struts2.2以前版本远程执行任意代码漏洞修复方案

最新推荐文章于 2022-04-11 15:31:52 发布
原创 最新推荐文章于 2022-04-11 15:31:52 发布 · 170 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#struts

本文详细介绍了如何应对Struts2远程执行任意代码漏洞,包括将Struts2升级到最新版本及配置参数拦截器等解决方案,并提供了具体的XML配置示例。
今天我的站点被扫描出了远程执行任意代码漏洞,以前一直知道struts2有这漏洞但一直没了解具体是哪个版本的漏洞,今天发现决定不再让它嚣张下去!
g了一大把资料,总结如下:
方案一:最直接了当,将struts2换到最新版本,比较麻烦,要换很多依赖jar包。
方案二:配置参数拦截器,将敏感参数拦截掉。
<package name="basePackage" extends="struts-default">
<interceptors>
<interceptor-stack name="baseStack">
...
<interceptor-ref name="params">
     <param name="excludeParams">dojo\..*,^struts\..*,.*\\u0023.*,.*\\x5Cu0023.*,.*\\x5cu0023.*</param>
</interceptor-ref>
...
</interceptor-stack>
</interceptors>
<default-interceptor-ref name="baseStack" />
</package>

<package name="member" extends="basePackage" namespace="/member/">
...
</package>
 
