关于struts漏洞

最新推荐文章于 2025-06-26 17:11:41 发布
最新推荐文章于 2025-06-26 17:11:41 发布 · 1.1k 阅读 · 1
文章标签:

#struts #阿里云 #漏洞

(文章出处:阿里云社区  漏洞扫描 > 技术运维问题 > 技术分享 > Struts2代码执行漏洞)

Apache Struts s2-005 远程代码执行漏洞(CVE-2010-1870) 

受影响版本:

Struts 2.0.0 - Struts 2.1.8.1

漏洞描述:

在Struts2中访问OGNL的上下文对象必须要使用#符号,S2-003的修复方案中对#号进行过滤,但是没有考虑到unicode编码情况,导致\u0023或者8进制\43绕过。

http://struts.apache.org/docs/s2-005.html

 

Apache Struts s2-008 远程代码执行漏洞(CVE-2012-0392)

受影响版本:

Struts 2.1.0 - Struts 2.3.1

漏洞描述:

Struts2框架存在一个DevMode模式,方便开发人员调试程序。如果启用该模式,攻击者可以构造特定代码导致OGNL表达式执行,以此对主机进行入侵。

http://struts.apache.org/docs/s2-008.html


Apache Struts s2-016 远程代码执行漏洞(CVE-2013-2251) 

影响版本

Struts 2.0.0 - Struts 2.3.15

漏洞描述:

在Struts2中,DefaultActionMapper类支持以"action:"、"redirect:"、"redirectAction:"作为导航或是重定向前缀,但是这些前缀后面同时可以跟OGNL表达式。由于Struts2没有对这些前缀做过滤,导致利用OGNL表达式调用java静态方法执行任意系统命令。

http://struts.apache.org/docs/s2-016.html

 

Apache Struts s2-019 远程代码执行漏洞(CVE-2013-4316)

受影响版本:

Struts 2.0.0 - Struts 2.3.15.1

漏洞描述:

Struts2的“动态调用机制(Dynamic Method Invocation)”存在数量不少的漏洞,一直以来都被各类攻击手法所利用。但“动态调用机制”在2.3.15.1版本以前都是默认打开状态,用户应该把它禁用掉。

http://struts.apache.org/docs/s2-019.html

 

Apache Struts s2-020 远程代码执行漏洞(CVE-2014-0094)

受影响版本:

Struts 2.0.0 - Struts 2.3.16

漏洞描述:

Apache Struts 2.0.0-2.3.16版本的默认上传机制是基于Commons FileUpload 1.3版本,其附加的ParametersInterceptor允许访问'class' 参数(该参数直接映射到getClass()方法),并允许控制ClassLoader。在具体的Web容器部署环境下(如:Tomcat),攻击者利用 Web容器下的Java Class对象及其属性参数(如:日志存储参数),可向服务器发起远程代码执行攻击,进而植入网站后门控制网站服务器主机。

http://struts.apache.org/docs/s2-020.html

漏洞修复:

