struts漏洞解决办法

   看了两篇。有人说是替换jar 包。有的说是更改struts.xml配置文件 。或者前端拦截

   但是   经过实际测验是说。换了jar 包。就用测试漏洞的工具就通过了。说明修补了漏洞。前几天是这么样说明的。

   文章   转载自：  http://www.2cto.com/Article/201209/154990.html

   http://www.blogjava.net/hello-yun/archive/2012/07/11/382793.html

http://www.freebuf.com/vuls/9757.html   远程漏洞

Struts2的核心是使用的webwork框架，处理 action时通过调用底层的getter/setter方法来处理http的参数，它将每个http参数声明为一个ONGL（这里是ONGL的介绍）语句。当我们提交一个http参数：

?user.address.city=Bishkek&user['favoriteDrink']=kumys 
ONGL将它转换为：
action.getUser().getAddress().setCity("Bishkek")  
action.getUser().setFavoriteDrink("kumys") 

这是通过ParametersInterceptor（参数过滤器）来执行的，使用用户提供的HTTP参数调用 ValueStack.setValue()。 www.2cto.com

为了防范篡改服务器端对象，XWork的ParametersInterceptor不允许参数名中出现“#”字符，但如果使用了Java的 unicode字符串表示\u0023，攻击者就可以绕过保护，修改保护Java方式执行的值：

 

此处代码有破坏性，请在测试环境执行，严禁用此种方法进行恶意攻击
?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1 

 

转义后是这样：

?('#_memberAccess['allowStaticMethodAccess']')(meh)=true&(aaa)(('#context['xwork.MethodAccessor.denyMethodExecution']=#foo')(#foo=new%20java.lang.Boolean("false")))&(asdf)(('#rt.exit(1)')(#rt=@java.lang.Runtime@getRuntime()))=1

 

OGNL处理时最终的结果就是

java.lang.Runtime.getRuntime().exit(1);  //关闭程序，即将web程序关闭

类似的可以执行
java.lang.Runtime.getRuntime().exec("net user 用户名 密码 /add");//增加操作系统用户，在有权限的情况下能成功（在URL中用%20替换空格，%2F替换/）
只要有权限就可以执行任何DOS命令。

2、解决方法

1.升级到struts2.2版本。
这个可以避免这个问题，但是struts开发团队没有release这个版本（包括最新的2.2.1版本都没有release），经我测试发现新版本虽然解决了上述的漏洞，但是新的问题是strus标签出问题了。

Java代码  

1. <s:bean id="UserUtil" name="cn.com.my_corner.util.UserUtil"></s:bean>   
2. <s:property value="#UserUtil.getType().get(cType.toString())" />  

这样的标签在struts2.0中是可以使用的，但是新版中就不解析了，原因就是“#”的问题导致的，补了漏洞，正常的使用也用不了了。
所以sebug网站上的建议升级到2.2版本是不可行的。

2.struts参数过滤。

Java代码  

1. <interceptor-ref name="params">   
2. <param name="excludeParams">.*\\u0023.*</param>   
3. </interceptor-ref>  

这个可以解决漏洞问题，缺点是工作量大，每个项目都得改struts配置文件。如果项目里，是引用的一个类似global.xml的配置文件，工作量相应减少一些。

3.在前端请求进行过滤。
比如在ngnix，apache进行拦截，参数中带有\u0023的一律视为攻击，跳转到404页面或者别的什么页面。这样做的一个前提就是没人把#号转码后作为参数传递。
请求如果是get方式，可以进行过滤，如果是post方式就过滤不到了，所以还是应该修改配置文件或更新新的jar包。

网上很多文章都介绍了三种解决方法，觉得将struts2的jar包更新到最新版本最简单，不用更改任何程序代码，目前最新版本2.3.4
下载到的更新包中有很多jar包，我系统中主要用到以下几个替换掉旧版本的：
commons-lang3-3.1.jar        (保留commons-lang-2.6.jar)
javassist-3.11.0.GA.jar        (新加包)
ognl-3.0.5.jar            (替换旧版本)
struts2-core-2.3.4.1.jar    (替换旧版本)
xwork-core-2.3.4.1.jar        (替换旧版本)

http://blog.csdn.net/spyjava/article/details/13766335

本文记录Struts2-2.3.4升级到2.3.15.1并且最少化改动已有工程代码的情况下的步骤

1.删除的jar包
jsonplugin-0.30.jar（此jar由struts2-json-plugin-2.3.15.1.jar代替，如果以前采用过其他jsonplugin插件的话）

2.添加的jar包
commons-lang3-3.1.jar
struts2-json-plugin-2.3.15.1.jar

3.替换的jar包
将原有低版本的ognl-x.x.x.jar替换为ognl-3.0.6.jar
将原有低版本的struts2-core-x.x.x.x.jar替换为struts2-core-2.3.15.1.jar
将原有低版本的xwork-core-x.x.x.x.jar替换为xwork-core-2.3.15.1.jar
将原有低版本的javassist-x.x.x.jar替换为javassist-3.11.0.GA.jar

4.xwork-conversion.properties
注释掉java.lang.Enum=com.opensymphony.xwork2.util.EnumTypeConverter

5.替换工程中所有*.xml Struts配置文件中type="redirect-action"为type="redirectAction",并将xml的头部信息修改为：

[html] view plain copy

1. <!DOCTYPE struts PUBLIC  
2.     "-//Apache Software Foundation//DTD Struts Configuration 2.3//EN"  
3.     "http://struts.apache.org/dtds/struts-2.3.dtd">  

6.修改struts.xml中返回类型为json的处理类相关的配置。（如果你的工程原来采用的是其他的json类型处理插件的话）
将其中片段修改成如下状态：

[html] view plain copy

1. <result-types>  
2.             <!-- 添加的自定义类型JSON对象 -->  
3.             <!-- 
4.                 <result-type name="json" class="com.googlecode.jsonplugin.JSONResult" /> 
5.             -->  
6.             <result-type name="json" class="org.apache.struts2.json.JSONResult" />  
7. </result-types>  

7.所有涉及到jsonplugin-0.30.jar的类由struts2-json-plugin-2.3.15.1.jar中的对应类替换。（如果你的工程原来采用的是其他的json类型处理插件的话）

8.struts2标签库的升级
将原有的struts-tag.tld升级为最新。