您好,登錄后才能下訂單哦!
Apache Struts2遠(yuǎn)程代碼執(zhí)行漏洞實(shí)例分析,相信很多沒(méi)有經(jīng)驗(yàn)的人對(duì)此束手無(wú)策,為此本文總結(jié)了問(wèn)題出現(xiàn)的原因和解決方法,通過(guò)這篇文章希望你能解決這個(gè)問(wèn)題。
2020年08月13日, 360CERT監(jiān)測(cè)發(fā)現(xiàn)Apache官方
發(fā)布了Struts2遠(yuǎn)程代碼執(zhí)行漏洞
的風(fēng)險(xiǎn)通告,該漏洞編號(hào)為CVE-2019-0230
,漏洞等級(jí):高危
,漏洞評(píng)分:8.5
。
攻擊者
可以通過(guò)構(gòu)造惡意的OGNL表達(dá)式
,并將其設(shè)置到可被外部輸入進(jìn)行修改,且會(huì)執(zhí)行OGNL
表達(dá)式的Struts2
標(biāo)簽的屬性值,引發(fā)OGNL表達(dá)式
解析,最終造成遠(yuǎn)程代碼執(zhí)行
的影響。
對(duì)此,360CERT建議廣大用戶(hù)及時(shí)將Apache Struts2
進(jìn)行升級(jí)完成漏洞修復(fù)。與此同時(shí),請(qǐng)做好資產(chǎn)自查以及預(yù)防工作,以免遭受黑客攻擊。
360CERT對(duì)該漏洞的評(píng)定結(jié)果如下
評(píng)定方式 | 等級(jí) |
---|---|
威脅等級(jí) | 高危 |
影響面 | 廣泛 |
360CERT評(píng)分 | 8.5 |
Apache Struts 2是一個(gè)用于開(kāi)發(fā)Java EE網(wǎng)絡(luò)應(yīng)用程序的開(kāi)放源代碼網(wǎng)頁(yè)應(yīng)用程序架構(gòu)。它利用并延伸了Java Servlet API,鼓勵(lì)開(kāi)發(fā)者采用MVC架構(gòu)。
該漏洞有三個(gè)限制條件:
Struts2
標(biāo)簽的屬性值可執(zhí)行OGNL
表達(dá)式
Struts2
標(biāo)簽的屬性值可被外部輸入修改
Struts2
標(biāo)簽的屬性值未經(jīng)安全驗(yàn)證
僅當(dāng)以上三個(gè)條件都滿(mǎn)足時(shí),攻擊者可以通過(guò)構(gòu)造惡意的OGNL
表達(dá)式,造成遠(yuǎn)程命令執(zhí)行的影響。
Apache Struts2:2.0.0-2.5.20
升級(jí)到Struts 2.5.22或更高版本。
或者開(kāi)啟ONGL表達(dá)式注入保護(hù)措施
看完上述內(nèi)容,你們掌握Apache Struts2遠(yuǎn)程代碼執(zhí)行漏洞實(shí)例分析的方法了嗎?如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容,歡迎關(guān)注億速云行業(yè)資訊頻道,感謝各位的閱讀!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀(guān)點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。