阅读更多

5顶
2踩

互联网

转载新闻 Struts自爆漏洞利用代码为哪般?

2013-07-24 09:38 by 见习记者 yunzhu 评论(14) 有12223人浏览

  近日,很多安全公司和互联网公司安全部门的工程师们都没睡好觉,通宵达旦地在加班。

  Struts 这个漏洞这次来势之所以这么凶猛,直接导致国内的很多银行、政府机构、几乎所有的大中型互联网公司,国外的包括苹果的开发者网站都被黑掉了,和 Struts 官方不负责任的态度有很大关系。Struts 这次在自己的漏洞公告中直接把漏洞利用代码给贴出来了,这是一种很罕见的做法。

  从很多年前起,安全行业里默认的行规是“提示漏洞存在,但只公布描述,不公布细节”。大多数安全公告连漏洞涉及的代码都不公布,更遑论直接给出漏洞利用方法的。这样做的原因就是为了防止漏洞细节被黑客看到后,直接利用漏洞攻击用户。

  一般的安全厂商在看到漏洞公告后,可能会通过“补丁对比”,或者是二进制软件的逆向分析等技术来定位漏洞的原理。这对分析人员的技术要求是非常高的,熟练掌握这种技术的人一般都有个外号,叫做“大牛”。这种技术门槛从一定程度上遏制了漏洞被大面积利用。

  从历史来看,一个漏洞对互联网的影响大小,与该漏洞是否存在傻瓜化利用工具有关。漏洞的利用工具被传播的越广,对互联网来说造成的影响就越大,因为会有很多脚本小子,拿着傻瓜化的工具肆无忌惮地四处搞破坏。

  Struts 这个漏洞这次本来不会这么严重,过往有些比这更严重的漏洞也没有造成这么恶劣的影响,但官方不负责任的披露了漏洞利用方法,首先就让这个漏洞被大面积利用成为可能。然后国内的黑客们看到后,在某社区里引起了热烈的讨论。接下来有不少黑客,利用官方给出的“帮助”,很轻松就写出了自动利用的工具,并开始找网站漏洞。

  如果仅仅到这里,局面也不会失控,但是接下来有黑客们开始展开竞赛一般的“战果展示”,把存在漏洞的网站公布在第三方平台上,这就好比“杀人比赛”一样,就看谁干掉的网站多,看谁干掉的网站大。

  很多之前没有关注这个漏洞的黑客们也开始关注这个漏洞,他们出于各自的目的,开始找寻存在漏洞的网站。可以不夸张地说,整个中国互联网应该被狠狠地捋了一遍。如果你用了 Struts 但却没被黑客关注过,那只能很可悲的说明你的网站太小了,小到整个安全行业所有人打着灯笼都找不到你。

  这就是互联网的放大作用。

  而对于始作俑者,Apache 基金会下的 Struts,我只能说 Struts 真是一朵奇葩。这并非 Struts 第一次出这种高危漏洞,但 Struts 对于安全问题的处理一直都很有问题,要么就是没有搞明白漏洞的原理,同一个漏洞补两三次都补不好,要么就是像这次这样,直接公布了漏洞利用方法。

  Struts 曾经闹过修补一个漏洞时笑话百出的场景,完全没有理解漏洞原理,仅仅针对漏洞报告者提供的特征字符做了过滤,结果接二连三地被绕过,一个简单的漏洞,修补了两三次都没有修补好,所以 Struts 在安全问题上的低智商是有历史的,屡教不改,还桀骜不驯。

  这次中国互联网被捋了一遍,造成的损失不可估量。如果很多大网站的数据库因为这个漏洞被盗,在接下来的一两年中,大家又会多接到很多骚扰电话和骚扰短信,有针对性的诈-骗案件也会上升。

 

5
2
评论 共 14 条 请登录后发表评论
14 楼 davepkxxx 2013-08-15 17:14
他们不是第一次这么脑残了。
13 楼 xiaoweiwei 2013-07-29 20:19
暂时告别Struts,进攻Spring MVC
12 楼 kingxip 2013-07-29 08:10
引用

他们战果丰硕,干掉了包括百度、腾讯、淘宝等在内的很多大网站,甚至是国家级的政府网站,这进一步又在微博上引发了不少大号们对这个漏洞的讨论。至此,局面彻底失控。

别jb扯淡行吗? 百度、腾讯、淘宝你是用p眼看到他们被干掉的? 作为IT类新闻,谨慎和科学是必须的吧,少他妈哗众取宠好不好。
11 楼 caizi12 2013-07-27 09:57
forcer521 写道
spring mvc 完全可以替代 Struts 


我也不用Struts 
10 楼 mazhenggg 2013-07-25 09:01
这不是知乎上的回答吗。。。
9 楼 Alex丿 2013-07-24 22:05
搞笑~~~
8 楼 小野千帆 2013-07-24 21:31
"直接导致国内的很多银行、政府机构、几乎所有的大中型互联网公司,国外的包括苹果的开发者网站都被黑掉了"
黑的漂亮
请问有证据吗
7 楼 forcer521 2013-07-24 15:16
spring mvc 完全可以替代 Struts 
6 楼 lishiyaowanmei 2013-07-24 15:00
dd
diggywang 写道
从不用Struts!

