本文介绍了Struts2框架中的OGNL漏洞,该漏洞可能导致远程命令执行和开放重定向,使黑客能够窃取数据甚至控制服务器。文章提到了漏洞利用原理,包括OGNL的工作机制和构造对象方式,以及安全保护机制的不足。防范措施包括更新到最新补丁和考虑更换框架。
概述:
Struts2是apache项目下的一个web 框架,目前web框架中非常流行的都是mvc设计模式、经典例子例如:python的Django、Flask;java的ssm等。因为使用MVC设计模式,所以在框架内部处理用户数据流参数的事后就不可避免的存在数据在不同层次流转的问题。struts2作为java的一款成熟的web框架,自然也面临这个问题,于是struts2设计了一套OGNL的模式来操作。
漏洞概述:
Struts2漏洞由网安全宝在昨日率先拦截到其攻击,漏洞涉及Struts2.0及以上的版本,是一个远程命令执行漏洞和开放重定向漏洞。利用漏洞,黑客可发起远程攻击,不但可以窃取网站数据信息,甚至还可取得网站服务器控制权。而且,目前针对此漏洞的自动化工具开始出现,攻击者无需具备与漏洞相关的专业知识即可侵入服务器,直接执行命令操作,盗取数据甚至进行毁灭性操作。
为了防范攻击者可能利用此漏洞发起的攻击,应该尽快采取如下措施:
1、DNSPOD的用户直在DNSPOD域名管理列表中开启安全中心,即可一键防御攻击。
2 、从Struts2的官方网站下载最新的补丁程序,并尽快将Struts 2升级到最新的2.3.15.1版本,避免遭遇严重的安全攻击(下载地址http://struts.apache.org/download.cgi#struts23151)。鉴于Struts 2至今为止已经多次曝出严重的高危漏洞,如果不是必要,建议开发者以后考虑采用其它类似的Java开发框架。
Struts2原理:
二、OGNL(表达式引擎,处理view层数据都字符串到controller层转换成java对象的问题)的简单介绍:
对于用户输入的参数存取处理api都在ognl.java中,分别由getvalue和setvalue两个函数实现
1 public static Object getValue(String expression,Map context,Object root) throws OgnlException{
2 return getValue((String)expression,(Map)context,root,(Class)null);
3 }
4 public static void setValue(String expression,Map context,Object root,Object value) throws OgnlException{
5 return setValue((Object)parseExpression(expression),(Map)content,root,value);
6 }
最低0.47元/天 解锁文章
扫一扫
692
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
