struts2.2以前版本远程执行任意代码漏洞修复方案

最新推荐文章于 2022-04-11 15:31:52 发布
最新推荐文章于 2022-04-11 15:31:52 发布
阅读量146 收藏
点赞数
分类专栏: javaee struts2 文章标签: struts
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iteye_15128/article/details/82478223
版权
今天我的站点被扫描出了远程执行任意代码漏洞,以前一直知道struts2有这漏洞但一直没了解具体是哪个版本的漏洞,今天发现决定不再让它嚣张下去!
g了一大把资料,总结如下:
方案一:最直接了当,将struts2换到最新版本,比较麻烦,要换很多依赖jar包。
方案二:配置参数拦截器,将敏感参数拦截掉。
<package name="basePackage" extends="struts-default">
<interceptors>
<interceptor-stack name="baseStack">
...
<interceptor-ref name="params">
     <param name="excludeParams">dojo\..*,^struts\..*,.*\\u0023.*,.*\\x5Cu0023.*,.*\\x5cu0023.*</param>
</interceptor-ref>
...
</interceptor-stack>
</interceptors>
<default-interceptor-ref name="baseStack" />
</package>

<package name="member" extends="basePackage" namespace="/member/">
...
</package>
 
 
Struts2高危漏洞修复方案(S2-016/S2-017)
huangbaokang的博客
01-25 2447
漏洞介绍 S2-016漏洞,可直接导致服务器被远程控制从而引起数据泄露,影响巨大。 漏洞修复方法 网上下载漏洞修复代码,下载地址 http://jskfs.googlecode.com/files/struts2_(016_017)_bug_repair.rar 下载解压之后如下: 相关目录的文件为java文件,我们需要把进行编译后的class文件放到我们的服务器上。 如何编译? 在eclips...
Apache Log4j2 远程代码执行漏洞 排查及修复
m0_48368237的博客
12-23 2015
近期,Apache Log4j2 远程代码执行漏洞(CNVD-2021- 95914)曝光,引发社会广泛关注。攻击者利用该漏洞,可 在未授权的情况下远程执行代码,获得服务器控制权限。经 中心综合技术分析研判,该漏洞具有危害程度高、利用难度 低、影响范围大的特点。 一、漏洞情况分析 Apache Log4j 是一个基于 Java 的日志记录组件。Apach e Log4j2 是 Log4j 的升级版本,通过重写 Log4j 引入了丰富 的功能特性。该日志组件被广泛应用于业务系统开发,用以 记录程序输入输出日志
Struts 2 远程代码执行漏洞(s2-045\s2-046)修复所用到的包
03-23
1.严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。 2.如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.322.5.10.1版本。(强烈推荐) 3.升级2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 http://mvnrepository.com/artifact/org.apache.struts/struts2-spring-plugin/2.3.32
亲历struts2漏洞
燃烧的代码
07-27 196
struts2-core-xxx.jar中struts-default.xml中 defaultStack和paramsPrepareParamsStack的 dojo\..*,^struts\..* 改为 dojo\..*,^struts\..*,.*\\u0023.*,.*\\x5Cu0023.*,.*\\x5cu0023.* 总之就是要保证所有action都...
Apache Struts2(S2-052远程代码执行漏洞利用和修复建议
蚁景网安学院
09-06 3680
点击“合天智汇”关注,学习网安干货话说哥们正吃着火锅唱着歌呢~~突然瞥见微信群的信息“Struts2 S2-052 RCE。。。。”赶紧放下筷子瞅一眼,这Struts2真是让人省心啊,...
Apache Log4j 2 远程代码执行漏洞详解
热门推荐
SimpleAstronaut的博客
12-11 1万+
Apache Log4j2 远程代码执行漏洞的详细信息已被披露,而经过分析,本次 Apache Log4j 远程代码执行漏洞,正是由于组件存在 Java JNDI 注入漏洞:当程序将用户输入的数据记入日志时,攻击者通过构造特殊请求,来触发 Apache Log4j2 中的远程代码执行漏洞,从而利用此漏洞在目标服务器上执行任意代码
Struts2漏洞利用工具2019版
08-09
由于Struts2允许用户输入的OGNL表达式在服务器端执行,因此,如果未经适当过滤和验证,恶意用户可以通过构造特定的请求参数,执行任意代码,导致远程代码执行(RCE)或者其他类型的攻击。 2019年,Struts2的多个...
安全漏洞修复-Common FileUpload-CVE-2016-100031
llCnll的博客
04-11 5065
. 漏洞描述 近日,Apache官方发布安全通告强烈建议使用Apache Struts2.3.X版本的用户对commons-fileupload组件进行升级Struts 2.3.x默认使用1.3.2版本commons-fileupload组件。早在2016年,该版本组件被揭露存在反序列化漏洞,此漏洞可导致任意远程代码执行。 受影响版本: Apache Struts <= 2.3.36 Apache Common FileUpload < 1.3.3 二. 修复方式 Common FileU
