Struts2应用框架出现一个高危漏洞

jsp商城开发中通过采用JavaServlet/JSP技术,实现了基于Java EE
Web应用的MVC设计模式的应用框架,是MVC经典设计模式中的一个经典产品,也是国际上应用最广泛的Web应用框架之一。java商城开发中的网上银行、政府网站、主要门户网站都大量使用Struts。

近日,Apache
Struts2发布漏洞公告,声称Struts2应用框架出现一个高危漏洞。同时发布的,还有漏洞补丁包(最新版本为:2.3.15.1)和黑客攻击尝试验证代码。

经国内网站安全服务商SCANV.COM确认,该漏洞可以影响到Struts 2.0.0 - Struts
2.3.15的所有版本。攻击者可以利用该漏洞,执行恶意Java代码,最终导致网站被完全入侵控制,从而数据被窃取、网页被篡改等严重后果。

从2013年7月17日开始到7月18日,国内漏洞平台Wooyun上确认被此漏洞攻陷的网站数量急剧上升,连续两天高烧不退,国内互联网一片腥风血雨。与此同时,漏洞的利用代码已在不断被强化,可直接通过浏览器的提交对服务器进行任意操作并获取敏感内容。

目前国内网站安全服务商SCANV已在其官方站长工具栏(http://www.scanv.com/tools/)提供了该漏洞的检测服务,使用Struts框架的网站运维人员可以验证一下自己的网站是否存在该漏洞。

本文来源于:http://www.shopjsp.com/

时间: 2024-08-10 15:09:31

Struts2应用框架出现一个高危漏洞的相关文章

“织梦”CMS注入高危漏洞情况

"织梦"CMS注入高危漏洞情况 作者:    时间:2014-04-17   "织梦"CMS是由上海卓卓网络科技有限公司研发的一款网站建站系统软件,又称"DEDE内容管理系统",在国内应用较为广泛.2014年2月25日,该软件被披露存在一个高危漏洞,由于页面参数未进行严格过滤,存在SQL注入漏洞.受漏洞影响的织梦CMS 版本包括V 5.7 SP1及以下版本.至2月28日,针对该漏洞的攻击利用代码和相关利用工具在互联网上已经被公开传播.攻击者可利用

据说struts2又出高危漏洞

无意间从blog.trtos.com和一些知名安全平台里看到了别人分享的struts2高危漏洞相关信息,甚是惊讶,心想:struts2框架是要被例如web应用黑名单的节奏啊,漏洞频出,一出就是高危.简直了,不过据了解该漏洞比较难以利用,原因是大部分网站没有使用存在这个漏洞struts2的插件,所以攻击者即使知道了怎么攻击,但是没有攻击对象就很没意思了. 下面是漏洞文章: http://blog.trtos.com/?id=822

Apache Struts2高危漏洞(S2-057CVE-2018-11776)

花了两天时间,特此记录 一:背景: 2018年8月22日,Apache Strust2发布最新安全公告,Apache Struts2存在远程代码执行的高危漏洞. 二:漏洞产生原理: 1.需要知道对应跳转请求的action名称 2.Struts2框架中的属性设置为: 1) struts.mapper.alwaysSelectFullNamespace = true 2) type = "redirectAction"或 type = "chain" 三:恶意代码运行过

Struts2 验证框架 validation.xml 常用的验证规则

Struts2 验证框架 validation.xml 常用的验证规则 validation.xml 的命名规则和放置路径:文件名:<ActionClassName>-validation.xml<ActionClassName>就是要验证的Action类的名字. 要将此文件放于Class文件相同的目录.如果在Action类在struts配置中有多个action实例(action name),那么对应某个action的验证文件名规则如下:文件名:<ActionClassNam

黄聪:PHP 防护XSS,SQL,代码执行,文件包含等多种高危漏洞

版本:v1.1更新时间:2013-05-25更新内容:优化性能功能说明: 可以有效防护XSS,sql注射,代码执行,文件包含等多种高危漏洞. 使用方法: 将waf.php传到要包含的文件的目录 在页面中加入防护,有两种做法,根据情况二选一即可: a).在所需要防护的页面加入代码就可以做到页面防注入.跨站 复制代码 require_once('waf.php'); 如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php,来调用本代码.常用php系统添加文件 PHPC

Struts2+Hibernate框架探险

写这篇文章的目的 了解 JavaWeb 开发的人都知道SSH和SSM框架,前段时间开始接触 JavaWeb 开发,看了几个教学视频后就想上手构建一个小型 Web项目,可在跟着视频敲代码当中,使用 Struts2+Hibernate框架 却不是那么顺利,百度和谷歌都用上,折腾了几天才搞定.究其原因,是因为Struts和Hibernate框架随着版本的升级,部分 API 有了很大的变化,然而网上的教程几乎全都是旧版本的,为了让更多的框架使用新手不被新旧版本的更替和网上的过时教程所坑,同时也当作个人的

【高危】Strurs2又现高危漏洞(附Poc&Exp)

话说今天早上,一个名为str2-045的漏洞成了大家的讨论焦点,那么这个str2-045到底是个什么鬼? 这个漏洞的全名啊,叫做:基于 Jakarta plugin插件的Struts远程代码执行漏洞.根据官方评价,这个漏洞属于高危漏洞,他的漏洞编号是:CVE-2017-5638 那这个漏洞到底是怎么一回事呢? 恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令. 这个漏洞的利用,是有条件滴!这个漏洞需要通过Jakarta 文件上传插件实现远程

openssl7月9号高危漏洞

Openssl 7月9日发布了 OpenSSL 1.0.2  和OpenSSL 1.0.1 两个主线版本的更新,其中修复了一个高危安全问题(CVE-2015-1793). 漏洞危害: 特定版本的OpenSSL在证书校验的逻辑中存在安全漏洞,使得攻击者可以绕过对不可信证书的检查. 影响范围 : OpenSSL 1.0.2c OpenSSL 1.0.2b OpenSSL 1.0.1n OpenSSL 1.0.1o OpenSSL 0.9.8/1.0.0不受影响 修复方案: OpenSSL 1.0.2

SpringMVC与struts2区别和第一个springMVC应用

首先先从网上找到一篇描述SpringMVC和Struts2的区别的文章 文章转载路径:http://blog.csdn.net/chenleixing/article/details/44570681 下面是原文: 1.Struts2是类级别的拦截, 一个类对应一个request上下文,SpringMVC是方法级别的拦截,一个方法对应一个request上下文,而方法同时又跟一个url对应,所以说从架构本身上SpringMVC就容易实现restful url,而struts2的架构实现起来要费劲,