5 楼 fu80008 2013-07-24 13:16
升级后发现稳定性有些问题,这次是紧急修正。根本就没有怎么测试
4 楼 diggywang 2013-07-24 10:48
从不用Struts!
3 楼 yunzhu 2013-07-24 10:37
llj318 写道
看来造轮子这个东西还是很需要的,大公司还是用自己的东西

的确,重复造轮子的话,做的东西是最适合自己的,即使有bug,也一般不会致命,而且别人不懂啊,所以别人很难找到漏洞。
Apache这次的这个鸟事情实在是致命啊!!!
2 楼 llj318 2013-07-24 10:33
看来造轮子这个东西还是很需要的,大公司还是用自己的东西吧
1 楼 atgoingguoat 2013-07-24 10:16
最近我已经收到N个客户投诉了。

发表评论

您还没有登录,请您登录后再发表评论

相关推荐

  • Struts2漏洞利用工具2019版 V2.3.zip

    Struts2漏洞利用工具2019版 V2.3. Struts2漏洞检测工具,请勿非法攻击他人网站,安恒大佬的作品

  • Struts2漏洞利用工具

    Struts2是一个基于MVC设计模式的Web应用框架,但2存在远程代码执行的漏洞,现在Struts2漏洞检测工具2017版增加S2-046,官方发布S2-046和S2-045漏洞引发原因一样,只是利用漏洞的位置发生了变化,S2-046方式可能绕过...

  • Struts终极漏洞利用工具及代码

    Struts2终极漏洞利用工具及代码,需要JAVA安装环境

  • struts2漏洞利用工具

    Struts终极漏洞利用工具 Powered By 独孤城 Thanks to 峙酿君edwardz

  • Struts2漏洞利用工具2017版

    Struts2漏洞利用工具下载(已更新V1.8版) 2017-03-21:增加S2-046,官方发布S2-046和S2-045漏洞

  • Struts 2 安全漏洞层出不穷为哪般?

    Apache Struts团队6月底发布的Struts 2.3.15版本被曝出存在重要的安全漏洞,因此该团队紧急发布了Struts 2.3.15.1安全更新版本。 该版本修复的主要安全漏洞如下: 1. 通过在参数前面加上“action:”/“redirect...

  • K8_Struts2_漏洞利用工具解压密码:k8team

    著名的K8_Struts2_漏洞利用工具,可利用Struts2_漏洞进行任意代码执行和任意文件上传。 本工具仅供学习交流,请勿用于任何非法活动。

  • Struts2漏洞利用原理

    概述: Struts2是apache项目下的一个web 框架,目前web框架中非常流行的都是mvc设计模式、经典例子例如:python的...struts2作为java的一款成熟的web框架,自然也面临这个问题,于是struts2设计了一套OGNL的模式...

  • struts2 漏洞利用工具

    struts2 struts2 漏洞利用工具

  • Struts2 远程代码执行漏洞复现(附Struts2漏洞检测工具)

    Struts2 是 Apache 软件组织推出的一个相当强大的 Java Web 开源框架,本质上相当于一个 servlet。Struts2 基于 MVC 架构,框架结构清晰。通常作为控制器(Controller)来建立模型与视图的数据交互,用于创建企业级 ...

  • Struts2漏洞检测工具2018最新版

    Struts2漏洞检测工具,支持S2-057 CVE-2018-11776 、S2-048 CVE-2017-9791、S2-046 CVE-2017-5638、S2-045 CVE-2017-5638、S2-037 CVE-2016-4438、 S2-032 CVE-2016-3081 、S2-020 CVE-2014-0094 、S2-019 CVE-2013-...

  • struts2漏洞

    将id改为你想要执行的命令即可,例如:exec(‘cat /etc/passwd’) 如果太差直接查看网页源码 四、struts2漏洞 S2-008 原理 主要是利用对传入参数没有严格限制,导致多个地方可以执行恶意代码,传入?debug=command&...

  • Struts2 devMode远程代码执行漏洞检测利用

    Apache Struts 2是世界上最流行的Java Web服务器框架之一,当Struts2开启devMode模式时,将导致严重远程代码执行漏洞。如果WebService 启动权限为最高权限时,可远程执行任意命令,包括关机、建立新用户、以及删除...

  • Struts2漏洞分析与复现合集

    原理:该漏洞因用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用OGNL表达式%{value}进行解析,然后重新填充到对应的表单数据中。如注册或登录页面,提交失败后一般会默认返回之前提交的数据,由于...

  • Struts2漏洞复现

    漏洞原理: 参数action的值redirect以及redirectAction没有正确过滤,导致ognl代码执行 测试POC: 2.1 /index.action?redirect:%25{3*4} 2.2 /index.action?redirect:%25%7B3*4%7D (经Url编码) 返回12,说明...

  • struts2漏洞s2-045漏洞利用测试

    s2-045漏洞是一个可以执行远程命令的漏洞,该漏洞是struts2上传文件使用参数struts.multipart.parser=jakarta,并且文件上传采用了commons-fileupload的api导致的。只是使用struts.multipart.parser=jakarta并不能...

  • tornado-6.4.1-cp38-abi3-musllinux_1_2_i686.whl

    tornado-6.4.1-cp38-abi3-musllinux_1_2_i686.whl

  • tornado-6.1-cp36-cp36m-manylinux2014_aarch64.whl

    tornado-6.1-cp36-cp36m-manylinux2014_aarch64.whl

  • 基于java的ssm停车位短租系统程序答辩PPT.pptx

    基于java的ssm停车位短租系统程序答辩PPT.pptx

  • tornado-6.4b1-cp38-abi3-musllinux_1_1_x86_64.whl

    tornado-6.4b1-cp38-abi3-musllinux_1_1_x86_64.whl

Global site tag (gtag.js) - Google Analytics