Apache Struts 跨站脚本漏洞

最新推荐文章于 2022-08-22 18:49:16 发布
最新推荐文章于 2022-08-22 18:49:16 发布
阅读量211 收藏
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/security4399/p/3407383.html
版权

漏洞名称:Apache Struts 跨站脚本漏洞
CNNVD编号:CNNVD-201311-010
发布时间:2013-11-04
更新时间:2013-11-04
危害等级:  
漏洞类型:跨站脚本
威胁类型:远程
CVE编号:CVE-2013-6348

Apache Struts是美国阿帕奇(Apache)软件基金会的一款用于开发Java EE Web应用程序的开源Web应用框架。 
        Apache Struts 2.3.15.3版本中存在跨站脚本漏洞,该漏洞源于config-browser/showConfig.action脚本和config-browser/actionNames.action脚本没有正确过滤‘namespace’参数。远程攻击者可通过构造特制的请求利用该漏洞注入任意Web脚本或HTML。

目前厂商还没有提供此漏洞的相关补丁或者升级程序,建议使用此软件的用户随时关注厂商的主页以获取最新版本: 
        http://seclists.org/fulldisclosure/2013/Oct/244

来源: FULLDISC 
名称: 20131028 [Wooyun]Apache Struts2 showcase multiple XSS 
链接:http://seclists.org/fulldisclosure/2013/Oct/244 


来源: packetstormsecurity.com 
链接:http://packetstormsecurity.com/files/123805/Struts-2.3.15.3-Cross-Site-Scripting.html 


