阅读更多

13顶
1踩

企业架构

原创新闻 Apache Struts2 再现漏洞

2013-06-06 17:27 by 副主编 wangguo 评论(16) 有25553人浏览
Apache Struts团队上周刚修复了一个潜在的远程命令执行漏洞今天再次发布新版本2.3.14.3,修复了另一个重要的安全漏洞。

Struts框架允许基于通配符的动作映射,且当一个请求不匹配动作时,会尝试加载一个基于动作名称的JSP文件。由于动作名称中可以嵌入OGNL表达式,因此这有可能导致攻击者在服务器端执行Java代码。

在新版本中,可以检查动作名称是否匹配正则表达式[a-z]*[A-Z]*[0-9]*[.\-_!/]*(管理员也可以通过struts.xml来修改所允许动作名称的相关正则表达式),并且从OgnlTextParser中移除了双重求值功能。

你可以通过S2-015安全公告来查看问题的细节和相关示例。

新版本下载地址:http://struts.apache.org/download.cgi#struts23143
13
1
评论 共 16 条 请登录后发表评论
16 楼 mlw2000 2013-06-28 22:46
ta8210 写道
hxfein 写道
struts2为什么就不能放弃ognl啊,性能问题严重,还不安全


那是struts 的核心依赖。要是更换struts就得在升一个大版本 struts3了


从状况看v3也不会换,ognl将成为apache commons的子项目
15 楼 ta8210 2013-06-22 11:38
hxfein 写道
struts2为什么就不能放弃ognl啊,性能问题严重,还不安全


那是struts 的核心依赖。要是更换struts就得在升一个大版本 struts3了
14 楼 hxfein 2013-06-21 18:27
struts2为什么就不能放弃ognl啊,性能问题严重,还不安全
13 楼 mlw2000 2013-06-18 09:41
ta8210 写道
panzs 写道
刚升级到2.3.14.2,新的漏洞又来了。


不用就没麻烦了。

OGNL作为核心组件,没办法选配吧?
12 楼 if(i!=我){} 2013-06-16 22:08
所以我现在正逐步使用Maven管理项目
11 楼 ta8210 2013-06-15 20:10
panzs 写道
刚升级到2.3.14.2,新的漏洞又来了。


不用就没麻烦了。
10 楼 ta8210 2013-06-15 20:09
fjjiaboming 写道
多年不用 struts 2
OGNL 关闭它就好.


干脆不用,省心。
9 楼 fjjiaboming 2013-06-15 15:55
多年不用 struts 2
OGNL 关闭它就好.
8 楼 szuu 2013-06-11 22:24
今天刚想用struts2来搭建平台,就下载这个最新的吧,用里面指定的<constant name="struts.allowed.action.names" value="[a-zA-Z]*" />
做了配置,还是安全重要。
谢谢发表此贴!!
7 楼 814687491 2013-06-09 11:32
还是下载新的,支持struts2
6 楼 panzs 2013-06-08 15:05
刚升级到2.3.14.2,新的漏洞又来了。
5 楼 skydove 2013-06-08 14:30
不大懂耶
4 楼 rmn190 2013-06-08 11:39
第一次在iteye上看到struts漏洞报告, 很亲切
3 楼 求求你帮帮我 2013-06-08 09:24
我以前利用过这个漏洞攻击过别人。
2 楼 javamonkey 2013-06-07 13:31
没看,不知道这个能不能解决
http://javamonkey.iteye.com/blog/1591901
从底层入手
1 楼 mlw2000 2013-06-07 06:10
OGNL Eval Expressions are source of security risks

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

  • 网络工程师(软考)百度网盘

    网络工程师(软考)课件,详细介绍每个章节单元的知识点。

  • 网络工程师必备知识点

    作为网络工程师,您将负责设计、部署和维护计算机网络系统。这包括构建、配置和管理网络设备,如交换机、路由器、防火墙等,并确保网络系统能够高效地运行。您需要了解计算机网络的各个层次、协议、标准和技术,包括TCP/IP、DNS、HTTP、SSL等。此外,您还需要熟悉网络安全和防护,以确保网络的机密性、完整性和可用性。您可能需要协调不同团队和供应商,了解客户需求,提供技术支持和解决方案。作为网络工程师,您需要具备良好的沟通能力、解决问题的能力、团队合作精神和不断学习的态度。

  • 【网络工程】计算机网络专业术语概论全面整理

    网络是通过物理链接将各个独立的工作站或主机连接起来以形成数据链接,从而达到资源的共享和通信目的,并通过功能齐全的网络软件(如:网络协议,信息交换方法,网络操作系统等)实现网络资源共享的系统,被称为计算机网络概念。...

