360鹰眼-更智能的Web安全监控系统

产品描述:

下一代web漏洞扫描器,她是一款硬件,包含:最全面的"爬出"引擎,不再需要收集资产清单,不再需要指定扫描时间,同步发现新上线业务漏洞

适用对象:

企业

价格服务:

目录价19.8万起
我了解,我要试用
高危高危

Struts2命令执行漏洞

WASC Threat Classification

发现时间:

2012-07-05

漏洞类型:

其他

所属建站程序:

所属服务器类型:

所属编程语言:

描述:

目标存在命令执行漏洞

1.攻击者可以直接在使用了Struts2框架的网站上执行任意命令

2.XWork是一个命令模式框架,用于支持Struts 2及其他应用。XWork处理用户请求参数数据时存在漏洞,远程攻击者可以利用此漏洞在系统上执行任意命令。

Apache Struts2WebWork框架使用XWork基于HTTP参数名执行操作和调用,将每个HTTP参数名处理为OGNL(对象图形导航语言)语句。为了防范攻击者通过HTTP参数调用任意方式,XWork使用了以下两个变量保护方式的执行:  
* OgnlContext
的属性xwork.MethodAccessor.denyMethodExecution(默认设置为true 
* SecurityMemberAccess
私有字段allowStaticMethodAccess(默认设置为false

为了防范篡改服务器端对象,XWorkParametersInterceptor不允许参数名中出现“#”字符,但如果使用了Javaunicode字符串表示\u0023,攻击者就可以绕过保护,修改保护Java方式执行的值。进一步可调用java语句来执行任意命令,甚至控制操作系统。之前通过\0023 (16进制的#) 来绕过,官方补丁屏蔽了这种但是可以利用\43(8进制的#)进行绕过。


危害:

攻击者可利用该漏洞执行任意命令如写入后门、上传木马等进而完全控制服务器,盗取网站数据,影响网站的正常运营,危害巨大。

解决方案:

1.升级Struts2到最新版本,下载地址http://struts.apache.org/

2.接入360网站卫士(http://wangzhan.360.cn)


 

如果你的网站服务器是Windows系统,建议使用"主机卫士"修复漏洞,点击下载
对该漏洞进行评论