Struts 2 远程代码执行漏洞加固方法

最新推荐文章于 2024-03-25 22:22:22 发布
最新推荐文章于 2024-03-25 22:22:22 发布
阅读量926 收藏
点赞数
分类专栏: struts2/spring/hibernate 文章标签: struts2.0
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ikensz/article/details/77839580
版权

加固方式如下:

    通过判断Content-Type头是否为白名单类型,来限制非法Content-Type的攻击。

加固代码:

import java.io.IOException;
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
 
 
public class SecurityFilter extends HttpServlet implements Filter {
 
    /**
     *
     */
    private static final long serialVersionUID = 1L;
   
   
    public final String www_url_encode= "application/x-www-form-urlencoded";
    public final String mul_data= "multipart/form-data ";
    public final String txt_pla= "text/plain";
 
    public void doFilter(ServletRequest arg0, ServletResponse arg1,
            FilterChain arg2) throws IOException, ServletException {
 
        HttpServletRequest request = (HttpServletRequest) arg0;
        HttpServletResponse response = (HttpServletResponse) arg1;
       
        String contenType=request.getHeader("conTent-type");
       
        if(contenType!=null&&!contenType.equals("")&&!contenType.equalsIgnoreCase(www_url_encode)&&!contenType.equalsIgnoreCase(mul_data)&&!contenType.equalsIgnoreCase(txt_pla)){
           
            response.setContentType("text/html;charset=UTF-8");
            response.getWriter().write("非法请求Content-Type!");
            return;
        }
        arg2.doFilter(request, response);
    }
 
    public void init(FilterConfig arg0) throws ServletException {
 
    }
 
}

 

1. 将Java编译以后的“SecurityFilter.class”(SecurityFilter.java是源代码文件)复制到应用的WEB-INF/classes目录下。

2. 配置Filter

将下面的代码加入WEB-INF/web.xml文件中。

<filter>
    <filter-name>SecurityFilter</filter-name>
    <filter-class>SecurityFilter</filter-class>
  </filter>
<filter-mapping>
    <filter-name>SecurityFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

/*代表拦截所有请求,进行攻击代码检查,*.action只检查.action结尾的请求。

示例:

