/attachment/0090/8562/adb23471-e618-31b6-b7af-969079c84399.jpg[/img]


接着是第二点:
直接通过远程方法调用,也可以执行没有经过授权的action中的受限方法,比如HelloWorld.action中的: 
public void fuck(){
   System.out.println("fuckyou");
}


通过下列url,也可以执行:
http://127.0.0.1:8080/struts2-blank/example/Login.action?action:HelloWorld!fuck

[img]http://dl2.iteye.com/upload/attachment/0090/8564/a61b0a1d-ded6-3a8f-b82d-b806458a39a9.jpg[/img]


漏洞修复:
升级struts到最新版本
dingodingy
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
struts 2.3.15.2 源码
09-26
struts 2.3.15.2 最新源代码。
struts2struts-2.3.15.2,关注:com.opensymphony.xwork2.DefaultActionInvocation.invokeAction()
prg1986的专栏
10-07 1808
刚学习struts2
Struts2.3.15.2配置
weixin_34125592的博客
09-27 85
2019独角兽企业重金招聘Python工程师标准>>> ...
关于struts2.3.4升级到struts2.3.15.2的问题
danns888的专栏
10-09 1245
最近接到上面安全中心的通知, 说我们的工程有struts2漏洞, 一看是S-016/S-017类似远程执行而已代码的漏洞, 好吧升级。 之后各种百度升级好后, 碰到一个恶心的问题, jsp的标签出错, 例如   , 控制台会告诉你attach!findAll 找不到方法, 然后各种百度google, 然后找到一篇说“struts.enable.DynamicMethodInvocation”
struts2 2.3.15.3
07-12
struts2 最基本的13个jar包
struts2-spring-plugin-2.3.15.2.jar ; struts2-json-plugin-2.3.16.3.jar
09-27
struts2-spring-plugin-2.3.15.2.jar ; struts2-json-plugin-2.3.16.3.jarstruts2-spring-plugin-2.3.15.2.jar ; struts2-json-plugin-2.3.16.3.jar
struts-2.3.15.2-docs.zip
01-26
Struts 2.3.15.2是该框架的一个稳定版本,包含了丰富的文档来帮助开发者理解和使用这个框架Struts 2的核心概念和组件包括: 1. **Action类**:这是业务逻辑的中心,处理用户请求,并与模型进行交互。Action类...
2.3.15.1 版本以前 struts2漏洞利用工具 和升级到2.3.15.1版本
05-11
2.3.15.1版本之前,Struts2存在多个安全漏洞,这些漏洞对应用程序的安全性构成了严重威胁。本文将详细讨论这些漏洞,以及如何利用这些工具进行测试和防护,最后介绍如何将Struts2应用升级至2.3.15.1版本以消除安全...
struts2-spring-plugin-2.3.15.2.jar
10-13
struts2-spring-plugin-2.3.15.2.jar
S2-008 &S2-009 远程代码执行漏洞检测与利用
Fly_鹏程万里
12-14 4091
前言 漏洞环境改自vulhub https://github.com/kingkaki/Struts2-Vulenv S2-008 漏洞信息 https://cwiki.apache.org/confluence/display/WW/S2-008 主要是利用对传入参数没有严格限制,导致多个地方可以执行恶意代码 第一种情况其实就是S2-007,在异常处理时的OGNL执行 第二...
齐博CMS的sql注入漏洞学习
dingo的小黑屋
03-26 1294
       今天看到了asrc上面对某个cms的漏洞分析的文章(http://security.alibaba.com/blog/blog.htm?spm=0.0.0.0.96tpib&amp;id=13 ),感觉阿里大牛在写漏洞分析的时候还是有点谨慎,利用方式什么就更不能说了。        百度搜了一下这个CMS,使用量还是不小的。对php不太懂,简单学习了一下,并且总结了利用方式。 ...
Struts2 最新高危漏洞详解
热门推荐
m0_37630565的博客
03-13 2万+
由于计算机起源于美国,因此很多新兴技术和框架也都出于美国的一些大公司。虽然国内的BAT也在开源技术上有一些贡献,但目前来说还是比较缺少用户来支持。这也就导致了国内大部分互联网公司大量的依赖国外的技术。如果某些开源框架出了高危漏洞,就将影响一大批中国互联网公司。 最近 Struts2 又爆出了一个高危漏洞,据说影响了大半个中国互联网。涵盖金融、教育、医疗、电商等各个行业。哪么这个高危漏洞
struts2升级到Struts 2.3.15.1的步骤(最新安全版本
weilikk的博客
08-27 800
       最近struts安全问题影响很大啊,iteye上面也有新闻:Apache Struts团队6月底发布了Struts 2.3.15版本,由于该版本被发现存在重要的安全漏洞,因此该团队今天发布了Struts 2.3.15.1安全更新版本。  新闻地址:http://www.iteye.com/news/28053          因此我升级了下当前项目的struts版本,原来...
s2-009远程代码执行漏洞
Stephen Wolf
11-18 1670
一、漏洞描述 OGNL提供了广泛的表达式评估功能等功能。该漏洞允许恶意用户绕过ParametersInterceptor内置的所有保护(正则表达式,拒绝方法调用),从而能够将任何暴露的字符串变量中的恶意表达式注入进行进一步评估。 在S2-003和S2-005中已经解决了类似的行为,但事实证明,基于列入可接受的参数名称的结果修复仅部分地关闭了该漏洞。 ParametersInter...
Strut2 升级到 Struts 2.3.32 漏洞修复教程
天翔空水木的专栏
03-15 6595
Struts2 版本漏洞版本: CVE-2017-5638 受影响jar包: Struts 2.3.5 - Struts 2.3.31, Struts 2.5 - Struts 2.5.10 方案: 升级到 Struts 2.3.32 or Struts 2.5.10.1 具体步骤: 1、确认漏洞 自己项目是否使用其中漏洞受影响的
常见安全漏洞及解决方案
q996966912的博客
04-23 966
概述:常见的安全漏洞漏洞名称 漏洞背景 避免方法 解决方案 CSRF(跨站请求伪装) 攻击者诱导用户点击连接,用户浏览器携带cookie成功请求服务器,造成用户信息丢失。 验证 HTTP Referer 字段 token验证机制 验证码 spring-boot-security-csrf XSS(CSS,跨站脚本攻击) 恶意攻击者往web页面插入恶意js代码,当用户浏览时潜入的代码会被执行,从...
cve-2010-1622 漏洞全分析
dingo的小黑屋
03-10 3132
这是大概两年前刚学习spring源码的时候写的一篇文章。一直没发出来,最近有点时间,整理下发在了博客上。by dingo   一、简介        Cve-2010-1622是spring框架在2010年被发现的一个漏洞(我知道很古老),该漏洞可以让攻击者通过url等方式注入自己的代码,并在服务端执行。如果服务器权限设置不当,甚至可以让攻击者执行自定义的任意代码。   二、准备 ...
Struts2 2.3.15.1 版本存在什么漏洞问题
最新发布
06-14
Struts2 2.3.15.1 版本存在一个严重的漏洞问题,即远程代码执行漏洞(Remote Code Execution,RCE)。攻击者可以通过构造恶意的请求,利用该漏洞执行任意的系统命令。该漏洞是由于Struts2框架的一个参数没有正确地...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值