zoukankan      html  css  js  c++  java
  • struts2危险漏洞解决方法

    原创,bgy编写。2013-07-24

    前文:

           随着苹果开发者网站的沦陷,已经曝光一周的Apache Struts2漏洞再次成为热门话题,今天有消息称由于该漏洞被利用,淘宝的数据库已经被盗,尽管淘宝官方否认了这一说法,但是从乌云漏洞平台的报告看,该漏洞已经波及到了包括京东、淘宝等在内的大型网站……

           通过“K8_Struts2_EXP”等工具,针对基于Struts2框架结构开发的网站或项目进行漏洞扫描。对于存在漏洞的几乎无一幸免。可获取您服务器的最高权限,此时的服务器如同“肉鸡”,任攻击者为非作歹。而您,如坐针毡,无计可施。

           网上有很多帖子,有谈其危害性,严重性,也有如何防范的措施,方法等。很多都是你拷贝我的,我复制你的,没有实质性的意义,可操作性上存在不足。

           本人针对这种情况,做了实验,得出具体解决问题的步骤和方法。

           注:最直接,最有效的方法!

    思路:更换Struts2 Jar包。

    以下是具体的步骤:

    1、登录Struts2官网,http://struts.apache.org/download.cgi#struts23151(具体的下载页面),下载版本为2.3.15.1的,struts-2.3.15.1-all.zip。

    2、从struts-2.3.15.1-allstruts-2.3.15.1lib中拷贝出

    (1)javassist-3.11.0.GA.jar

    (2)commons-io-2.0.1.jar

    (3)commons-lang3-3.1.jar

    (4)freemarker-2.3.19.jar

    (5)ognl-3.0.6.jar

    (6)commons-fileupload-1.3.jar

    (7)xwork-core-2.3.15.1.jar

    (8)struts2-core-2.3.15.1.jar

    (9)struts2-spring-plugin-2.3.15.1.jar

    注:保留原有的commons-lang-2.6.jar,其余的替换旧版本。(删除对应旧版本,然后将上述9个Jar包拷贝进去)

    3、重新编译。完毕

  • 相关阅读:
    Go 实现一个简单的TCP服务端
    将博客搬至CSDN
    My solution for Git Client Error: Permission denied (publickey)
    The Key to final data
    Design Pattern
    Difference between TCP and UDP
    Oracle SQL自带函数整理
    Java JDBC Batch
    Javascript Date 判断输入日期是否正确
    Javascript 数字保留2位小数
  • 原文地址:https://www.cnblogs.com/jirglt/p/3209902.html
Copyright © 2011-2022 走看看