struts2漏洞S2-0211
08-08
漏洞利用了Struts2框架中的某些特性,通过特定的HTTP请求参数绕过安全检查,进而执行任意代码或获取敏感信息。 #### 二、S2-0211漏洞分析 ##### 2.1 S2-020漏洞回顾 在讨论S2-0211之前,先简单回顾一下与其紧密...
Struts 2最新0day破坏性漏洞远程任意代码执行)等的重现方法
qysh123的专栏
07-18 1659
Struts 2远程任意代码执行和重定向漏洞,是这两天互联网上最重大的安全事件,据说国内互联网企业中,很多电商纷纷中招,应该已经有大规模的用户隐私泄露。这里我们简单总结下怎样在自己机子上重现这些漏洞,这篇日志也是面向对网络安全比较感兴趣的初学者,即使你没有什么经验,也能知道这漏洞到底怎么回事: 首先我们需要下载包含漏洞Struts 2,在这里:http://archive.apache.
一种新的攻击方法——Java Web表达式注入
gufachongyang02的专栏
07-05 1482
0×00 引言 在2014年6月18日@终极修炼师曾发布这样一条微博: 链接的内容是一个名为Jenkins的服务,可以在没有password的情况下受到攻击。而攻击方法比较有趣,Jenkins提供了一个Script Console功能,可以执行Groovy 脚本语言。下面我们来看下维基百科对于这个脚本语言的解释:  Groovy是Java平台上设计的面向对象编程语
Struts2远程代码执行漏洞S2-045利用及修复
u014416842的博客
04-13 4261
升级struts-2.3.32, 发现无法调用getter方法public class Action { private Map yTypeList = new LinkedHashMap(); // getYtypeList public Map getYTypeList() { yTypeList.put("a", "invalid yTypeList a");
Struts 2.3.1.1 命令执行漏洞
weixin_30640291的博客
12-19 126
漏洞版本: Struts 2.3.1.1 漏洞描述: CVE ID:CVE-2011-3923 Struts2的核心使用的是WebWork框架,而WebWork通过XWork来处理用户的请求参数。Xwork的默认配置是禁止静态方法执行的,想要修改默认配置中的值,根据语法要求就必须使用#字符来表示变量,并对变量进行修改。 为了防范服务器端对象被恶意篡改,XWork的Para...
Apache Struts2任意代码执行漏洞(S2-032)检测程序
程序设计与安全 @EVAN-CSS
05-30 2658
上个月写的一段代码,记录下来以供时之需。 漏洞概况2016年4月21日,Struts2官方发布两个安全公告(S2-031,S2-032),其中S2-032CVE-2016-3081)官方评级为高。Apache Struts 2是世界上最流行的Java Web服务器框架之一。该漏洞的成因是用户开启动态方法调用(Dynamic Method Invocation)的情况下,攻击者能够使用method
Struts2漏洞分析,漏洞波及全系版本
445822357
10-31 581
Struts漏洞分析 Apache Struts团队已经发布了Struts 2.3.15.1安全更新版本。在Struts2.3.15.1版本之前,存在着严重的安全漏洞,如果现在一些比较大的网站是用JAVA做的,没有把版本升级,还用的是Strtus2.3.15.1版本之前的话,那么你们就要小心,服务器被黑了哦。 下面就来说一下之前版本Struts2漏洞是如何产生的,我们自己去做,该如何的...
Struts2框架安全缺陷
zbmartin的博客
03-12 318
摘要 本文介绍了java开发流行框架struts2以及webwork的一些安全缺陷,并举例说明框架本身以及开发人员使用框架时,所产生的种种安全问题,以及作者挖掘框架安全漏洞的一些心得体会。 推荐以下人群阅读 了解java开发 了解框架开发 了解web application安全 “网络安全爱好者” 正文 当前java开发网站,通常会是纯JSP的,大都使用了ja...
MATLAB Simulink电动助力转向系统(EPS)模型构建与控制方法解析
05-12
内容概要:本文详细介绍了基于MATLAB/Simulink的电动助力转向系统(EPS)模型的构建及其控制方法。首先,文中阐述了EPS在提升驾驶体验和安全性方面的重要意义。接着,重点讲解了四个关键模型的搭建:整车二自由度模型用于研究车辆转向特性;助力特性曲线模型确定同驾驶条件下助力电机提供的助力力矩;助力电机模型模拟助力电机的工作过程;齿条模型描述助力电机转矩转化为车轮转向的动作。每个模型都有具体的参数设定和代码示例。此外,文章还解释了模型的输入(如前轮转角、方向盘力矩)和输出(转向助力力矩),并指出控制方法基于各模型间的输入输出关系,利用基本数学公式和逻辑判断实现。 适用人群:汽车工程领域的研究人员、工程师和技术爱好者。 使用场景及目标:适用于希望深入了解EPS工作原理的研究人员,以及需要进行EPS系统设计和优化的工程师。目标是掌握EPS系统的建模方法和控制策略,为实际项目提供理论支持和技术指导。 其他说明:文中提供了丰富的代码片段和详细的模型介绍,有助于读者更好地理解和实践。同时强调了EPS对于提高驾驶安全性和舒适性的重要性。
实训商业源码-帝国cms7.5 7.2 UTF-8移动端同步插件-酷网站-论文模板.zip
最新发布
05-12
实训商业源码-帝国cms7.5 7.2 UTF-8移动端同步插件-酷网站-论文模板.zip
Struts2远程执行漏洞修复方案与Jar包集合
在提供的文件信息中,“lib”指的是包含了针对Struts2漏洞版本的修补包的压缩文件。这些Jar包集合体中包含了官方发布的安全补丁和更新,开发者可以通过替换应用中受影响的jar文件或添加新的库文件来修复这些漏洞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值