Struts2高危漏洞分析和解决方案

最新推荐文章于 2024-06-08 07:30:31 发布
最新推荐文章于 2024-06-08 07:30:31 发布
阅读量6.6k 收藏 7
点赞数 2
分类专栏: java web 文章标签: j2ee 漏洞 struts2 安全漏洞 tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012131769/article/details/46377433
版权

Struts2被曝出存在重要的安全漏洞,苹果、中国移动、中国联通、百度、腾讯、淘宝、京东、Sohu、民生银行等大型企业的网站均遭毒手,运维 工程师苦不堪言。

1可远程执行服务器脚本代码[2]用户可以构造

http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}链接,command goes here可以换成是破坏脚本的路径和参数,比如fdisk -f等,造成破环系统无法运行的目的。

2.重定向漏洞[3] 

用户可以构造如知名网站淘宝的重定向连接,形如<a href="http://www.淘宝.com/item00001.html?redirect:http://黑客/getyourPassword">打折新款</a>,引导用户点击后进入钓鱼网站,在界面上让其进行登陆用以获取用户的密码

例如:当在浏览器输入如下地址时:

http://www.xxxx.com/aaa.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1 

输入以后,服务器端就会崩溃

 

为什么会存在这样的漏洞:

1、 struts2提供了存储数据的内存结构valueStack

2、 struts2也提供了访问数据的方式ognl表达式

3、 ognl表达式不但可以访问到valueStack中的值,而且还可以改变valueStack中的值

调用valueStack.setValue即可

4、 ognl表达式还能执行静态方法,并且嵌入一些shellcoade代码执行。

这样的结构很灵活,很方便程序员对数据进行操作,因为太灵活,所以在这里就存在安全性的隐患了。可以把一些特别的代码(导致系统崩溃)嵌入到ognl表达式中。

 

说明:

上述url中的\u0023代表#号,%20代表空格,\u003代表等于

 

解决方案1:

     做一个自定义的拦截器,拦截器过滤url,如果含有\u0023这个字符串,则不能执行以后的操作。这个拦截器的执行一定要在ParameterInterceptor执行之前

xml配置如下:

解决方案2

升级struts2到最新版本(2.3以上)

1http://struts.apache.org/下载最新版jar

2,替换或添加以下jar

struts2-json-plugin-2.3.15.1

struts2-core-2.3.15.1

struts2-convention-plugin-2.3.15.1

xwork-core-2.3.15.1

freemarker-2.3.19

ognl-3.0.6

antlr-2.7.2

aopalliance-1.0

asm-3.3

asm-commons-3.3

asm-tree-3.3

builder-0.6.2

classworlds-1.1

commons-beanutils-1.8.0

commons-chain-1.2

commons-collections-3.1

commons-digester-2.0

commons-fileupload-1.3

commons-io-2.0.1

commons-lang-2.4

commons-lang3-3.1

commons-logging-1.1.3

commons-logging-api-1.1

commons-validator-1.3.1

struts2-spring-plugin-2.3.15.1,

3在struts.properties或struts.xml配置

<constant name="struts.objectFactory" value="org.apache.struts2.spring.StrutsSpringObjectFactory" />,

 

[]:项目最好自己管理404500等错误界面的显示,暴露服务器信息是相当危险的是,下面是tomcat项目配置错误界面方法

web.xml中添加:

<error-page>
	 <error-code>404</error-code>
	 <location>/notFound404.jsp</location>
 </error-page>
 <error-page>
	 <error-code>500</error-code>
	 <location>/notFound500.jsp</location>
 </error-page>


 

