appscan漏洞--Apache Struts2 远程代码执行

最新推荐文章于 2022-01-14 10:19:43 发布
最新推荐文章于 2022-01-14 10:19:43 发布
阅读量661 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fxbfxb111/article/details/87599089
版权

参看文档:https://www.cnblogs.com/collin/p/7727887.html

jar包资源链接:https://pan.baidu.com/s/1MYJMQrGy4OeWF0JM0ecllQ 
                         提取码:frb2 
 

Struts2本身的漏洞需要升级处理:

本文struts2-core-2.3.15.1.jar 升级到 struts2-core-2.3.32.jar

1.升级jar包 


更新这些jar包:freemarker-2.3.23.jar,

                          ognl-3.0.19.jar,

                           struts2-core-2.3.32.jar,

                           xwork-core-2.3.32.jar,

                          struts2-json-plugin-2.3.32.jar,

如果是与spring整合的项目,另加

                          struts2-spring-plugin-2.3.32.jar

2.struts.xml修改

    添加如下标签:

<constant name="struts.enable.DynamicMethodInvocation" value="true"/>

<constant name="struts.convention.action.mapallmatches" value="true"/>

 

3.以上替换后,struts2-spring-plugin-2.3.32.jar可能会报错

  不替换这个文件就好:还是之前的  struts2-spring-plugin-2.3.15.1.jar  版本。

fxbfxb111
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Struts2远程命令执行验证工具
11-22
Struts2漏洞检查工具,可快速检测struts命令执行漏洞,支持批量导入验证,存在可利用的漏洞后,可远程执行命令及文件上传等操作。方便管理人员了解其危害。
Struts2漏洞检查工具2018版.rar
08-30
可以扫描Strust2远程执行漏洞 亲测可以使用
IBM Security AppScan 9.0.2远程代码执行漏洞(含POC)
weixin_33813128的博客
09-01 250
IBM Security AppScan Standard是美国IBM公司的一套Web应用的安全测试工具。该工具可在应用开发生命周期中进行自动化动态和静态安全漏洞扫描。该漏洞基于Windows OLE自动化数组远程代码执行漏洞远程攻击者可利用此漏洞执行任意代码。 视频演示 漏洞POC #!/usr/bin/pythonimportBaseHTTP...
安全狗:HTTP.SYS远程执行代码漏洞分析 (MS15-034 )
weixin_34347651的博客
04-17 375
2019独角兽企业重金招聘Python工程师标准>>> ...
Struts2 REST插件远程执行命令漏洞全面分析,WAF支持检测防御
weixin_34000916的博客
09-08 147
漏洞概述 2017年9月5日,Apache Struts 2官方发布一个严重级别的安全漏洞公告,该漏洞由国外安全研究组织lgtm.com的安全研究人员发现,漏洞编号为CVE-2017-9805(S2-052)。 在一定条件下,攻击者可以利用该漏洞远程发送精心构造的恶意数据包,获取业务数据或服务器权限,存在高安全风险。 漏洞基本信息 当Struts2使用...
AppScan-Standard-v10.5
最新发布
07-25
appscan 安全扫描工具、web漏洞扫描
APPScan基础扫描-技术手册》
11-08
AppScan是一款强大的静态代码分析工具,主要用于发现Web应用程序中的潜在安全漏洞。通过学习这份手册,用户可以掌握使用AppScan进行基础扫描的关键步骤,从而确保Web平台的安全性。 首先,了解AppScan的基础扫描...
appscan7-8安装教程
03-28
appscan7-8安装教程,很实用的。欢迎下载
appscan rules-update 1286
06-29
appscan rules-update 1286 for 8.0.0.2
AppScan-Setup-10.4.0是AppScan软件的一个安装包版本,该版本为AppScan的10.4.0版本
07-22
AppScan是一款常见的Web应用安全测试工具,它支持静态、动态、交互式和开源扫描,可以部署在开发生命周期的每个阶段,用于测试web应用程序、API和移动应用程序,以降低安全漏洞带来的风险。AppScan采用黑盒测试的...
漏洞修复之 bash漏洞远程命令执行
波子汽水
11-02 4033
