Strtuts2.3.15 bug ,可以远程执行命令 - 走看看

zoukankan html css js c++ java

Strtuts2.3.15 bug ,可以远程执行命令
　　

在2013年6月底发布的Struts 2.3.15版本被曝出存在重要的安全漏洞^[1] ，主要问题如下：
1. 可远程执行服务器脚本代码^[2]
  
  用户可以构造http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}链接，command goes here可以换成是破坏脚本的路径和参数，比如fdisk -f等，造成破环系统无法运行的目的。
2. 重定向漏洞^[3]
  
  用户可以构造如知名网站淘宝的重定向连接，形如<a href="http://www.淘宝.com/item00001.html?redirect:http://黑客/getyourPassword">打折新款</a>,引导用户点击后进入钓鱼网站，在界面上让其进行登陆用以获取用户的密码。\
      3.struts2 动态url漏洞(默认不开启，如果开启会被利用来，执行远程命令，导致系统运行。

      4.struts2标签漏洞，多次执行会导致出现漏洞

      解决办法下载最新版 2.3.14 jar 更新即可
查看全文

相关阅读:
.NET实现Excel文件的读写未测试
 权限管理设计
 struts1中配置应用
 POJ 2139 Six Degrees of Cowvin Bacon(floyd)
POJ 1751 Highways
POJ 1698 Alice's Chance
POJ 1018 Communication System
POJ 1050 To the Max
POJ 1002 4873279
POJ 3084 Panic Room

原文地址：https://www.cnblogs.com/xiaohuBlog/p/5440500.html

Copyright © 2011-2022 走看看