Apache Struts ‘includeParams’安全绕过漏洞

最新推荐文章于 2024-04-24 10:33:50 发布
最新推荐文章于 2024-04-24 10:33:50 发布
阅读量187 收藏
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/security4399/archive/2013/05/28/3104565.html
版权

漏洞名称:Apache Struts ‘includeParams’安全绕过漏洞
CNNVD编号:CNNVD-201305-577
发布时间:2013-05-28
更新时间:2013-05-28
危害等级:  
漏洞类型:权限许可和访问控制
威胁类型:远程
CVE编号:CVE-2013-2115
漏洞来源:Eric Kobrin and Douglas Rodrigues (Akamai), Coverity Security Research Laboratory, NSFOCUS Security Team

Apache Struts2是美国Apache软件基金会负责维护的一款用于创建企业级Java Web应用的开源框架。 
        Apache Struts 2.0.0至2.3.14.1版本中存在安全绕过漏洞,该漏洞源于程序没有充分处理用户提供的输入。攻击者可利用该漏洞以运行应用程序的用户权限控制服务器端的上下文对象,控制应用程序和底层计算机。

目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接: 
        http://struts.apache.org/

来源: BID 
名称: 60167 
链接:http://www.securityfocus.com/bid/60167

转载于:https://www.cnblogs.com/security4399/archive/2013/05/28/3104565.html

weixin_30706691
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Struts2对应CVE编号记录
ch4nge
08-18 1776
S2-001(CVE-2007-4556) - 远程代码利用表单验证错误 S2-002(无CVE) - <s:url>和<s:a>标记上的跨站点脚本(XSS)漏洞 S2-003(无CVE) - XWork ParameterInterceptors旁路允许OGNL语句执行 S2-004(无CVE) - 提供静态内容时的目录遍历漏洞 S2-005(CVE-2010-1870) - XWork ParameterInterceptors旁路允许远程命令执行 S2-006(CVE-201.
【Vulfocus解题复现】Struts2 S2-013 Struts2 远程命令执行漏洞CVE-2013-1966)
温氏效应
09-04 2619
漏洞介绍 名称:Struts2 S2-013 远程命令执行漏洞 漏洞版本:Apache Group Struts 2.0.0 - 2.3.14 CVE标识符:CVE-2013-1966 描述:url和s:a标记都提供includeparams属性。该属性的主要作用域是了解包含或不包含http://request参数的内容。INCLUDEParams的允许值为:none-在URL中不包含任何参数(默认),get-仅在URL中包含get参数,all-在URL中同时包含get和post参数。当INCLUDEPa
Apache Struts 安全措施绕过漏洞CVE-2013-4310)
weixin_30444105的博客
09-26 438
漏洞版本: Apache Group Struts < 2.3.15.2 漏洞描述: BUGTRAQ ID: 62584 CVE(CAN) ID: CVE-2013-4310 Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。 Apache Struts 2.0.0-2.3.15.1的操作映...
常见安全漏洞及其解决方案
qq_44005305的博客
06-17 273
执行时,此后的文本将被忽略。但这并不是无代价的,受到损失最大的就是被控制的网站,往往随着暗链所指向的网站的权重不断提高,存在暗链的网站的权重将不断下降,搜索引擎排名也必然一再下降,严重影响网站的影响力。漏洞危害:该漏洞是通过版本号探测的,可能存在误报Apache HTTP Server是一款开源的流行的HTTPD服务程序.当处理包含大量Ranges头的HTTP请求时,ByteRange过滤器存在一个错误,攻击者可以向服务器发送特制HTTP请求,消耗大量内存,造成应用程序崩溃CVE-2011-3192。
vulfocus 靶场struts2 代码执行 (CVE-2020-17530)
最新发布
没有故事
04-24 745
由于Struts2 会对某些标签属性(比如 id) 的属性值进行二次表达式解析,因此当这些标签属性中使用了 %{x} 且 x 的值用户可控时,用户即可构造一些SSRF、远程命令执行等形式的payload,并将这些恶意payload以%{...}形式传入该标签属性, 即可造成OGNL表达式执行。bash -c {echo,编码后的内容} |{base64 ,-d}|{bash , -i} #或: 抓包,改为如下内容: 红色部分为要更改的地方。监听机进行监听:nc -lvvp。
最新!Apache Struts 又爆安全漏洞(危害程度特别大)
Java技术栈,分享最主流的Java技术
08-16 1593
Struts 是一个开源的 Java Web MVC 框架,也是 Apache 软件基金会的一个开源项目,包括 Struts 1 和 Struts 2,Struts 1 早已被淘汰,现在市面上说的 Struts 主要是指 Struts 2。 很不幸,现在 Struts 2 也是被淘汰的框架了,但也有很多老项目也还是在用 Struts 2 的,所有还在用的小伙伴们需要关注一下。 具体就不多说了,可以看栈长之前分享的:Struts2 为什么被淘汰? 漏洞说明 攻击者可以利用文件上传漏洞,覆盖访问权限,以造成服务
Struts2远程代码执行漏洞分析(S2-013)1
08-08
Struts2 是 Apache 官方的产品,最近出了一个远程代码执行漏洞,编号“S2-013”,目前是 0DAY,官方没有修补方案出现。这个漏洞出现在 includeParams 属性中,允许远程命令执行。 漏洞的成因是 Struts2 标签库中的 ...