1、备份数据,从官方网站http://struts.apache.org/  下载并安装最新的版本。


Struts2漏洞
2403_82795493的博客
02-20 4072
Struts 是Apache软件基金会(ASF)赞助的一个开源项目,通过采用JavaServlet/JSP技术,实现基于Java EEWeb应用的MVC设计模式的应用框架,Struts 2是Struts的下一代产品,是在 Struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。Struts2框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设,作为网站开发的底层模板使用。
Struts2漏洞检查工具Struts2.2019.V2.3
01-25
5. 防御策略:提供关于如何配置Struts2以提高安全性的一些建议和最佳实践。 使用此工具可以帮助企业及时发现并修复Struts2框架中的安全漏洞,减少网络安全风险,确保数据和系统的安全。同时,对于开发者来说,了解...
struts1漏洞总结及整改方案
08-07
因为最近攻防演练,对公司的资产进行梳理,发现部分应用还使用的struts1框架,所以赶快收集整理了相关的漏洞以及相关的整改方案。提供给大家。
struts漏洞
MoYanHanHuiLengMa的博客
07-19 672
struts.devModel 是struts的开发模式  默认值是false                        产品模式                                                                          true                          开发模式(优点:明显提高开发效率。会提供更多的日志和de
CVE-2010-1870-春秋云镜
最新发布
weixin_49064458的博客
06-26 896
CVE-2010-1870 (Struts2 S2-005) 漏洞分析 Apache Struts2 S2-005是一个经典的OGNL表达式注入漏洞,允许攻击者远程执行任意代码。该漏洞源于Struts2对传入参数中的OGNL表达式处理不当,攻击者可利用特殊字符绕过黑名单限制,通过构造恶意参数执行Java方法。 漏洞利用条件包括:Struts2开启OGNL动态访问、无安全过滤或过滤被绕过、可控参数名和值。典型的利用方式是通过URL参数注入OGNL表达式,修改安全配置并执行系统命令。
Struts框架漏洞
小小猪的博客
08-18 1392
Struts框架漏洞 Struts-S2-013漏洞利用 不妨先来看下index.jsp中标签是怎么设置的 <p><s:a id="link1" action="link" includeParams="all">"s:a" tag</s:a></p> <p><s:url id="link2" action="link" includeParams="all">"s:url" tag</s:url></p&
Struts2漏洞 - Struts2-015 Struts2-016 Struts2-045
HAKUNAMATATATTA的博客
12-21 3102
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web 应用的开源MVC框架,主要提供两个版本框架产品: Struts 1和Struts2;Struts2是一个基于MVC设计模式的Web应用框架,它本质上相当于一个servlet,在MVC设计模式中,Struts2作为控制器(Controller)来建立模型与视图的数据交互。
全网最全Struts 2 全版本漏洞检测工具,最新struts漏洞更新
04-18
这个标题提到的是一个全面的Struts 2漏洞检测工具,旨在帮助开发者和安全专家识别并修复Struts 2框架中的各种安全漏洞Struts 2的安全问题主要源于其OGNL(Object-Graph Navigation Language)表达式语言的使用,...
struts漏洞检测工具
11-08
struts2 漏洞检测工具 ,快速检测struts命令执行漏洞,可批量。运行环境要求:MAC/Linux下的Python2、Python3 。支持ST2-005,ST2-008,ST2-009,ST2-013,ST2-016,ST2-019,ST2-020,ST2-devmode,ST2-032,ST2-033,ST2-037...
Struts2漏洞检查工具2018版.rar
03-31
描述中提到的"Struts2各版本漏洞扫描利用工具"表明该工具不仅能够扫描Struts2应用的漏洞,还可能包含了一些漏洞利用的模块。这可能是为了进行安全测试,模拟黑客可能采取的攻击手段,以便于防御。 在标签中,“漏洞...
Struts2漏洞检查工具2018版.zip
04-04
"Struts2漏洞检查工具2018版.zip"这个压缩包很可能包含了专门用于检测Struts2框架是否存在这些安全漏洞的工具。`Struts2漏洞检查工具2018版.exe`可能是一个可执行程序,用户可以运行它来扫描自己的系统,查找任何...
Struts 2 远程代码执行漏洞(s2-045\s2-046)修复所用到的包
03-23
1.严格过滤 Content-Type 、filename里的内容,严禁ognl表达式相关字段。 2.如果您使用基于Jakarta插件,请升级到Apache Struts 2.3.32或2.5.10.1版本。(强烈推荐) 3.升级到2.3.32所用到的jar包: freemarker-2.3.22.jar ognl-3.0.19.jar struts2-convention-plugin-2.3.32.jar struts2-core-2.3.32.jar struts2-spring-plugin-2.3.32.jar xwork-core-2.3.32.jar --来源 http://mvnrepository.com/artifact/org.apache.struts/struts2-spring-plugin/2.3.32
struts2漏洞利用工具V1.41
11-03
struts2漏洞利用工具V1.41 请遵守网络安全法,该工具仅用于研究学习和网络管理员安全检测,不要用于任何非法用途,工具使用造成的后果与本人无关 新版开发计划:1、执行任意jar包2、学习模式提交,可修改任意参数 1.4版新功能, 1、上传二进制文件的支持 2、多编码支持 3、修复上传功能的BUG 4、加入COOKIE设置支持
struts1.3.15.1高危漏洞修复版ssh包
08-15
ssh1.3.15.1-struts最新高危漏洞修复版ssh整合jar包。解压后直接buildPath.
struts漏洞总结
Fiverya的博客
01-17 5495
struts2漏洞,从S2-001到 S2-061,嘿嘿。
Apache Struts 远程代码执行漏洞(CVE-2013-4316)
weixin_30316097的博客
09-26 1053
漏洞版本: Apache Group Struts < 2.3.15.2 漏洞描述: BUGTRAQ ID: 62587 CVE(CAN) ID: CVE-2013-4316 Struts2 是第二代基于Model-View-Controller (MVC)模型的java企业级web应用框架。 Apache Struts 2.3.15.2之前版本的“Dyna...
struts 漏洞
weixin_30610755的博客
04-27 125
安装shop++ 安装成功 访问 http://127.0.0.1:8080 即网站首页 访问 http://127.0.0.1:8080/admin 即网站后台 转载于:https://www.cnblogs.com/n00p/p/8962976.html
Struts漏洞介绍与分析
weixin_38133867的博客
11-30 687
Struts-045学习关于Apache Struts2(S2-045)漏洞情况的通报 近日,国家信息安全漏洞库(CNNVD)收到关于Apache Struts2 (S2-045)远程代码执行漏洞(CNNVD-201703-152)的情况报送。由于该漏洞影响范围广,危害级别高,国家信息安全漏洞库(CNNVD)对此进行了跟踪分析,情况如下:一、 漏洞简介Apache Struts是美国阿帕奇(Apa
解决Struts漏洞的升级方案:重要jar包发布
具体来说,描述中的“百度下资料很多,唯独jar包不好找”说明了在中文互联网环境中,关于Struts漏洞的讨论和解决方案较多,但是相关修复漏洞的jar包资源却不容易获得。这可能是因为安全问题的紧急性和敏感性导致厂商...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值