背景
Struts2是apache項目下的一個web 框架,普遍套用於阿里巴巴、京東等網際網路、政府、企業入口網站。
內容
在2013年6月底發布的Struts 2.3.15版本被曝出存在重要的安全漏洞 ,主要問題如下:
可遠程執行伺服器腳本代碼
用戶可以構造http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}連結,command goes here可以換成是破壞腳本的路徑和參數,比如fdisk -f等,造成破環系統無法運行的目的。
重定向漏洞
用戶可以構造如知名網站淘寶的重定向連線,形如打折新款,引導用戶點擊後進入釣魚網站,在界面上讓其進行登入用以獲取用戶的密碼。
1.可遠程執行伺服器腳本代碼
用戶可以構造http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}連結,command goes here可以換成是破壞腳本的路徑和參數,比如fdisk -f等,造成破環系統無法運行的目的。
2.重定向漏洞
用戶可以構造如知名網站淘寶的重定向連線,形如打折新款,引導用戶點擊後進入釣魚網站,在界面上讓其進行登入用以獲取用戶的密碼。
造成的影響:
蘋果、中國移動、中國聯通、百度、騰訊、淘寶、京東、Sohu、民生銀行等大型企業的網站均遭毒手,運維 工程師苦不堪言。
應對措施:
Apache團隊緊急發布了Struts 2.3.15.1安全更新版本,可升級到此版本來解決上述問題。
