struts2漏洞S2-046修复解决方案

最新推荐文章于 2024-04-16 19:52:46 发布
最新推荐文章于 2024-04-16 19:52:46 发布
阅读量256 收藏
点赞数
原文链接:http://www.cnblogs.com/plain-heart/p/6728933.html
版权

项目验收通过半年之后, 甲方找了一些网络砖家用工具扫描我司做的社保卡申领系统, 找到了struts2漏洞S2-046, 真是服了, 只知道struts2有bug, 现在才知道它漏洞。

砖家们给出了修复建议:

  方法一:升级Struts2至Struts 2.3.20.2,2.3.24.2,2.3.28.1版本修复该漏洞。(注:更新地址:

https://cwiki.apache.org/confluence/display/WW/Migration+Guide)

方法二:为应急修复,可以在Struts2配置文件中关闭动态方法调用来避免漏洞被利用。(注:配置属性信息<constantname“struts.enable.DynamicMethodInvocation”value=“false”/>,此操作可能影响用户信息系统其他正常功能,仅作为临时应急修复手段)。
 

该系统使用的是struts2.3.15版本, 我们按照砖家的建议进行修复, 结果令人失望, 一点效果都没有, 还好我自己到网上搜索了同样的扫描工具来检测, 不然以为修复好了反馈回去给hk人社局, 肯定会被骂死。。。

 

幸好有强大的搜索引擎, 我自己找到了解决方案, 就是到下面地址下载这些jar包更新到系统里面就好了: 

http://download.csdn.net/download/lshj01/9790994

谢谢提供下载的大神!

