热搜
您的位置:首页 >> 科技

快改密码Struts2漏洞引爆网站泄密门

2019年05月14日 栏目:科技

日前,Apache Struts2发布漏洞公告,称其Struts2 Web应用框架存在一个可以远程执行任意命令的高危漏洞。利用该漏洞,黑客可

日前,Apache Struts2发布漏洞公告,称其Struts2 Web应用框架存在一个可以远程执行任意命令的高危漏洞。利用该漏洞,黑客可轻易攻陷站服务器,获得站注册用户的帐号密码和个人资料,而Struts2框架正广泛应用在国内大量知名站上,包括各大门户、电商、银行等官也受其影响。360互联安全中心为此发出红色警报,呼吁相干站尽快更新Struts2漏洞补丁,或开启360站卫士防范攻击。

据360安全专家石晓虹博士介绍,由于Struts2属于底层框架,其漏洞影响范围广、利用难度低,菜鸟也可以使用攻击工具直接控制站服务器,盗取用户数据库,乃至致使2011年底多家站密码库泄漏事件再次上演。

目前,络上已开始一些自动化、傻瓜化的Stuts2漏洞攻击软件,只要在软件中填写存在Struts2漏洞的站地址,便可直接执行服务器命令,读取站数据或让服务器关机等操作。而不幸的是,国内大批站均存在该漏洞,乃至连Stuts2之前的老漏洞尚未修复,从而将站注册用户信息赤裸裸地暴露在黑客攻击枪口面前。

石晓虹博士建议,广大站应尽快自查漏洞、安装Apache官补钉程序,也可使用360站卫士防范漏洞攻击。对普通民来说,近期更换一下经常使用络帐号的密码,重要帐号密码应单独设置,以避免站密码库泄漏危及自身帐号安全。

附:Struts2高危漏洞分析

此漏洞影响Struts2.0-Struts2.3所有版本,可直接导致服务器被黑客远程控制,从而引起数据泄漏。漏洞根源在于,DefaultActionMapper类支持以"action:"、"redirect:"、"redirectAction:"作为导航或是重定向前缀,但是这些前缀后面同时可以跟OGNL表达式,由于struts2没有对这些前缀做过滤,导致利用OGNL表达式调用java静态方法执行任意系统命令。

这里以redirect:前缀举例,struts2会将redirect:前缀后面的内容设置到cation当中,如图所示:

bstring(REDIRECT_ngth())便是前缀后面的内容也就是OGNL表达式,struts2会调用setLocation方法将他设置到cation中。然后这里调用tResult(redirect)将redirect对象设置到mapping对象中的result里,如图所示:

然而上面的过程只是传递OGNL表达式,真正执行是在后面,这里是在FilterDispatcher类中的rviceAction()方法,

这里跟入方法终会在TextParseUtil这个类的调用ndValue()方法执行OGNL。

益母颗粒什么时候喝
妇科千金片作用与功效
妇科千金片功效