 
Struts2高危漏洞修复方案(S2-016/S2-017)
huangbaokang的博客
01-25 2574
漏洞介绍 S2-016漏洞,可直接导致服务器被远程控制从而引起数据泄露,影响巨大。 漏洞修复方法 网上下载漏洞修复代码,下载地址 http://jskfs.googlecode.com/files/struts2_(016_017)_bug_repair.rar 下载解压之后如下: 相关目录的文件为java文件,我们需要把进行编译后的class文件放到我们的服务器上。 如何编译? 在eclips...
Apache Log4j2 远程代码执行漏洞 排查及修复
m0_48368237的博客
12-23 2049
近期,Apache Log4j2 远程代码执行漏洞(CNVD-2021- 95914)曝光,引发社会广泛关注。攻击者利用该漏洞,可 在未授权的情况下远程执行代码,获得服务器控制权限。经 中心综合技术分析研判,该漏洞具有危害程度高、利用难度 低、影响范围大的特点。 一、漏洞情况分析 Apache Log4j 是一个基于 Java 的日志记录组件。Apach e Log4j2 是 Log4j 的升级版本,通过重写 Log4j 引入了丰富 的功能特性。该日志组件被广泛应用于业务系统开发,用以 记录程序输入输出日志
Struts 2 远程代码执行漏洞(s2-045\s2-046)修复所用到的包
03-23
1.严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。 2.如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.322.5.10.1版本。(强烈推荐) 3.升级2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 http://mvnrepository.com/artifact/org.apache.struts/struts2-spring-plugin/2.3.32
亲历struts2漏洞
燃烧的代码
07-27 209
struts2-core-xxx.jar中struts-default.xml中 defaultStack和paramsPrepareParamsStack的 dojo\..*,^struts\..* 改为 dojo\..*,^struts\..*,.*\\u0023.*,.*\\x5Cu0023.*,.*\\x5cu0023.* 总之就是要保证所有action都...
Struts 2最新0day破坏性漏洞远程任意代码执行)等的重现方法
qysh123的专栏
07-18 1680
Struts 2远程任意代码执行和重定向漏洞,是这两天互联网上最重大的安全事件,据说国内互联网企业中,很多电商纷纷中招,应该已经有大规模的用户隐私泄露。这里我们简单总结下怎样在自己机子上重现这些漏洞,这篇日志也是面向对网络安全比较感兴趣的初学者,即使你没有什么经验,也能知道这漏洞到底怎么回事: 首先我们需要下载包含漏洞Struts 2,在这里:http://archive.apache.
Apache Log4j 2 远程代码执行漏洞详解
热门推荐
SimpleAstronaut的博客
12-11 1万+
Apache Log4j2 远程代码执行漏洞的详细信息已被披露,而经过分析,本次 Apache Log4j 远程代码执行漏洞,正是由于组件存在 Java JNDI 注入漏洞:当程序将用户输入的数据记入日志时,攻击者通过构造特殊请求,来触发 Apache Log4j2 中的远程代码执行漏洞,从而利用此漏洞在目标服务器上执行任意代码
安全漏洞修复-Common FileUpload-CVE-2016-100031
llCnll的博客
04-11 5270
. 漏洞描述 近日,Apache官方发布安全通告强烈建议使用Apache Struts2.3.X版本的用户对commons-fileupload组件进行升级Struts 2.3.x默认使用1.3.2版本commons-fileupload组件。早在2016年,该版本组件被揭露存在反序列化漏洞,此漏洞可导致任意远程代码执行。 受影响版本: Apache Struts <= 2.3.36 Apache Common FileUpload < 1.3.3 二. 修复方式 Common FileU
Struts2漏洞利用工具2019版
08-09
由于Struts2允许用户输入的OGNL表达式在服务器端执行,因此,如果未经适当过滤和验证,恶意用户可以通过构造特定的请求参数,执行任意代码,导致远程代码执行(RCE)或者其他类型的攻击。 2019年,Struts2的多个...
struts2漏洞S2-0211
08-08
漏洞利用了Struts2框架中的某些特性,通过特定的HTTP请求参数绕过安全检查,进而执行任意代码或获取敏感信息。 #### 二、S2-0211漏洞分析 ##### 2.1 S2-020漏洞回顾 在讨论S2-0211之前,先简单回顾一下与其紧密...
Apache Struts2(S2-052远程代码执行漏洞利用和修复建议
蚁景网安学院
09-06 3937
点击“合天智汇”关注,学习网安干货话说哥们正吃着火锅唱着歌呢~~突然瞥见微信群的信息“Struts2 S2-052 RCE。。。。”赶紧放下筷子瞅一眼,这Struts2真是让人省心啊,...
一种新的攻击方法——Java Web表达式注入
gufachongyang02的专栏
07-05 1542
0×00 引言 在2014年6月18日@终极修炼师曾发布这样一条微博: 链接的内容是一个名为Jenkins的服务,可以在没有password的情况下受到攻击。而攻击方法比较有趣,Jenkins提供了一个Script Console功能,可以执行Groovy 脚本语言。下面我们来看下维基百科对于这个脚本语言的解释:  Groovy是Java平台上设计的面向对象编程语
Struts2远程代码执行漏洞S2-045利用及修复
u014416842的博客
04-13 4326
升级struts-2.3.32, 发现无法调用getter方法public class Action { private Map yTypeList = new LinkedHashMap(); // getYtypeList public Map getYTypeList() { yTypeList.put("a", "invalid yTypeList a");
Struts 2.3.1.1 命令执行漏洞
weixin_30640291的博客
12-19 157
漏洞版本: Struts 2.3.1.1 漏洞描述: CVE ID:CVE-2011-3923 Struts2的核心使用的是WebWork框架,而WebWork通过XWork来处理用户的请求参数。Xwork的默认配置是禁止静态方法执行的,想要修改默认配置中的值,根据语法要求就必须使用#字符来表示变量,并对变量进行修改。 为了防范服务器端对象被恶意篡改,XWork的Para...
Apache Struts2任意代码执行漏洞(S2-032)检测程序
程序设计与安全 @EVAN-CSS
05-30 2718
上个月写的一段代码,记录下来以供时之需。 漏洞概况2016年4月21日,Struts2官方发布两个安全公告(S2-031,S2-032),其中S2-032CVE-2016-3081)官方评级为高。Apache Struts 2是世界上最流行的Java Web服务器框架之一。该漏洞的成因是用户开启动态方法调用(Dynamic Method Invocation)的情况下,攻击者能够使用method
Struts2漏洞分析,漏洞波及全系版本
445822357
10-31 605
Struts漏洞分析 Apache Struts团队已经发布了Struts 2.3.15.1安全更新版本。在Struts2.3.15.1版本之前,存在着严重的安全漏洞,如果现在一些比较大的网站是用JAVA做的,没有把版本升级,还用的是Strtus2.3.15.1版本之前的话,那么你们就要小心,服务器被黑了哦。 下面就来说一下之前版本Struts2漏洞是如何产生的,我们自己去做,该如何的...
Struts2框架安全缺陷
zbmartin的博客
03-12 345
摘要 本文介绍了java开发流行框架struts2以及webwork的一些安全缺陷,并举例说明框架本身以及开发人员使用框架时,所产生的种种安全问题,以及作者挖掘框架安全漏洞的一些心得体会。 推荐以下人群阅读 了解java开发 了解框架开发 了解web application安全 “网络安全爱好者” 正文 当前java开发网站,通常会是纯JSP的,大都使用了ja...
技术转移服务公司如何借助AI赋能的科技管理服务挖掘服务价值?.docx
12-02
技术转移服务公司如何借助AI赋能的科技管理服务挖掘服务价值?
4G 中的分组调度.zip
最新发布
12-02
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
AI时代,市场化技术转移机构面临需求挖掘精准挑战,如何抓住智能化转型方案机遇实现核心竞争力?.docx
12-02
AI时代,市场化技术转移机构面临需求挖掘精准挑战,如何抓住智能化转型方案机遇实现核心竞争力?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值