Apache Struts OGNL表达式注入漏洞

最新推荐文章于 2023-09-26 16:27:05 发布
最新推荐文章于 2023-09-26 16:27:05 发布
阅读量1.1k 收藏
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/security4399/archive/2013/06/07/3124991.html
版权

漏洞名称:Apache Struts OGNL表达式注入漏洞
CNNVD编号:CNNVD-201306-105
发布时间:2013-06-07
更新时间:2013-06-07
危害等级:  
漏洞类型: 
威胁类型:远程
CVE编号:CVE-2013-2135
漏洞来源:Jon Passki via Coverity Security Research Laboratory

Apache Struts2是美国Apache软件基金会负责维护的一款用于创建企业级Java Web应用的开源框架。 
        Apache Struts 2.0.0至2.3.14.3版本中存在远程OGNL表达式注入漏洞。远程攻击者可利用该漏洞操作服务器端的对象,在应用程序上下文中执行任意命令。

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: 
        http://struts.apache.org/

来源: BID 
名称: 60345 
链接:http://www.securityfocus.com/bid/60345

转载于:https://www.cnblogs.com/security4399/archive/2013/06/07/3124991.html

weixin_30693183
关注
大华DSS S2-045 OGNL表达式注入漏洞复现
0xSec
12-08 1133
大华DSS安防监控系统平台采用ApacheStruts2作为网站应用框架。由于应用程序框架存在远程命令执行漏洞,攻击者可以通过在上传文件时修改HTTP请求标头中的Content Type值来触发该漏洞,然后执行该漏洞。系统命令以获取服务器权限。
什么是OGNL表达式
༺清风暖云༻
12-13 1276
struts2框架中使用的表达式并不是EL表达式,不是不能用,而是struts2有自己的一套御用的表达式,名字就叫OGNL表达式,本章节就此表达式进行初步的学习,下一章节才会对OGNL表达式进行Demo练习~ OGNL表达式(一)1、何为OGNL表达式1.1、简单描述1.2、OGNL介绍1.3、使用OGNL准备1.4、OGNL代码展示1.5、OGNL表达式的书写《END》 1、何为OGNL表达...
Confluence OGNL表达式注入漏洞复现与分析(CVE-2022-26134)
Brucetg的博客
06-06 4504
在受影响的 Confluence Server 和 Data Center 版本中,存在一个 OGNL 注入漏洞,该漏洞允许未经身份验证的攻击者在 Confluence Server 或 Data Center 实例上执行任意代码。
Apache Struts中利用OGNL注入
weixin_30480583的博客
03-21 3339
前言 本文简要介绍了Apache StrutsOGNL注入缺陷,文章中介绍使用简单的应用程序复现OGNL注入。深入研究针对公共漏洞,并理解这类漏洞。 内容 安装Apache Tomcat服务器(入门) 熟悉Java应用程序在服务器上的工作方式(Web服务器基础知识) Struts应用程序示例(Struts应用程序示例) 表达语言注入表达式语言注入) 了解OGNL注射(对象图导航语言...
CVE-2022-26134 Confluence OGNL表达式注入命令执行漏洞复现
最新发布
m0_72717546的博客
09-26 351
Confluence是一个专业的知识库协同工具,它可以进行企业知识管理与软件协同,是一个利于构建企业WIKI的Web应用。Confluence使用简单,但它强大的编辑和站点管理特征能够帮助团队成员之间共享信息、文档协作、集体讨论,信息推送。是企业中强大的信息读取、存放的共享平台。在受影响的 Confluence Server 和 Data Center 版本中,存在一个 OGNL 注入漏洞,允许未经身份验证的攻击者在 Confluence Server 或数据中心实例上执行任意代码。
Java安全』Struts2 2.0.8 OGNL注入漏洞S2-001复现与浅析
Ho1aAs‘s Blog
07-29 1022
学习一下S2漏洞的利用Struts2使用opensymphony.xwork2.0.3组件解析OGNL,该组件导致OGNL注入漏洞,发送表单时内容会引发OGNL注入
Struts2系统学习(16)OGNL表达式及基本原理分析
SunnyMarkLiu
11-15 1940
