溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
獲取短信驗證碼
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
登 錄 注冊有禮
云服務器 香港服務器 高防服務器
最新更新 網站標簽 地圖導航
產品

Apache Struts2遠程代碼執行漏洞實例分析

發布時間:2021-12-20 18:31:44 來源:億速云 閱讀:208 作者:柒染 欄目:大數據

Apache Struts2遠程代碼執行漏洞實例分析,相信很多沒有經驗的人對此束手無策,為此本文總結了問題出現的原因和解決方法,通過這篇文章希望你能解決這個問題。

0x01 漏洞簡述

2020年08月13日, 360CERT監測發現Apache官方發布了Struts2遠程代碼執行漏洞的風險通告,該漏洞編號為CVE-2019-0230,漏洞等級:高危,漏洞評分:8.5 。

攻擊者可以通過構造惡意的OGNL表達式,并將其設置到可被外部輸入進行修改,且會執行OGNL表達式的Struts2標簽的屬性值,引發OGNL表達式解析,最終造成遠程代碼執行的影響。

對此,360CERT建議廣大用戶及時將Apache Struts2進行升級完成漏洞修復。與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。

0x02 風險等級

360CERT對該漏洞的評定結果如下

評定方式等級
威脅等級高危
影響面廣泛
360CERT評分8.5


0x03 漏洞詳情

Apache Struts 2是一個用于開發Java EE網絡應用程序的開放源代碼網頁應用程序架構。它利用并延伸了Java Servlet API,鼓勵開發者采用MVC架構。

該漏洞有三個限制條件:

  1. Struts2標簽的屬性值可執行OGNL表達式

  2. Struts2標簽的屬性值可被外部輸入修改

  3. Struts2標簽的屬性值未經安全驗證

僅當以上三個條件都滿足時,攻擊者可以通過構造惡意的OGNL表達式,造成遠程命令執行的影響。

0x04 影響版本

  • Apache Struts2:2.0.0-2.5.20

0x05 修復建議

通用修補建議:

升級到Struts 2.5.22或更高版本。

或者開啟ONGL表達式注入保護措施

看完上述內容,你們掌握Apache Struts2遠程代碼執行漏洞實例分析的方法了嗎?如果還想學到更多技能或想了解更多相關內容,歡迎關注億速云行業資訊頻道,感謝各位的閱讀!

向AI問一下細節
推薦閱讀:
  1. 怎么進行Apache Struts2--048遠程代碼執行漏洞復現
  2. 怎么淺談Apache Struts2 RCE漏洞CVE-2020-17530

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

apache struts2

猜你喜歡

最新資訊
相關推薦

相關標簽

apache解析 apache服務器 apache網頁優化 apache網頁壓縮 ---apache apache工作模式 apache shiro源碼 隱藏apache版本信息 apache2 apache flink apache優化 apache pulsar apache_flink apache安裝 apache虛擬主機 apache+passenger zabbix監控apache apache tomcat apache spark apache solr
AI

產品服務
地區劃分
專題活動
幫助支持
關于我們
售后咨詢
7*24小時在線電話:400-100-2938
7*24小時在線 QQ:800811969
關注億速云

億速云公眾號

手機網站二維碼

Copyright ? Yisu Cloud Ltd. All Rights Reserved. 2018 版權所有

廣州億速云計算有限公司粵ICP備17096448號-1 粵公網安備 44010402001142號增值電信業務經營許可證編號:B1-20181529

亚洲午夜精品一区二区_中文无码日韩欧免_久久香蕉精品视频_欧美主播一区二区三区美女