7月17日,世界知名開源軟體struts 2爆出了2個高危漏洞,這些漏洞可使黑客取得**伺服器的「最高許可權」,從而使企業伺服器變成黑客手中的「肉雞」。
詳細漏洞資訊:
關於此漏洞,最好的解決方法當然是將struts2的jar包更新到最新版本。不過對於不同struts2版本,公升級會引起一些包衝突。
公升級步驟:
2.如果原有spring包版本太低,如2.0,還需要公升級spring包到2.5版本。
struts2.1以下版本,需要檢查struts的xml配置檔案,type="redirect" 改為 type="redirectaction"。
3.修改 web.xml檔案
將struts-cleanup
org.apache.struts2.dispatcher.actioncontextcleanup
request
forward
request
forward
才能支援reponse.sendredirect和request.getrequestdispatcher().forward操作
* company:
* @author
* @version 1.0
*/public class sqlfilter implements filter
public void dofilter(servletrequest request, servletresponse response,filterchain chain) throws ioexception, servletexception
} iterator values = req.getparametermap().values().iterator();//獲取所有的post引數值
while(values.hasnext())
}} //判斷訪問的url中是否有非法引數
if(querystring!=null&&strinj2(querystring,urlstr))
chain.dofilter(request, response);
}/**
* 判斷字元是否包含非法字元
* @param str
* @return
*/public boolean strinj(string str,string standstr)
}return false;
}/**
* 判斷字元是否包含非法字元,沒有空格
* @param str
* @return
*/public boolean strinj2(string str,string standstr)
}return false;
}public void init(filterconfig cfg) throws servletexception
}該過濾器通過了網路上多個版本的struts終極漏洞利用工具及**的檢測。
Struts 2 安全漏洞層出不窮為哪般?
apache struts團隊6月底發布的struts 2.3.15版本被曝出存在重要的安全漏洞,因此該團隊緊急發布了struts 2.3.15.1安全更新版本。該版本修復的主要安全漏洞如下 1.通過在引數前面加上 action redirect redirectaction 字首,以實現遠端 執行...
發現 Struts2的漏洞
struts2的最新漏洞 17年3,6日apache struts2被曝存在遠端命令執行漏洞。官方評為 高危,該漏洞是由於使用基於jakarta外掛程式的檔案上傳功能的條件下,惡意使用者可以通過修改http請求頭中的content type值來觸發漏洞,進而執行任意系統命令,導致系統被黑客入侵。具體...
Struts2漏洞利用例項
struts2漏洞利用例項 如果存在struts2漏洞的站,administrator許可權,但是無法加管理組,內網,shell訪問500.1.struts2 漏洞原理 struts2是乙個框架,他在處理action的時候,呼叫底層的getter setter來處理http的引數,將每乙個http的...