2013年7月17日发现struts2高危漏洞

安全机构紧急安全警报,世界知名开源软件struts 2 存在2个高危漏洞,这些漏洞可使黑客取得网站服务器的“最高权限”,从而使企业服务器变成黑客手中的“肉鸡”。据相关网站报道,目前已知的腾讯、百度、阿里巴巴等7成大型互联网公司及政府机关均将受到该漏洞影响。

安全专家提醒广大网站管理员,应到struts 2的官方网站下载最新的补丁程序(下载地址: http://struts.apache.org/download.cgi#struts23151),尽快将struts 2升级到最新的2.3.15.1版本,以避免可能遭遇的严重安全威胁。

安全专家介绍,本次曝出的2个漏洞是由于缩写的导航和重定向前缀“action:”、 “redirect:”、 “redirectaction:”造成的。安全专家表示,由于这些参数前缀的内容没有被正确过滤,导致黑客可以通过漏洞执行命令,获取目标服务器的信息,并进一步取得服务器最高控制权。

届时,被攻击网站的数据库将面临全面泄密的威胁,同时黑客还可以通过重定向漏洞的手段,对其他网民进行钓鱼攻击或挂马攻击。

据了解, struts是apache基金会jakarta项目组的一个开源项目,它采用mvc 模式,帮助java开发者利用j2ee开发 web 应用。目前,struts广泛应用于大型互联网企业、政府、金融机构等网站建设,并作为网站开发的底层模板使用。因此,安全专家再次提醒广大网站管理员,尽快将struts 2升级到最新的2.3.15.1版本。

用户可用以下代码来检测自己的网站是否拥有该漏洞,在链接的参数列加上?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{‘calc’,’goes’,’here’})).start()}  如果计算器打开,则说明拥有该漏洞,请及时到apache官方网站下载最新的struts2.3.15.1。

分享:

发表评论

电子邮件地址不会被公开。 必填项已用*标注

😉😐😡😈🙂😯🙁🙄😛😳😮:mrgreen:😆💡😀👿😥😎😕

验证码 *