系统版本[root@www bash]# cat /etc/issue Red Hat Enterprise Linux AS release 4 (Nahant Update 8) Kernel \r on an \m不能使用yum测试方法: 可以使用如下命令来检查系统存在此漏洞:env -i X=’() { (a)=>\’ bash -c ‘echo date’; cat echo 修复
Bash远程解析命令执行漏洞测试方法
weixin_33953249的博客
12-01 348
漏洞利用POC:GET /cgi-bin/helpcenter/help_center.cgi?id=20 HTTP/1.1Host: help.tenpay.comUser-Agent: () { :;}; /bin/rm ./conf/test.xmlAccept: */*Connection: keep-alive 转载于:https://blog.51ct...
oracle未授权sql查询,【oracle使用笔记3】sql查询遇到的若干问题总结
weixin_31642733的博客
04-09 410
在整个开发过程当中,sql查询操做的频率比较高,在不一样的业务场景下会出现不一样的查询需求,如下是我在项目中遇到的查询需求,总结一下。sql【查询一】:取查询出的第一条数据oracleselect*from(select * from[tableName] order by [key] asc/desc ) where rownum = 1函数【查询二】:查询数值数据时,小于0...
Apache Struts2远程代码执行漏洞(S2-001)复现
m0_58606546的博客
01-14 2443
0x01 漏洞概述 1、漏洞名称 漏洞名称:Struts Remote Code Exploit 漏洞编号:Struts2-001 漏洞类型:Remote Code Execution 2、漏洞原理 Struts2 是流行和成熟的基于 MVC 设计模式的 Web 应用程序框架。 Struts2 不只是 Struts1 下一个版本,它是一个完全重写的 Struts 架构。Struts2 的标签中使用的是OGNL表达式,OGNL 是 Object Graphic Navigation Language(
WEB安全漏洞扫描与处理(下)——安全报告分析和漏洞处理
cooldream2009的博客
06-29 3278
目录 1 AppScan生成的安全报告分析 2 漏洞的处理 3 漏洞修复案例 4 结语 1 AppScan生成的安全报告分析 利用AppScan生成安全报告,可以提前对要生成的安全报告的内容进行选择,如下图,最全的安全报告内容,包括摘要,安全性问题,咨询和修订建议,应用程序数据等。 生成的安全报告,基本上包含了以上的内容,具体的样例如下图。 其中的介绍部分,主要介绍了WEB安全不同严重级别的漏洞数量,扫描的时间,测试策略,主机IP,端口,登录方法,登录相关设置等信息。 摘要部分,主
appscan用命令行执行脚本
mayanyun2013的专栏
08-25 2734
AppScanCMD exec /scan_template scan_template.scant /login_file login_file.login /manual_explore_file manual_explore_file.xsd /report_type pdf /min_severity high /report_file report_file.pdf /scan_log
Bash远程命令执行漏洞(CVE-2014-6271)分析利用
weixin_33851177的博客
07-03 503
这几天Bash被爆存在远程命令执行漏洞(CVE-2014-6271),昨天参加完isc,晚上回家测试了一下,写了个python版本的测试小基本,贴上代码: #coding:utf-8 import urllib,httplib import sys,re,urlparse #author:nx4dm1n #website:http://www.nxa...
CGI安全漏洞资料速查
eternalee的专栏
10-08 3052
    ############################################################################# 本文取自一位朋友.这本来不算是什么珍贵的东西,如果你平时注意收集的话,相信很多人都会有比这份更全面、更好的资料.但由于某些原因.这些资料一直都不肯被公开.但我是一个崇尚完全自由、完全开放、完全共享的little guys.所以我把这份资
Apache Struts最新漏洞 远程代码执行漏洞预警 2018年11月08日
网站安全专家
11-08 1156
2018年11月8日,SINE安全监控检测中心,检测到Apache Struts官方更新了一个Struts漏洞补丁,这个漏洞Apache Struts目前最新的漏洞,影响范围较广,低于Apache Struts 2.3.35的版本都会受到此次Struts漏洞的攻击,目前apache官方更新的漏洞补丁,主要是修复commonsfileupload上传库出现的安全问题,这个库可以远程执行代码,上传木...
AppScan详解:中文支持的Web漏洞扫描与实战教程
Web漏洞扫描AppScan是一份详细的教程,介绍了IBM Security AppScan这款专业的Web应用程序和Web服务渗透测试工具。这款国外商业产品以其对中国语言的支持、Windows平台兼容性、用户友好的界面和丰富的特性而备受...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值