网站分类

• 精选文章

最近发表

• RIPS自动化地挖掘Typecho源代码安全漏洞
• 网络安全运维掌握这十点核心能力就够了吗?
• 链路追踪-微服务小白入门(6)
• 史上最经典的10个C语言开源项目，适合C语言实战能力加强
• Java的多种Http调用方式
• CotEditor - 免费开源好软件推荐!macOS 上轻量好用的纯文本编辑器
• Mac Docker环境，利用Canal实现MySQL同步ES
• 走进Maven世界
• Kafka 核心功能介绍和常用命令
• 搭建 IPFS 节点服务器

最新留言

漏洞介绍

ApacheStruts是一款建立Java web应用程序的开放源代码架构。Apache Struts存在一个输入过滤错误，如果遇到转换错误可被利用注入和执行任意Java代码。

网站存在Struts2远程代码执行漏洞（CVE-2010-1870）的大部分原因是由于网站采用了Apache Struts Xwork作为网站应用框架，Xwork通过getters/setters方法从HTTP的参数中获取对应action的名称，这个过程是基于OGNL（object graph navigation language）的，由parametersintercceptor调用valuestack.setvalue()完成的，它的参数用户控，由HTTP参数传入。OGNL的功能强大，远程执行代码也正是利用了这一点，导致网站面临安全风险。

实例演示

说了一大堆，可能大家不太理解，没关系咱们直接上实例，下图是用工具检测出存在Struts2远程命令执行漏洞网站的反馈信息，警告：存在Struts2远程代码执行漏洞-编号S2-016。