只要你能好
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
struts2-core-2.3.15.1遇到两个漏洞升级最新版【Struts 2.5.26】
JEFFYU328的专栏
04-20 1411
一、背景 一个老网站Struts2版本struts2-core-2.3.15.1,遇到两个漏洞。 ①被查到存在编号【Struts2 S2-045 远程命令执行漏洞,CVE编号CVE-2017-5638】;受影响版本:【Struts 2.3.5 – Struts 2.3.31 Struts 2.5 – Struts 2.5.1】。 ②升级版本过程中查询到存在另一个漏洞。计划升级到相近版本2.3.37。但在查询网上帮助时,发现有另一个漏洞;【Struts2 S2-061 远程代码执行漏洞(CVE-202.
struts2 2013年7月份高危漏洞测试及快速解决方法
02-10 182
本文介绍struts2 2013年7月份高危漏洞的测试及快速解决方法 转自:http://www.devnote.cn/article/150.html 此次漏洞的严重性不言而喻,几乎所有所有struts2网站,项目无一幸免。 漏洞测试方法: 关闭项目所在linux服务器,在项目任意action地址后追加: ?redirect:%25{(new+java.lang.Process...
struts2 漏洞
kangzye
12-27 100
http://www.freebuf.com/vuls/11220.html ====================================================================== Struts又爆远程代码执行漏洞了!在这次的漏洞中,攻击者可以通过操纵参数远程执行恶意代码。Struts 2.3.15.1之前的版本,参数action的值redirect以...
Struts2框架漏洞总结与复现(上) 含Struts2检测工具
最新发布
qq_53058639的博客
06-08 1292
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。时使用了重定向类型,并且还使用paramname作为重定向变量,UserAction中定义有一个name变量,当触发redirect类型返回时,Struts2获取使用{name}获取其值,在这个过程中会对name参数的值执行OGNL表达式解析,从而可以插入任何OGNL表达式导致命令执行。在账号密码的输入框中测试是否存在漏洞
框架/组件漏洞系列1:struts2漏洞汇总
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
12-03 9456
前言: 本篇文章中复现的漏洞不是特别全面,但是挑选了最近两年的漏洞进行复现,旨在对漏洞进行有用复现,毕竟一些老漏洞已经基本不存在了。 一、Struts简介 1、简介 基本介绍: Struts是Apache软件基金会(ASF)赞助的一个开源项目。它最初是Jakarta项目中的一个子项目,并在2004年3月成为ASF的顶级项目。它通过采用[Java Servlet](https://baike.baidu.com/item/Java Servlet)/JSP技术,实现了基于[Java EE](https://.
Struts2漏洞检查工具
02-14
struts2检查和利用工具!
Struts2漏洞检查工具2018版.zip
10-14
"Struts2漏洞检查工具2018版.zip"显然是一份针对这些问题的解决方案,包含了2018年时最新的检测和防护手段。 该压缩包中的主要文件有三个: 1. **Struts2漏洞检查工具2018版.exe**:这很可能是该工具的可执行程序...
jboss与struts漏洞解决
08-13
《JBoss与Struts漏洞解决详解》 在信息技术领域,安全问题始终是不容忽视的关键环节。本文主要针对两个常见的漏洞——JBoss漏洞和Struts漏洞,详述其情况、影响以及解决方案,旨在帮助用户理解漏洞的危害并采取有效...
Struts2漏洞检查工具2017版
08-05
7. **社区支持**:腾龙技术论坛是一个学习黑客技术和网络安全的地方,可能包含关于Struts2漏洞讨论的相关资源和解决方案,用户可以在这里交流经验,寻求帮助。 在使用此工具时,用户需要确保具备一定的Java Web开发...
struts2Jar
09-25
例如,Struts2曾曝出过一些高危漏洞,如CVE-2017-5638(Struts2远程代码执行漏洞),因此及时更新Struts2版本,保持系统安全是至关重要的。 总结来说,Struts2是一个强大且灵活的Java Web开发框架,它简化了MVC应用...
Struts2漏洞检测工具2018最新版
10-10
Struts2漏洞检测工具,支持S2-057 CVE-2018-11776 、S2-048 CVE-2017-9791、S2-046 CVE-2017-5638、S2-045 CVE-2017-5638、S2-037 CVE-2016-4438、 S2-032 CVE-2016-3081 、S2-020 CVE-2014-0094 、S2-019 CVE-2013-4316等漏洞检测
Struts2漏洞检查工具2018版 V2.1.exe
01-12
Struts2漏洞检查工具2018版 V2.1. Struts2漏洞检查工具2018版 V2.1.2018 级以前所有序列号动都有 支持cookies 批量检测
Struts2漏洞利用工具-可用于检测
08-01
直接输入出现漏洞的url即可攻击. 远程攻击、攻击难度低、不需要用户认证,对机密性、完整性、可用性均构成完全影响。建议大家升级最新jar包!
Struts2漏洞检查工具2018版
09-05
Struts2漏洞检查工具2018版,带最新的漏洞检查,方便使用。目前支持一键检测Struts2漏洞
Struts2漏洞总结
ebonyzhang
04-06 3826
Struts2漏洞总结
Struts2框架安全缺陷
zbmartin的博客
03-12 276
摘要 本文介绍了java开发流行框架struts2以及webwork的一些安全缺陷,并举例说明框架本身以及开发人员使用框架时,所产生的种种安全问题,以及作者挖掘框架安全漏洞的一些心得体会。 推荐以下人群阅读 了解java开发 了解框架开发 了解web application安全 “网络安全爱好者” 正文 当前java开发网站,通常不会是纯JSP的,大都使用了ja...
Struts2/XWork 安全漏洞及解决办法
weixin_30849403的博客
02-07 247
exploit-db网站在7月14日爆出了一个Struts2的远程执行任意代码的漏洞漏洞名称:Struts2/XWork < 2.2.0 Remote Command Execution Vulnerability相关介绍: http://www.exploit-db.com/exploits/14360/ http://seb...
web项目:漏洞修复(3)_struts2拦截器
nxllong的博客
09-30 987
web项目:漏洞修复(3)_struts2拦截器      只需要一个java文件+struts.xml的配置 1.java类IllegalCharacterInterceptor.java 可在相应位置 ,指定过滤的 方法、参数(参数值、参数名)等,可过滤指定元素 package com.*.*.*.util; import java.util.Iterator; import jav
JSP struts2 url传参中文乱码解决办法.docx
01-20
JSP struts2 url传参中文乱码解决办法.docx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值