Apache Struts团队6月底发布了Struts 2.3.15版本,由于该版本被发现存在重要的安全漏洞,因此该团队今天发布了Struts 2.3.15.1安全更新版本。
该版本修复的主要安全漏洞如下:
1. 通过在参数前面加上“action:”/“redirect:”/“redirectAction:”前缀,以实现远程代码执行,如下:
代码 
- http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}
- http://host/struts2-showcase/employee/save.action?redirect:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}
- http://host/struts2-showcase/employee/save.action?redirectAction:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}
http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}
http://host/struts2-showcase/employee/save.action?redirect:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}
http://host/struts2-showcase/employee/save.action?redirectAction:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}
2. 通过在参数前面加上“redirect:”/“redirectAction:”前缀,以实现开放式重定向,如下:
代码
- http://host/struts2-showcase/fileupload/upload.action?redirect:http://www.yahoo.com/
- http://host/struts2-showcase/modelDriven/modelDriven.action?redirectAction:http://www.google.com/%23
http://host/struts2-showcase/fileupload/upload.action?redirect:http://www.yahoo.com/ http://host/struts2-showcase/modelDriven/modelDriven.action?redirectAction:http://www.google.com/%23
详细漏洞信息:
- http://struts.apache.org/release/2.3.x/docs/s2-016.html
- http://struts.apache.org/release/2.3.x/docs/s2-017.html
- http://struts.apache.org/release/2.3.x/docs/version-notes-23151.html
建议开发者将所有Struts 2应用程序升级至最新版本。
如果你从其他分支迁移至2.3.x分支,需要注意,该分支最低要求Servlet API 2.4、JSP API 2.0和Java 5。
下载地址:http://struts.apache.org/
相关推荐
该全版本漏洞检测工具可能包含了针对Struts 2不同版本的漏洞检查模块,这些模块可能包括但不限于以下方面: 1. **OGNL漏洞扫描**:检测Struts 2应用中是否存在可被恶意利用的OGNL表达式,如未过滤的用户输入或不...
Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试Struts2漏洞测试...
该工具的打开路径为:\Struts2VulsTools-2.3.20190927\Test\bin\Release\Text.exe 2019-09-25: 优化部分EXP在部分情况下被WAF拦截的问题,提高检测成功率,优化自定义上传路径exp,文件所在目录不存在时自动创建...
5、作者对不同的struts2漏洞测试语句做了大量修改,执行命令、上传功能已经能通用。 6、支持HTTPS。 7、支持GET、POST、UPLOAD三种请求方法,您可以自由选择。(UPLOAD为Multi-Part方式提交) 8、部分漏洞测试支持...
Struts2是一款非常流行的Java Web框架,用于构建企业级应用。然而,随着时间的推移,Struts2在安全方面暴露出了一些重要的漏洞,这给使用...定期进行漏洞扫描和更新Struts2到最新版本,是防止这类安全问题的有效手段。
struts2全版本检测,利用工具
同时,对于开发者和管理员来说,定期更新Struts2框架,正确配置应用程序,并进行安全审计至关重要,以防止这些漏洞被恶意利用。 总的来说,Struts2漏洞利用工具是安全社区的重要工具,它帮助我们识别和修复可能的...
标题提到的"struts2目前无漏洞的版本"是指Struts2的2.5.13版,这个版本已经修复了已知的所有安全漏洞,确保了应用的安全性。 Struts2的漏洞种类繁多,其中包括但不限于以下几种: 1. **CVE-2017-9805**:这是...
Struts2远程命令执行漏洞解析 漏洞解析 远程命令 Struts2
因此,定期进行漏洞检查和及时更新Struts2版本至安全补丁是非常必要的。 对于开发者来说,理解Struts2的架构、掌握如何安全配置和使用OGNL以及定期对应用进行安全审计,是避免Struts2框架被利用的关键。同时,企业...
同时,我们也可以了解到 Struts2 漏洞 S2-045 的成因和解决方法,对于企业级应用程序的安全性具有重要意义。 参考文献 Apache Struts 2 - S2-045 Vulnerability. (n.d.). Retrieved from Struts 2 -Downloads. ...
描述中提到的"Struts2各版本漏洞扫描利用工具"表明该工具不仅能够扫描Struts2应用的漏洞,还可能包含了一些漏洞利用的模块。这可能是为了进行安全测试,模拟黑客可能采取的攻击手段,以便于防御。 在标签中,“漏洞...
Struts2漏洞检查工具2019版 警告: 本工具为漏洞自查工具,请勿非法攻击他人网站! ==漏洞编号==============影响版本=========================官方公告==========================================影响范围====...
Struts2低版本安全漏洞及解决办法 Struts2低版本安全漏洞及解决办法
1. **更新Struts2框架**:确保安装的Struts2版本是最新的,包含了针对这些漏洞的补丁。例如,对于s2-005,应更新到Struts2 2.3.15.3或更高版本;对于s2-016和s2-016_3,应更新到2.3.32或更高版本;对于s2-017,应...
然而,随着时间的推移,Struts2框架出现了一些安全漏洞,这些漏洞可能被恶意攻击者利用,对服务器造成严重威胁。"Struts2漏洞利用工具2019版 V2.3.zip" 是一个针对这些安全漏洞的检测和利用工具,用于帮助安全研究...
总的来说,Struts2漏洞是企业信息安全的重要威胁,需要开发者和运维人员时刻保持警惕,通过持续的安全更新和严格的安全策略来降低风险。而“K8 Struts2 Exp 20160516”这样的工具提醒我们,对安全漏洞的利用工具必须...
总的来说,了解并防范Struts2漏洞对于任何使用或维护基于Struts2的系统的人员都至关重要。定期进行安全评估,使用像“Struts2漏洞利用工具”这样的资源,以及遵循最佳安全实践,可以帮助保护系统免受潜在的恶意攻击...
这个漏洞影响了 Struts2 的所有版本。 S2-017 漏洞是由于 Struts2 的 DefaultActionMapper 的 handleSpecialParameters 方法存在缺陷,从而导致攻击者可以 inject 恶意代码。这个漏洞也影响了 Struts2 的所有版本。...
然而,随着时间的推移,Struts2框架发现了一系列的安全漏洞,这些漏洞可能被恶意攻击者利用来执行任意代码,对系统安全构成严重威胁。本"Struts2漏洞检查工具2017版"正是针对这些问题而设计的,它包含了对多个已知...