- 上一篇:hypertextmarkuplanguage简称html
- 下一篇:microsoft.xmlhttp组件的用法和属性
这个漏洞触发可以不需要有上传功能,但是一定要有commons-fileupload-x。x。x。jar包
修复建议:1。很官方的解释 升级struts2版本
2。做过滤器
获取Content-Type的值,如果包含了某些特征进行过滤pass(治标不治本,有被绕过的可能) //当时写的也被证实了,确实存在绕过S2-046,所以大家尽量升级。
类似:(网上随意找,仅供参考思路)
protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response,FilterChain chain) throws ServletException, IOException {
String contentType=request。getContentType();
if(contentType!=null&&contentType。indexOf("ognl")!=-1){ //特征字符
System。out。println(contentType);
return;
}else{
chain。doFilter(request, response);
}
}
近日,安恒信息安全研究院WEBIN实验室高级安全研究员nike。zheng发现著名J2EE框架——Struts2存在远程代码执行的严重漏洞。s2-045代码执行漏洞分析s2-045
目前Struts2官方已经确认漏洞(漏洞编号S2-045,CVE编号:cve-2017-5638),并定级为高风险。由于该漏洞影响范围极广(Struts 2。3。5 - Struts 2。3。31, Struts 2。5 - Struts 2。5。10),漏洞危害程度极为严重,可直接获取应用系统所在服务器的控制权限。论文网
该漏洞影响范围极广,影响国内外绝大多数使用Struts2开发框架的站点。建议提前做好该严重漏洞的应急准备工作。受影响的软件版本:Struts 2。3。5 - Struts 2。3。31, Struts 2。5 - Struts 2。5。10,该漏洞危害程度极高,黑客可以利用该漏洞通过浏览器在远程服务器上执行任意系统命令,将会对受影响站点造成严重影响,引发数据泄露、网页篡改、后门植入、沦为肉鸡等安全事件。
漏洞修复建议(或缓解措施):
检测方式查看web目录下/WEB-INF/lib/目录下的struts-core。x。x。jar ,如果这个版本在Struts2。3。5 到 Struts2。3。31 以及 Struts2。5 到 Struts2。5。10之间则存在漏洞,
更行至Strusts2。3。32或者Strusts2。5。10。1,或使用第三方的防护设备进行防护。s2-045代码执行漏洞分析s2-045
临时解决方案:删除commons-fileupload-x。x。x。jar文件(会造成上传功能不可用)。
-
北京朴石医学已无财产可供执行
-
全党必须严格执行重大问题
-
Struts的s2-045漏洞原理拿shell
-
Swift通过touchesBegan方法获取用户点击的view代码
-
componentsseparatedbystring将字符切割成数组代码
-
quartz表达式每一小时执行一次
-
selenium2.0秒杀程序小程序自...
多级反馈队列调度算法的研究+源代码
进出口贸易与经济增长文献综述和参考文献
甲硫醇钠生产工艺设计任务书
身体自尊量表(PSPP)
玫瑰精油特征香气成分研究
街头游园设计
运动员广告形象塑造文献综述和参考文献
货币国际化国内外研究现状
从何红舟《桥上的风景》中感受油画构成美
Toeplitz定理及其应用+文献综述