  • SNI生效条件 - 补充nginx-host绕过实例复现中SNI绕过的先决条件

    SNI机制生效时间,SNI机制工作流程,SNI机制绕过host头需要的条件

  • 【SSL】client send ClientHello 后server 返回alert 40 错误

    今天遇到这样一个问题,我们的email在通过ssl连接到gmail , 163 等email server的时,都是OK的,但访问搜狐邮箱的时候,就出问题了,刚刚发送了clientHello出去之后,server就返回了alert 错误,如下图: 但是通过foxmail去connect 的时候,又是OK的,于是把网络包抓出来对比了一下,      IP(61.135.132.99)一致

  • 关于网络路由器的问题(深刻思考)

    首先,我们先要明白几个基本问题:

  • 网络安全工程师需要学哪些内容?零基础如何从入门到精通,看完这一篇就够了

    作为一名网络安全工程师,需要学习以下内容: 计算机网络和操作系统:网络安全工程师需要了解计算机网络和操作系统的基础知识,以便理解网络安全的基础原理。 网络协议和技术:了解各种网络协议和技术,包括TCP/IP、HTTP、SMTP、FTP等,以及VPN、防火墙、IDS/IPS等网络安全技术。 漏洞分析和渗透测试:网络安全工程师需要掌握漏洞分析和渗透测试的技术和方法,以便发现和修复系统中的安全漏洞。 安全编程和代码审计:了解常见的安全编程技术和方法,例如加密、身份验证和访问控制等。对代码审计也要有一定的了

  • 链路不通或服务器没响应,连不通服务器服务怎么办(理论篇)

    当你访问不到自己web服务器数据,当你ssh登陆被拒,当你pop3读取邮件失败…一句话,当你连不通你的服务器服务,你该怎么办?本文总结出通用而简单的步骤来指导你.足够简单的思路本地机器与远端服务器建立连接,消费服务的整个链路可显而易见划分为三部分,本机到网关部分,互联网部分,服务器网关到服务器部分.当然就大部分情况而言一般都是服务器部分的原因:出于安全问题的考虑,我们总会在服务器端进行访问限制,添...

  • 计算机网络小结

    计算机网络小结

  • 网络工程师都学什么?网络工程师学习路线内容

    大家在备考软考的时候肯定想着选择那些科目报名比较好,比较有发展前途,这里给大家整理了网络工程师的学习路线以及学习内容,仅供大家参考。 网络工程师是从事计算机信息系统的设计、建设、运行和维护工作,掌握网络技术的理论知识和操作技能。在软考中属中级资格,那么怎样才能具备这些技术呢?当然是需要进行全面的学习与实践训练了。 网络工程师都学什么? 要想知道网络工程师要学些什么东西,首先要了解网络工程师的...

  • http请求中必须具备哪个字段_详解http报文

    摘要作为一个web开发者,每天都在使用者Http协议,却总是一知半解。本文参看Http RFC7230规范,梳理了http报文部分。 http 报文构成start-line: 起始行,描述请求或响应的基本信息 *( header-field CRLF ): 头 CRLFheader起始行起始行的格式就是 start-line = request-line(请求起始行)/(响应起始行)status-...

  • 网络工程师资料-永久有效

    百度网盘连接: 链接:https://pan.baidu.com/s/1ok3R_BgzlQ1A0UtYzLEVKw 提取码:0c4y –来自百度网盘超级会员V3的分享

  • 网络工程师必懂的专业术语

     路由器问题:1、什么时候使用多路由协议?      当两种不同的路由协议要交换路由信息时,就要用到多路由协议。当然,路由再分配也可以交换路由信息。下列情况不必使用多路由协议:从老版本的内部网关协议( Interior Gateway Protocol,I G P)升级到新版本的I G P。你想使用另一种路由协议但又必须保留原来的协议。你想终止内部路由,以免受到其他没有严格过滤监管功能的路由器的干

  • 网络工程专业术语I

    1、什么时候使用多路由协议? 当两种不同的路由协议要交换路由信息时,就要用到多路由协议。当然,路由再分配也可以交换路由信息。下列情况不必使用多路由协议: 从老版本的内部网关协议( Interior Gateway Protocol,I G P)升级到新版本的I G P。 你想使用另一种路由协议但又必须保留原来的协议。 你想终止内部路由,以免受到其他没有严格过滤监管功能的路由器的干扰。 你在一个由多

  • 网络工程师需要学c语言,网络工程师需要学哪些内容

    网络工程师主要学习的内容如下:①计算机基本语言,包括汇编语言、C语言、JAVA语言;②与硬件相关的知识,包括操作系统和计算机组成原理;③数据结构以及计算机网络等方面的知识等。网络工程师要考的科目1、计算机与网络知识,考试时间为150分钟,笔试;2、网络系统设计与管理,考试时间为150分钟,笔试。两门课程的基本考点:1、IP地址的划分;Cisco路由器与交换机的基本配置;2、网络安全与网络管理等基础...

