知识屋:更实用的电脑技术知识网站
知识屋 手机游戏 手机软件 电脑软件 最近更新 手机端
冒险村物语 英雄无敌3塔防 驾考家园手游
password怎么用?p 诺诺视频会议怎 网易UU网游加速
所在位置:首页 > 网络安全 > 安全资讯

Struts 2 安全漏洞层出不穷为哪般?

发布时间:2013-07-19 20:22:52作者:知识屋

Apache Struts团队6月底发布的Struts 2.3.15版本被曝出存在重要的安全漏洞,因此该团队紧急发布了Struts 2.3.15.1安全更新版本。

 

该版本修复的主要安全漏洞如下:

1.  通过在参数前面加上“action:”/“redirect:”/“redirectAction:”前缀,以实现远程代码执行,如下:

 

http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()} 

http://host/struts2-showcase/employee/save.action?redirect:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}

http://host/struts2-showcase/employee/save.action?redirectAction:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}

 

 

2.  通过在参数前面加上“redirect:”/“redirectAction:”前缀,以实现开放式重定向,如下:

 

<a href="http://host/struts2-showcase/fileupload/upload.action?redirect:http://www.yahoo.com/">http://host/struts2-showcase/fileupload/upload.action?redirect:http://www.yahoo.com/</a>

<a href="http://host/struts2-showcase/modelDriven/modelDriven.action?redirectAction:http://www.google.com/%23">http://host/struts2-showcase/modelDriven/modelDriven.action?redirectAction:http://www.google.com/%23</a>

 

 

详细漏洞信息:

 

  • http://struts.apache.org/release/2.3.x/docs/s2-016.html
  • http://struts.apache.org/release/2.3.x/docs/s2-017.html
  • http://struts.apache.org/release/2.3.x/docs/version-notes-23151.html

 

最新版本下载地址: http://struts.apache.org/

Struts2漏洞层出不穷

最近以来的Struts2更新似乎都在忙着修复各种安全漏洞,而这些漏洞都集中在此方面,比如5月底发布的Struts 2.3.14.2版本、6月初发布的2.3.14.3版本,都修复了相关的漏洞,而这些漏洞都可能导致执行远程命令、访问/控制会话以及发起XSS攻击等。

(免责声明:文章内容如涉及作品内容、版权和其它问题,请及时与我们联系,我们将在第一时间删除内容,文章内容仅供参考)
收藏

上一篇:美国安局造超大数据中心“保护”互联网

下一篇:回收不活跃邮箱续:雅虎高管称能保证前用户信息和数据安全

知识阅读

软件推荐

更多 >

游戏推荐

更多 >

精选栏目

热门推荐

  • 人气文章
  • 最新文章
  • 下载排行榜
  • 热门排行榜

手机游戏

手机软件

电脑软件

猜你喜欢

低息 阅读 学习 社交 动作 个人借贷 旅游 美食 财经 街机 MOBA 剧情 360 策略 体育 宫斗 冒险 抢票 英语口语 休闲 小说 彩票 教育 摄影 区块链 招聘 抢红包 钱包 即时 格斗 投注 塔防 3D 视频 射击 资讯 换装 棋牌 沙盒 魔幻 联机 系统软件 投屏 闯关 竞速 手机赚钱 通讯 关卡 儿童 经营

本站所有软件来自互联网,版权归原著所有。如有侵权,敬请来信告知,我们将及时撤销。

知识屋 www.zhishiwu.com 更实用的电脑技术知识网站

苏ICP备14019037号-7