apache struts團隊6月底發布的struts 2.3.15版本被曝出存在重要的安全漏洞,因此該團隊緊急發布了struts 2.3.15.1安全更新版本。
該版本修復的主要安全漏洞如下:
1. 通過在引數前面加上「action:」/「redirect:」/「redirectaction:」字首,以實現遠端**執行,如下:
2. 通過在引數前面加上「redirect:」/「redirectaction:」字首,以實現開放式重定向,如下:
詳細漏洞資訊:
struts2漏洞層出不窮
最近以來的struts2更新似乎都在忙著修復各種安全漏洞,而這些漏洞都集中在此方面,比如5月底發布的struts 2.3.14.2版本、6月初發布的2.3.14.3版本,都修復了相關的漏洞,而這些漏洞都可能導致執行遠端命令、訪問/控制會話以及發起xss攻擊等。
關於struts2的安全漏洞分析可參閱:
struts2安全漏洞及解決辦法
7月17日,世界知名開源軟體struts 2爆出了2個高危漏洞,這些漏洞可使黑客取得 伺服器的 最高許可權 從而使企業伺服器變成黑客手中的 肉雞 詳細漏洞資訊 關於此漏洞,最好的解決方法當然是將struts2的jar包更新到最新版本。不過對於不同struts2版本,公升級會引起一些包衝突。公升級步驟...
發現 Struts2的漏洞
struts2的最新漏洞 17年3,6日apache struts2被曝存在遠端命令執行漏洞。官方評為 高危,該漏洞是由於使用基於jakarta外掛程式的檔案上傳功能的條件下,惡意使用者可以通過修改http請求頭中的content type值來觸發漏洞,進而執行任意系統命令,導致系統被黑客入侵。具體...
Struts2漏洞利用例項
struts2漏洞利用例項 如果存在struts2漏洞的站,administrator許可權,但是無法加管理組,內網,shell訪問500.1.struts2 漏洞原理 struts2是乙個框架,他在處理action的時候,呼叫底層的getter setter來處理http的引數,將每乙個http的...