来源: OSVDB 
名称: 99048 
链接:http://osvdb.org/99048 

转载于:https://www.cnblogs.com/security4399/p/3407383.html

weixin_30379973
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
跨站脚本漏洞
weixin_46729085的博客
09-08 3758
XSS漏洞 一、文章简介 XSS漏洞是Web应用程序中最常见的漏洞之一。如果您的站点没有预防XSS漏洞的固定方法,那么很可能就存在XSS漏洞。 这篇文章将带你通过代码层面去理解三个问题: 什么是XSS漏洞? XSS漏洞有哪些分类? 如何防范XSS漏洞? 二:三大分类 反射型XSS:<非持久化> 攻击者事先制作好攻击链接, 需要欺骗用户自己去点击链接才能触发XSS代码(服务器中没有这样的页面和内容),一般容易出现在搜索页面。 存储型XSS:&...
struts2漏洞升级最新包2.3.15.1
08-20
然而,随着时间的推移,Struts2框架中出现了一些安全漏洞,这些漏洞可能被黑客利用,对服务器和用户数据造成威胁。"struts2漏洞升级最新包2.3.15.1"的出现,就是为了解决这些安全隐患。 首先,我们来了解一下Struts...
关于struts2.3.4项目跨站执行脚本以及远程执行漏洞修复概要
chengbowen00的专栏
05-22 325
因为近期负责的几个银行系统软件,需要交付客户,因此客户专门请了安全公司对系统进行了安全评测,结果发现了诸如跨站执行脚本,远程执行漏洞以及弱口令等问题。 下面记录下本次解决的过程以便后续 1、首先从最简单的开始处理,服务器的弱口令问题,首先根据安全工具提供的测试描述中发现应用服务器中存在一个匿名用户,默认是不需要密码的,经过分析发现服务器使用了FTP协议, 而使用ftp协议默认会产生一个匿名用...
Apache Struts2远程代码执行漏洞(CVE-2021-31805)安全通告
weixin_44254243的博客
04-15 6479
1. 事件描述 监测发现,开源应用框架Apache Struts存在远程代码执行漏洞(CVE-2021-31805),攻击者可构造恶意的OGNL表达式触发漏洞,实现远程代码执行。受影响版本为Apache Struts 2.0.0~2.5.29。目前,该漏洞已在Apache Struts 2.5.30版本中修复。 事件类型:漏洞利用 事件等级:高危 2. 影响范围 远程代码执行漏洞影响范围: 2.0.0<=Apache Struts <= 2.5.29 不受影响版本 Apache Struts
Struts2漏洞分析与复现合集
未完成的歌~的博客
08-22 6526
原理:该漏洞因用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于后端使用%{value}对提交的数据执行了一次OGNL 表达式解析,所以可以直接构造 Payload进行命令执行。 漏洞环境搭建 https://github.com/vulhub/vulhub/tree/master/struts2/s2-001 运行以下命令进行设置 .............
Apache Struts2远程代码执行漏洞(S2-001)复现
m0_58606546的博客
01-14 2438
0x01 漏洞概述 1、漏洞名称 漏洞名称:Struts Remote Code Exploit 漏洞编号:Struts2-001 漏洞类型:Remote Code Execution 2、漏洞原理 Struts2 是流行和成熟的基于 MVC 设计模式的 Web 应用程序框架。 Struts2 不只是 Struts1 下一个版本,它是一个完全重写的 Struts 架构。Struts2 的标签中使用的是OGNL表达式,OGNL 是 Object Graphic Navigation Language(
Struts2-057漏洞检测python脚本
11-04
Struts2-057漏洞,也被称为CVE-2017-9805,是Apache Struts2框架中的一个严重安全漏洞。这个漏洞主要出现在Struts2的`Struts2 REST Plugin`中,允许远程攻击者通过恶意构建的HTTP请求头执行任意系统命令,从而对...
struts2 漏洞利用工具.rar
06-15
"工具猫魔盒"是一个常用的网络安全工具集合,它包含了多种安全测试和漏洞扫描的工具,可能包括了针对Struts2漏洞的探测和利用脚本。通过这些工具,安全专家能够模拟攻击,评估系统风险,并确保已经采取了适当的防护...
Struts2-045漏洞利用工具
08-11
Struts2-045漏洞,全称为"Apache Struts2 S2-045漏洞",是一个在2017年被公开的安全缺陷,主要影响使用Apache Struts2框架的Web应用程序。这个漏洞源于Struts2的一个核心组件,即OGNL(Object-Graph Navigation ...
struts2漏洞检查工具201708
08-24
在某些配置下,攻击者可以通过构造特定的请求参数,诱使服务器重定向到恶意网址,从而实现跨站脚本(XSS)或钓鱼攻击。 "struts2漏洞检查工具201708"可能包含以下功能: 1. 自动扫描:该工具可以自动扫描应用中的...
xss跨站脚本编制漏洞/antisamy策略过滤
09-07
XSS跨站脚本注入攻击过滤器,包括antisamy官方提供的各种策略xml文件。 antisamy-slashdot.xml 策略 antisamy-ebay.xml 策略 antisamy-myspace.xml 策略 antisamy-anythinggoes.xml 策略
Apache Struts2(S2-045)漏洞升级指南
03-07
Apache Struts2(S2-045)漏洞升级指南,用于指导Apache Struts2(S2-045)漏洞的本地升级工作
Apache Struts最新漏洞 远程代码执行漏洞预警 2018年11月08日
网站安全专家
11-08 1152
2018年11月8日,SINE安全监控检测中心,检测到Apache Struts官方更新了一个Struts漏洞补丁,这个漏洞Apache Struts目前最新的漏洞,影响范围较广,低于Apache Struts 2.3.35的版本都会受到此次Struts漏洞的攻击,目前apache官方更新的漏洞补丁,主要是修复commonsfileupload上传库出现的安全问题,这个库可以远程执行代码,上传木...
0x23. Apache Struts2远程代码执行漏洞(S2-005)复现
qq_31679787的博客
10-17 788
通过构造poc测试漏洞; poc:%28%27\43_memberAccess.allowStaticMethodAccess%27%29%28a%29%3Dtrue&%28b%29%28%28%27\43context%5B\%27xwork.MethodAccessor.denyMethodExecution\%27%5D\75false%27%29%28b%29%29&%28...
漏洞复现|Struts2系列漏洞复现总结
weixin_42282189的博客
11-03 2292
作者: r0n1n 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 Struts2-045(CVE-2017-5683) 0x01 漏洞描述 Apache Struts 2最初被称为WebWork 2,它是一个简洁的、可扩展的框架,可用于创建企业级Java web应用程序。设计这个框架是为了从构建、部署、到应用程序维护方面来简化整个开发周期。 Struts2默认使用org.apache.struts2.dispatcher.multipart.JakartaMultiPartR.
SQL 查询重复出现次数最多的记录,按出现频率排序(SQL语句)
热门推荐
冯索的专栏
07-18 5万+
在有些应用里面,我们需要查询重复次数最多的一些记录, SELECT keyword, count( * ) AS count FROM article_keyword GROUP BY keyword ORDER BY count DESC LIMIT 20 此段查询语句返回 article_keyword 表中 keyword 重复次数(count) 最多的20条记录。 SELEC
Struts1.x 跨站脚本(XSS)漏洞的解决
火影的梦想
06-05 3465
【前言】结婚真是一件麻烦的事情,尤其两个地域上差别比较大的两家人。想想繁琐的过程,还不如自己安静地享受单身的日子。【参考】http://android.blog.51cto.com/268543/113584http://wiki.apache.org/struts/StrutsXssVulnerability【正文】一 演示XSS   当访问一个不存在的网址时,例如[url]http://localhost:8080/demo/noAction.do[/url],那么Struts处理后都会跳到提示“Inv
struts 跨站脚本漏洞
11-17 573
public class Test02 { import java.util.Enumeration; import java.util.Iterator; import java.util.Map;import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletRes
apache struts2漏洞检测
最新发布
06-28
Apache Struts2漏洞检测是指通过对Apache Struts2框架进行安全测试,发现并修复其中存在的漏洞,以保障系统的安全性。Apache Struts2是一种流行的Java Web应用程序框架,但由于其复杂性和代码质量问题,可能存在安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值