3. 重启应用即可

zephyr_666
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
struts2 框架 远程执行漏洞 解决方案详解
mayongmsss的专栏
06-03 1039
Struts2/XWork 该漏洞是利用xwork(struts2的核心部件)可以动态构建执行方法的原理(xwork.MethodAccessor.denyMethodExecution), 通过修改一些值能够调用被保护的Java代码,并且执行任意的Java代码:如执行下述代码,将会调用:java.lang.Runtime.getRuntime().exit(1),造成程序运行异常; ht
struts2漏洞利用工具
02-24
然而,Struts2在过去的几年中遭受了一系列的安全漏洞,这些漏洞使得恶意攻击者能够利用这些弱点对服务器进行攻击,包括远程代码执行(RCE)、信息泄露等严重问题。本文将深入探讨Struts2漏洞及其利用工具,帮助读者...
structs2最新远程执行漏洞S2-057、反序列化漏洞等修复方案
08-30
Apache Struts2 官方发布了最新的安全公告,披露了一个远程命令执行漏洞漏洞编号:CVE-2018-11776,官方编号:S2-057),攻击者可利用漏洞实施远程命令执行攻击。特给出struct2.0-2.3.35的修复方案
远程代码执行漏洞及防御
最新发布
2301_76717406的博客
03-25 1489
远程命令/代码执行漏洞(RC(command/code)E):RCE漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统;
ajax 结合struts2,struts2和ajax结合
weixin_29967445的博客
08-05 132
js代码function CreateRequestObject(){var ajaxRequest;try{ajaxRequest = new XMLHttpRequest();}catch(e){try{ajaxRequest = new ActiveXObject("Msxml2.XMLHTTP");}catch(e){try{ajaxRequest = new ActiveXObject(...
struts漏洞检测工具2017
03-15
3. **S2-045(CVE-2017-5637)**,与S2-048类似,是一个远程代码执行漏洞,主要影响Struts2Struts2 Dojo展示模块。攻击者可以通过精心设计的请求触发漏洞执行服务器端的任意命令。 4. **S2-016(CVE-2013-2261...
Struts2漏洞检查工具最新版.rar
08-26
例如,著名的S2-045、S2-048和S2-057等都是Struts2框架历史上的高危漏洞,它们可能导致远程代码执行(RCE)、命令注入、信息泄露等问题,严重威胁到服务器的安全。 该2018版的Struts2漏洞检查工具可能包含了以下...
Struts2漏洞检查工具2017版
09-14
这些漏洞同样允许攻击者通过精心构造的输入,以远程代码执行的形式入侵系统。 2017版的Struts2漏洞检查工具正是针对这些漏洞提供检测服务。它可能包括了自动化扫描工具,用于扫描代码库中的易受攻击的Struts2组件;...
高危 struts2 远程执行代码漏洞
关注安全的程序员
07-04 350
struts2 的童鞋主意了,最近出了几个比较严重的安全漏洞,危害及大。没补丁的童鞋赶快补丁,服务器会被别人日了。 下面公布几个exp 有兴趣的童鞋可以去测试下,不懂的可以联系俺,共同探讨下。说不定还能发现0day. 15个漏洞及补丁自己去官网看: https://cwiki.apache.org/confluence/display/WW/Security+Bulletins ...
struts2架构网站漏洞修复详情与利用漏洞修复方案
weixin_34319111的博客
12-03 1367
struts2从开发出来到现在,很多互联网企业,公司,平台都在使用apache struts2系统来开发网站,以及应用系统,这几年来因为使用较多,被攻击者挖掘出来的struts2漏洞也越来越,从最一开始S2-001到现在的最新的s2-057漏洞,本文着重的给大家介绍一下struts2漏洞的利用详情以及漏洞修复办法。 先从1开始吧,S2-001影响的版本...
struts2安全漏洞修复
eddysoft126的专栏
07-22 321
  1、登陆界面Sql注入     users = daoSrv.findByHql("from Manager m where m.mngName='" + username +"'");    if(users.size() == 1&amp;&amp;((Manager)users.get(0)).getMngName().equals(username)){     Manager ...
常见web攻击的加固方法
hibari_18的博客
07-07 1357
0x01 XSS 1.过滤特殊字符(XSS Filter) 过滤恶意标签+属性 (1)href伪协议 <a href=javascript:('/a/')>test</a> (2)HTML新增标签 <math><maction xlink:href=>、<embed src=> (3)利用DataUrl协议 <a href="data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTs8L3NjcmlwdD4
Struts 2 S2-045 Jakarta插件远程代码执行漏洞加固方法
xiao190128的专栏
03-10 3291
近日,安恒信息安全研究院WEBIN实验室高级安全研究员nike.zheng发现著名J2EE框架-Struts2存在远程代码执行的严重漏洞漏洞编号: S2-045,CVE-2017-5638 漏洞名称: 基于 Jakarta plugin插件的Struts远程代码执行漏洞 官方评级: 高危 漏洞描述: Apache Struts 2被曝出存在远程命令执行漏洞
Struts2-S2-016/17
aming小老弟
04-18 1178
QQ 1285575001 Wechat M010527 技术交流 QQ群599020441 纪年科技aming #前文# 通过该实验了解java开发流行框架struts2安全缺陷形成的原因, 掌握基本的漏洞利用及使用方法, 并能够通过代码审计给出加固方案。 #基础知识# 了解Struts2 Struts是Apache软件基金会赞助的一个Java开源项目, 通过采用JavaServlet/JSP技术, 实现了基于Java EE Web应用的MVC设计模式的应用框架, 是MVC经典设计模式中的一个..
Struts框架漏洞
小小猪的博客
08-18 1296
Struts框架漏洞 Struts-S2-013漏洞利用 不妨先来看下index.jsp中标签是怎么设置的 <p><s:a id="link1" action="link" includeParams="all">"s:a" tag</s:a></p> <p><s:url id="link2" action="link" includeParams="all">"s:url" tag</s:url></p&
Struts2 S2-029漏洞分析:远程代码执行机制
"本文主要探讨了Struts2框架中的S2-029远程代码执行漏洞,该漏洞利用了Struts2对OGNL表达式的不安全处理。文章介绍了Struts2标签库的工作原理,以及如何通过OGNL进行数据访问。同时,文章分析了触发该漏洞的途径和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值