1. 首页
2. 证书相关
3. java struts2 远程执行任意java代码漏洞

java struts2 远程执行任意java代码漏洞

发布日期：2017-05-01

最近网络上爆发大规模的struts2远程代码执行漏洞。

漏洞说明

漏洞危害	漏洞可以远程执行任意Java代码
危险等级	高危
受影响版本	Struts 2.3.20 – Struts 2.3.28 (2.3.20.2 和 2.3.24.2 除外)
CVE	CVE-2016-3081

漏洞前提

开启动态方法调用， struts.xml配置

<constant name=”struts.enable.DynamicMethodInvocation” value=”true” />

沙盒绕过

通过ognl表达式静态调用获取ognl.OgnlContext的DEFAULT_MEMBER_ACCESS属性，并将获取的结果覆盖_memberAccess属性，这样就可以绕过SecurityMemberAccess的限制。

临时解决方案

1. 检查是否使用struts2

2. 检查是否开启动态方法调用

3. 在struts前端nginx配置正则拦截攻击请求

正则：if($args ~ @ognl.OgnlContext@DEFAULT_MEMBER_ACCESS) { return 404;}

升级Struts 2至Struts 2.3.20.2, Struts 2.3.24.2 或者 Struts 2.3.28.1，以便彻底解决此问题。

文章转载来自：trustauth.cn

上一篇：通过webrtc-ip获取本地和外网IP地址

下一篇：flask jinja2 UnicodeDecodeError 解决方法

相关新闻

• SSL证书对网站访问速度有影响吗
• 个人隐私数据泄露有哪些危害？如何预防？
• 部署SSL证书有哪些常见的错误
• 国际证书、国产证书和国密证书
• 游戏开发为什么离不开代码签名？
• 僵尸网络攻击手法与防范方式
• SSL证书助力保障网络数据安全
• 网站加密与不加密区别
• SSL证书有哪些类型和价格差异
• ca机构颁发的证书包括那些内容呢？