  • 网络工程资料

    网络工程资料,包括课件,实验指导书,部分课件,不全,

  • 经典全面的网络工程师资料

    序言 前言 第1章 引言 1.1 计算机网络的产生和发展 1.2 计算机网络的功能 1.3 计算机网络分类 1.3.1 局域网 1.3.2 城域网 1.3.3 广域网 1.3.4 互联网 1.3.5 无线网 1.4 网络体系结构 1.4.1 协议分层 1.4.2 服务类型 1.4.3 服务原语 1.5 ISO/OSI参考模型 1.5.1 参考模型 1.5.2 模型评价 1.6 本书的结构 第一部分 数据通信 第2章 数据通信基础知识 2.1 基本概念 2.1.1 信号与通信 2.1.2 模拟通信 2.1.3 数字通信 2.2 数据通信基础理论 2.2.1 信号的频谱和带宽 2.2.2 信道的截止频率与带宽 2.2.3 信道的最大数据传输率 2.3 传输介质 2.3.1 双绞线 2.3.2 同轴电缆 2.3.3 光纤 2.3.4 无线介质 2.4 多路复用 2.4.1 频分多路复用 2.4.2 波分多路复用 2.4.3 时分多路复用 2.5 数据交换技术 2.5.1 电路交换 2.5.2 报文交换 2.5.3 分组交换 2.6 调制解调器 2.6.1 调制方式 2.6.2 Modem标准 2.6.3 Modem分类 2.6.4 工作模式 2.7 小结 习题 第3章 物理层接口 3.1 RS-232-C接口 3.1.1 机械特性 3.1.2 电气特性 3.1.3 功能特性 3.1.4 过程特性 3.1.5 空Modem电缆 3.2 其他接口 3.2.1 RS-449接口 3.2.2 RS-530接口 3.3 小结 习题 第二部分 底层物理网络 第4章 广域网 4.1 广域网结构 4.1.1 虚电路和数据报 4.1.2 两者比较 4.2 广域网实例 4.2.1 PSTN 4.2.2 X.25 4.2.3 DDN 4.2.4 帧中继 4.2.5 SMDS 4.2.6 B-ISDN/ATM 4.3 各种广域网的比较 4.4 小结 习题 第5章 局域网 5.1 介质访问控制协议 5.1.1 ALOHA协议 5.1.2 CSMA协议 5.1.3 CSMA/CD协议 5.2 以太网和IEEE 802.3 5.2.1 物理层标准 5.2.2 MAC协议 5.2.3 性能分析 5.3 令牌环网和IEEE 802.5 5.3.1 MAC协议 5.3.2 管理与维护 5.3.3 性能分析 5.4 网桥 5.4.1 透明网桥 5.4.2 源选径网桥 5.5 小结 习题 第6章 高速局域网 6.1 FDDI网络 6.1.1 与OSI的关系 6.1.2 帧格式 6.1.3 MAC协议 6.1.4 工作原理 6.1.5 拓扑结构 6.1.6 网络容错 6.1.6 技术指标 6.2 快速以太网 6.3 千兆位以太网 6.4 局域网交换机 6.5 小结。。。

  • 网络工程师资料(视频看博客,百度云)

    大涛网络工程师2018班,我在大三下半年还是大四上半年,参加并通过网络工程师考试,就看的这一个。视频我会整理百度云网盘发布到博客上供大家学习。违版请联系删除

  • 软考|网络工程师复习资料、附历年真题、详细学习笔记,考试重点,看过的人都能过!

    本人于2018年上半年通过网络工程师,手中有2018年最新视频资料,历年真题,个人笔记,详细内容都会通过CSDN发布 对于那种直接贴邮箱要资料的,只想说可否尊重一下我们,我们有些资料也是付费购买的,然后都是自己一个一个字写的,您一句发您邮箱,可否想一下我们的感受?资料我会一一贴在这篇文章里面,请自行阅读,这是2004年-2017年历年真题。 已报名2019年5月25日信息安全工程师,有资料可...

  • CNN 2.2 Classic Networks--经典的网络结构

    三种经典的网络结构 LeNet-5(1998) Alex Net(2012) VGG-16(2015) 都是大佬的作品,非常经典,有时间要拜读论文呀(每张网络结构图片上都有论文信息) LeNet-5 LeNet-5的任务 识别手写数字,因为它是在灰度图像上训练,所以图片的维度是32x32x1。 LeNet-5的结构 最后一件以前做现在没有再做的事是 原始LeNet-5在池化后有非线性处理 我...

Global site tag (gtag.js) - Google Analytics