论坛首页 Java企业应用论坛

Struts2/XWork 安全漏洞及解决办法

浏览 68948 次
该帖已经被评为精华帖
作者 正文
   发表时间:2010-07-26   最后修改:2010-07-26
http://192.168.0.14:8080/sms/send_task/index.do?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1

没成功
struts 2.1.6
ognl 2.7.3
0 请登录后投票
   发表时间:2010-07-26   最后修改:2010-07-26
jnduan 写道
WebWork用户表示配置拦截器不起作用。看来必须手工给src打patch然后自己编译一个xwork了。


修改xwork 1.2.3 src 里的com.opensymphony.xwork.interceptor.ParametersInterceptor#acceptableName(String name),在方法最前面加上:
boolean foundMatch = false;
foundMatch = name.contains("\\u0023");
if(foundMatch){
    return false;
}


然后用SourceLevel 1.5编译后打成jar替换原来的jar即可。
0 请登录后投票
   发表时间:2010-07-26  
这个漏洞很强大啊,直接调操作系统命令,ms比spring的那个更强大
0 请登录后投票
   发表时间:2010-07-26  
实际上,对于那些说网站的图片被删光了的同学,只能证明你们在运维管理上,做得非常不规范!

这个漏洞虽然严重,但是如果规范我们的部署流程,我们会发现,它发生的概率并不大。因为在Linux上,用户的访问权限是有严格限定的。你一个启动应用的用户,居然同时具备删除其他目录中文件的权限?
2 请登录后投票
   发表时间:2010-07-26  
downpour 写道
实际上,对于那些说网站的图片被删光了的同学,只能证明你们在运维管理上,做得非常不规范!

这个漏洞虽然严重,但是如果规范我们的部署流程,我们会发现,它发生的概率并不大。因为在Linux上,用户的访问权限是有严格限定的。你一个启动应用的用户,居然同时具备删除其他目录中文件的权限?


这个还真不知道~~~这个应该向空间商反应下~~
0 请登录后投票
   发表时间:2010-07-26  
用urlrewrite应该也能防住吧?
0 请登录后投票
   发表时间:2010-07-26  
唯快不破 写道
用urlrewrite应该也能防住吧?


NO~
0 请登录后投票
   发表时间:2010-07-26  
我试了半天,都没有反应,气啥我也,有没有什么注意事项,列一下吧。
0 请登录后投票
   发表时间:2010-07-26  
这个Bug很强大,我在本地试了一下,好用。
0 请登录后投票
   发表时间:2010-07-26  
jnduan 写道
jnduan 写道
WebWork用户表示配置拦截器不起作用。看来必须手工给src打patch然后自己编译一个xwork了。


修改xwork 1.2.3 src 里的com.opensymphony.xwork.interceptor.ParametersInterceptor#acceptableName(String name),在方法最前面加上:
boolean foundMatch = false;
foundMatch = name.contains("\\u0023");
if(foundMatch){
    return false;
}


然后用SourceLevel 1.5编译后打成jar替换原来的jar即可。

这个不提供配置文件之类的东西吗,或者做个插件。只能重新打包吗?
0 请登录后投票
论坛首页 Java企业应用版

跳转论坛:
Global site tag (gtag.js) - Google Analytics