• Struts2 devMode导致远程代码执行漏洞


    转载自https://blog.csdn.net/qq_29277155/article/details/51959041

    简介
    Struts 2具有一个称为devMode(=开发模式)的设置(可以在struts.properties中将其设置为true或false)。启用此设置后,Struts 2将提供其他日志记录和调试信息,从而可以大大加快开发速度。

    开发模式标志启用OGNL注入后门,使开发人员可以从方便的OGNL控制台或请求参数轻松检查其值堆栈。如果应用程序在启用了此标志的情况下发布到生产服务器中,则对于开发人员而言,此便捷功能将成为安全的噩梦。

    一、基本信息:
    漏洞名称:Struts2 devMode导致远程代码执行漏洞
    受影响的软件及系统:在开启devMode情况下,本漏洞可影响Struts 2.1.0--2.5.1,通杀Struts2所有版本
    漏洞概述:Apache Struts 2是世界上最流行的Java Web服务器框架之一。Apache Struts2在使用REST插件的情况下,攻击者使用REST调用恶意表达式可以远程执行代码。该漏洞编号为CVE-2016-4438,目前命名为S2-037。,黑客可以利用漏洞直接执行任意代码,绕过文件限制,上传文件,执行远程命令,控制服务器,直接盗取用户的所有资料,该漏洞广泛影响所有struts版本。

    二、漏洞原理分析
    Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的Struts 2的体系结构与Struts 1的体系结构差别巨大。Struts 2以WebWork为核心,采用拦截器的机制来处理用户的请求,这样的设计也使得业务逻辑控制器能够与 ServletAPI完全脱离开,所以Struts 2可以理解为WebWork的更新产品。虽然从Struts 1到Struts 2有着太大的变化,但是相对于WebWork,Struts 2的变化很小。

     当Struts2开启devMode模式时,将导致严重远程代码执行漏洞。如果WebService 启动权限为最高权限时,可远程执行任意命令,包括关机、建立新用户、以及删除服务器上所有文件等等。
    
    evMode模式,看名称也知道,是为Struts2开发人员调试程序准备的,在此模式下可以方便地查看日志等信息。默认情况下,devMode模式是关闭的。不过实际上仍然有很多网站上线的时候就赤裸裸地采用devMode模式,自然面临更大的安全问题,需要尽快修复。
    

    检测方法:
    使用工具直接检测,上github找

    四、漏洞修复方案

    关闭devMode:在struts.xml 设置

  • 相关阅读:
    当前网页调用其他网页
    保护自己的网页不被放入框架
    保护网页源码
    页面的后退、刷新、前进
    妙味——拖拽+碰撞+重力
    运行代码
    妙味——弹性运动
    IE css bug及解决方案参考
    妙味——布局转换的应用
    [LeetCode][JavaScript]Count Complete Tree Nodes
  • 原文地址:https://www.cnblogs.com/jiaojiaow/p/13513252.html
Copyright © 2020-2023  润新知