原创,bgy编写。2013-07-24
前文:
随着苹果开发者网站的沦陷,已经曝光一周的Apache Struts2漏洞再次成为热门话题,今天有消息称由于该漏洞被利用,淘宝的数据库已经被盗,尽管淘宝官方否认了这一说法,但是从乌云漏洞平台的报告看,该漏洞已经波及到了包括京东、淘宝等在内的大型网站……
通过“K8_Struts2_EXP”等工具,针对基于Struts2框架结构开发的网站或项目进行漏洞扫描。对于存在漏洞的几乎无一幸免。可获取您服务器的最高权限,此时的服务器如同“肉鸡”,任攻击者为非作歹。而您,如坐针毡,无计可施。
网上有很多帖子,有谈其危害性,严重性,也有如何防范的措施,方法等。很多都是你拷贝我的,我复制你的,没有实质性的意义,可操作性上存在不足。
本人针对这种情况,做了实验,得出具体解决问题的步骤和方法。
注:最直接,最有效的方法!
思路:更换Struts2 Jar包。
以下是具体的步骤:
1、登录Struts2官网,http://struts.apache.org/download.cgi#struts23151(具体的下载页面),下载版本为2.3.15.1的,struts-2.3.15.1-all.zip。
2、从struts-2.3.15.1-allstruts-2.3.15.1lib中拷贝出
(1)javassist-3.11.0.GA.jar
(2)commons-io-2.0.1.jar
(3)commons-lang3-3.1.jar
(4)freemarker-2.3.19.jar
(5)ognl-3.0.6.jar
(6)commons-fileupload-1.3.jar
(7)xwork-core-2.3.15.1.jar
(8)struts2-core-2.3.15.1.jar
(9)struts2-spring-plugin-2.3.15.1.jar
注:保留原有的commons-lang-2.6.jar,其余的替换旧版本。(删除对应旧版本,然后将上述9个Jar包拷贝进去)
3、重新编译。完毕