转载于:https://www.cnblogs.com/plain-heart/p/6728933.html

weixin_30477797
关注
Struts 2 远程代码执行漏洞(s2-045\s2-046)修复所用到的包
04-26
1.严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。 2.如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。(强烈推荐) 3.升级到2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 http://mvnrepository.com/artifact/org.apach e.struts/struts2-spring-plugin/2.3.32
修复struts2的安全漏洞(编号S2-045、S2-046)
07-18
给还用struts2框架的系统提供一个完美的解决方案,里面的struts2版本jar都统一好,大家在用的时候直接将对应的jar先删除,然后用这里面的jar包。必免jar冲突了
struts2045修复建议及补丁
01-29
- 严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。 - 如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。(强烈推荐) - 升级到2.3.32所用到的jar包:(已经在附件中提供jar文件) - freemarker-2.3.22.jar - ognl-3.0.19.jar - struts2-convention-plugin-2.3.32.jar - struts2-core-2.3.32.jar - struts2-spring-plugin-2.3.32.jar - xwork-core-2.3.32.jar
struts2漏洞s2-045,不升级jar版本的修补方法,已验证.docx
07-04
同时,我们也可以了解到 Struts2 漏洞 S2-045 的成因和解决方法,对于企业级应用程序的安全性具有重要意义。 参考文献 Apache Struts 2 - S2-045 Vulnerability. (n.d.). Retrieved from ...
struts2 最新漏洞 S2-016、S2-017修补方案 .docx
08-01
Struts2 最新漏洞 S2-016、S2-017 修补方案 Struts2 是一个基于 Java 的 Web 应用程序框架,由 Apache 软件基金会维护。最近,Struts2 发生了两个严重的漏洞,分别是 S2-016 和 S2-017,这两个漏洞可能会导致攻击者...
Struts2高危漏洞修复方案(S2-016/S2-017)
huangbaokang的博客
01-25 2340
漏洞介绍 S2-016漏洞,可直接导致服务器被远程控制从而引起数据泄露,影响巨大。 漏洞修复方法 网上下载漏洞修复代码,下载地址 http://jskfs.googlecode.com/files/struts2_(016_017)_bug_repair.rar 下载解压之后如下: 相关目录的文件为java文件,我们需要把进行编译后的class文件放到我们的服务器上。 如何编译? 在eclips...
K8_Struts2_EXP S2-045 20170310.rar
03-31
该描述提到的"Struct 2 S2-045/046 漏洞检测工具"是一个用于检测Struts2 S2-045和S2-046漏洞的实用程序。S2-046S2-045类似,也是OGNL注入漏洞,同样允许攻击者远程执行代码。这些工具通常以扫描器的形式存在,能够...
给你汇报Struts2 S2-016漏洞修复的总结
HBohan的博客
06-27 1878
这篇文章主要介绍了Struts2 S2-016漏洞修复的总结,有需要的小伙伴可以进来参考下,来一起互相探讨一下哦 Struts2S2-016漏洞是之前比较重大的漏洞,也是一些老系统的历史遗留问题 此漏洞影响struts2.0-struts2.3的所有版本,可直接导致服务器被远程控制从而引起数据泄漏,影响巨大 漏洞修复总结有4种方式: 1、升级版本 这也是Apache官方给出的建议,把Struts2的版本升级到2.3.15以上的版本,这种方式只需要替换一些jar包,归纳如下: commons-lang3
Struts2 S2-046漏洞复现
2301_76467680的博客
07-09 737
在xb中间加个空格选中后改为00,再发包。修改filename参数。成功实现远程命令执行。
struts2-046 远程代码执行 (CVE-2017-5638)
博客地址 www.sec0nd.top
06-29 842
Apache Struts是美国阿帕奇(Apache)软件基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。攻击者可以将恶意代码放入http报文头部的Content-Disposition的filename字段,通过不恰当的filename字段或者大小超过2G的Content-Length字段来触发异常,进而导致任意代码执行。上传一个文件,使用bp抓包将filename改为:“%{(#nike=‘multipart/
Struts2漏洞及解决办法
weixin_34384681的博客
09-29 112
Strutsexploit-db网站在7月14日爆出了一个Struts2的远程执行任意代码的漏洞漏洞名称:Struts2/XWork<2.2.0RemoteCommandExecutionVulnerability相关介绍:http://www.exploit-db.com/exploits/14360/http://sebug.net/exploit/19954/S...
九、【漏洞复现】Struts 2 远程代码执行漏洞s2-046(CVE-2017-5638)
weixin_52351575的博客
09-22 667
Struts 2是一个基于MVC设计模式的Web应用框架,本质上相当于一个Servlet,在MVC设计模式中,Struts2作为控制器来建立模型与视图进行数据交互。攻击者通过发送恶意构造的HTTP数据包利用该漏洞(通过构造HTTP请求头中的Content-type)在服务器上执行系统命令,进一步完全控制该服务器,造成拒绝服务,数据泄露,网站篡改等后果。该漏洞无需任何前置条件(如开启dmi,debug等功能),以及启用任何插件,危害较为严重。​可以直接检测站点是否存在本漏洞。使用知道创宇SeeBug​。
Struts2-046漏洞复现
帅醉了的博客
11-02 1284
漏洞存在位置: 1、Content-Length:的长度大于2g 2、filename=这个参数 poc为 "%{#context['com.opensymphony.xwork2.dispatcher.HttpServletResponse'].addHeader('X-Test','Kaboom')}" 利用: exp: sh exploit-cd.sh http://192.168.202.133:8080/ ifconfig ...
Struts2漏洞S2-046漏洞复现学习
最新发布
m0_64777251的博客
04-16 2067
养成好习惯复现完及时关掉。
Struts2 S2-046漏洞复现 (CVE-2017-5638)
1
05-27 3810
一:漏洞介绍 名称: struts2-046 远程代码执行 (CVE-2017-5638) 描述: Apache Struts是美国阿帕奇(Apache)软件基金会的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品,Struts 1和Struts 2。 攻击者可以将恶意代码放入http报文头部的Content-Disposition的filename字段,通 过不恰当的filename字段或者大小超过2G的Content-Length字段来触发异常,进而导
apache struts2框架命令执行漏洞(s2-045、s2-046)
01-11
Apache Struts2框架是一种流行的开源Web应用程序开发框架,但曾经发生过多个命令执行漏洞,其中包括s2-045和s2-046漏洞s2-045漏洞源于在处理远程表达式语言(OGNL)时存在安全漏洞,攻击者可以利用构造特定的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值