16. OGNL表达式16.1 OGNL表达式语言简介  OGNL (Object Graph Navigation Language)对象图导航语言。Struts2框架使用OGNL作为默认的表达式语言。   OGNL相对其它表达式语言具有下面几大优势: 支持对象方法调用,如xxx.doSomeSpecial(); 支持类静态方法的调用和值的访问,表达式的格式:   @[类全名(包括包路径)]@
OGNL表达式
weixin_43710113的博客
06-28 446
1.OGNL简介 OGNL(ObjectGraphic Navigation Language)对象图导航语言,它是一个开源项目。 Struts2框架使用OGNL作为默认的表达式语言,大大加强了数据访问功能。 OGNL表达式与EL表达式有很多相似的地方,也有不同的地方。 相同点: 获取域对象(page,request,session,application)的数据。 不同点: EL表达式不能存放数...
Struts2 S2-061 漏洞分析:OGNL表达式注入与远程代码执行
"Apache Struts2 的 S2-061 漏洞是一个严重的远程代码执行漏洞,出现在使用特定tag时的OGNL表达式注入。该漏洞在2020年12月8日被公开,允许攻击者通过构造恶意输入来绕过OGNL沙盒限制,执行任意代码。在分析Poc时,...
struts2-OGNL表达式测试
09-28
struts2-OGNL表达式测试代码
Struts2 的OGNL使用简介
03-17
Struts2 的OGNL使用简介实例 博文链接:https://zmx.iteye.com/blog/553748
Java安全』Struts 2.2.3 表单参数类型转换错误OGNL注入漏洞S2-007复现与浅析
Ho1aAs‘s Blog
08-25 506
对表单参数使用validator验证时,如果遇到类型错误,参数值会先压入参数栈,之后会取出并被二次ognl解析。
Apache Struts Jakarta Multipart Parser OGNL Injection(Metasploit)复现失败
四盘山博客
09-01 857
0x01:环境 PentestBox2.2 下载Exploit https://www.exploit-db.com/exploits/31433/ 加载到metasploit-framework.bak\modules\exploits\multi\http\struts0x02:msf exploit(41614) > use exploit/multi/http/struts/416
Struts2 OGNL 漏洞
weixin_34194087的博客
11-23 636
2019独角兽企业重金招聘Python工程师标准>>> ...
Java安全』Struts2 2.1.8.1 参数名OGNL注入漏洞S2-003复现与浅析
Ho1aAs‘s Blog
08-01 1190
Struts2解析参数名称使用了OGNL表达式,构建恶意OGNL表达式会造成注入
(九)Struts2进阶之OGNL表达式第一弹
秃头哥编程
05-24 532
这两天一直想写OGNL的总结,但发现下不了笔。今天还是咬牙开始写。 OGNL是Object-Graph Navigation Language的缩写,它是一种功能强大的表达式语言,通过它简单一致的表达式语法,可以存取对象的任意属性,调用对象的方法,遍历整个对象的结构图,实现字段类型转化等功能。它使用相同的表达式去存取对象的属性。 ——百度百科 OGNL我们看到最多的就是和Stru...
Maven Struts2
十年彩虹
09-10 652
org.apache.struts struts2-core ${struts.version} org.apache.struts struts2-json-plugin ${struts.version} org.apache.struts struts2-spring-plugin ${struts.version}
Java安全』Struts 2.3.14.2 action占位符OGNL注入漏洞S2-015复现与浅析
Ho1aAs‘s Blog
08-29 1000
action的name可以设置为*,当URL没有匹配到任何action的时候,就会匹配*对应的action;而一般开发中获取*对应的字符串,然后result返回以该字符串命名的jsp,获取该字符串用的是占位符{x},依照星号从左往右从1开始匹配例如:......
STRUTS2 OGNL注入漏洞分析及修复
"STRUTS2类型转换错误导致OGNL表达式注入漏洞分析1" STRUTS2框架在处理用户输入时出现类型转换错误,从而引发OGNL(Object-Graph Navigation Language)表达式注入漏洞。这个漏洞允许攻击者通过精心构造的输入,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值