Struts02-002简单分析1
08-03
Struts2-002是一个针对Java开发的Web应用程序中的XSS(跨站脚本)漏洞,主要影响Apache Struts框架的特定版本。该漏洞出现在使用和标签时,特别是当这些标签的`includeParams`属性设置为`all`的情况下。受影响的...
Struts2文件上传示例
02-16
Struts2是一个强大的Java web开发框架,它简化了MVC(模型-视图-控制器)架构的实现。在Struts2中,文件上传是常见的功能,对于处理用户上传的图片、文档等数据非常实用。本示例将详细介绍如何在Struts2中实现文件...
Struts2属性文件详解
02-11
struts.url.includeParams 该属性指定Struts 2生成URL时是否包含请求参数.该属性接受none、get和all三个属性值,分别对应于不包含、仅包含GET类型请求参数和包含全部请求参数. struts.custom.i18n.resources 该属性...
Struts2\constant应用
07-04
该属性的默认值是org.apache.struts2.views.freemarker.FreemarkerManager,这是Struts 2内建的FreeMarker管理器。 struts.freemarker.wrapper.altMap 该属性只支持true和false两个属性值,默认值是true。通常...
Apache Struts2 includeParams属性远程命令执行漏洞(CVE-2013-1966)
weixin_30711917的博客
05-25 616
漏洞版本: Apache Group Struts 2.0.0 - 2.3.14 漏洞描述: CVE(CAN) ID: CVE-2013-1966 Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。它是WebWork和Struts社区合并后的产物。 Apache Struts2的s:a和s:url标签...
Struts2_013_RCE CVE-2013-1966 漏洞复现
ADummy的博客
02-04 1606
Struts2_013_远程代码执行 by ADummy 0x00利用路线 ​ 直接url执行payload,由于浏览器url输入框的长度有限,可以使用Hackbar插件,或burpsuite抓包测试。 0x01漏洞介绍 ​ <s:a>includeParams=“all”>Click here.</s:a>,这个是struts2标签库的a标签,该标签会在页面上显示当前URL Struts2标签库中的url标签和a标签的includeParams这个属性,代表显示请求访
Apache Struts2远程代码执行漏洞(S2-001)复现
m0_58606546的博客
01-14 2433
0x01 漏洞概述 1、漏洞名称 漏洞名称:Struts Remote Code Exploit 漏洞编号:Struts2-001 漏洞类型:Remote Code Execution 2、漏洞原理 Struts2 是流行和成熟的基于 MVC 设计模式的 Web 应用程序框架。 Struts2 不只是 Struts1 下一个版本,它是一个完全重写的 Struts 架构。Struts2 的标签中使用的是OGNL表达式,OGNL 是 Object Graphic Navigation Language(
[漏洞复现]Apache Struts2/S2-013 (CVE-2013-1966)
k5664524的博客
01-17 518
2.3.1.2 之前的 Apache Struts 允许远程攻击者绕过 ParameterInterceptor 类中的安全保护并执行任意命令。
struts2漏洞_Apache Struts 2高危漏洞风险提示
weixin_39949889的博客
12-16 169
漏洞公告2020年12月8日,Apache官方发布Struts 2.0.0到2.5.25版本中存在OGNL表达式注入的远程代码执行漏洞(S2-061)公告,对应CVE编号:CVE-2020-17530,相关链接:https://cwiki.apache.org/confluence/display/WW/S2-061根据公告,在Struts 2.0.0到2.5.25版本中,在Struts...
Struts2漏洞频出 祸根是Apache底层代码不严谨
荒岛码农
09-23 1162
http://www.ithome.com/html/it/83338.htm Struts2漏洞频出 祸根是Apache底层代码不严谨 2014-4-30 9:23:24来源:IT之家 原创作者:小智责编:小智 日前,Struts2再次爆出安全漏洞,主要影响国内电商、银行、运营商等诸多大型网站和为数众多的政府网站。国外安全研究人员日前发现,Apache Struts
Struts 2中的constant配置详解
hello world!
12-21 965
通过对这些属性的配置,可以改变Struts 2 框架的一些默认行为,这些配置可以在struts.xml文件中完成,也可以在struts.properties文件中完成 1.  指定Web应用的默认编码集,相当于调用 HttpServletRequest的setCharacterEncoding方法。 2. 该属性设置是否每次HTTP请求到达时,系统都重新加载资源文件。该属性默认
struts2远程S2-013复现学习
hklearner的博客
04-02 288
S2-013复现 原理 struts2的标签中 和 都有一个 includeParams 属性,可以设置成如下值 none - URL中不包含任何参数(默认) get - 仅包含URL中的GET参数 all - 在URL中包含GET和POST参数 此时 或尝试去解析原始请求参数时,会导致OGNL表达式的执行 影响版本:Struts 2.0.0-2.3.14 漏洞搭建 Struts2 的标签<s:a>和<s:url>提供了一个 includeParams 属性。该属性的主要作用域
Docblockr 怎用
09-11
- "docblockr.includeParams": 是否在注释中包含函数参数,默认为true。 - "docblockr.includeReturns": 是否在注释中包含函数返回值,默认为true。 根据自己的需求进行配置。 3. 编写注释 DocBlockr会根据代码上...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值