展开

关键词

首页关键词apache struts2

apache struts2

相关内容

消息队列 CKafka

消息队列 CKafka

CKafka(Cloud Kafka)是一个分布式的、高吞吐量、高可扩展性的消息系统,100%兼容开源 Kafka API(0.9版本)。Ckafka 基于发布/订阅模式,通过消息解耦,使生产者和消费者异步交互,无需彼此等待。Ckafka 具有数据压缩、同时支持离线和实时数据处理等优点,适用于日志压缩收集、监控数据聚合等场景。
  • 绿盟科技威胁分析报告:那些年,那些 Apache Struts2 的漏洞

    每次 Apache Struts2 漏洞爆发都在互联网上掀起腥风血雨,我们整理了近年来 Apache Struts2 高风险漏洞的信息供大家参考。针对此次 Apache Struts2 的漏洞,绿盟科技已提供在线检查工具帮助大家自查此漏洞。1. Apache Struts2 漏洞的背景???2. OGNL简介???3.
    来自:
    浏览:573
  • Apache Struts2 远程代码执行漏洞公告(CVE-2019-0230、CVE-2019-0233)

    2020年8月13日,腾讯安全团队监测到 Apache Struts 官方发布安全公告,披露 S2-059 Struts 远程代码执行漏洞,以及 S2-060 Struts 拒绝服务漏洞。漏洞详情Apache Struts2 框架是一个用于开发 Java EE 网络应用程序的 Web 框架。影响版本Apache Struts 2.0.0 - 2.5.20安全版本Apache Struts >= 2.5.22修复建议根据漏洞相关信息,腾讯安全建议您: 将 Apache Struts 框架升级至最新版本
    来自:
  • 广告
    关闭

    2021 V+全真互联网全球创新创业挑战赛

    百万资源,六大权益,启动全球招募

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到
  • 漏洞预警:Apache Struts2 漏洞凶猛来袭 安恒信息提醒用户及时关注并防护

    六月份Apache Struts2的远程代码执行漏洞风暴刚刚过去,今日,国外公共漏洞和暴露平台CVE再次公布了Apache Struts2两个严重漏洞(CVE-2013-2251和CVE-2013-2248此次受到该漏洞的影响范围Apache Group Struts 2.3.15.1以下的版本,使用这些版本的用户可能将被恶意黑客攻击,目前该漏洞已呈扩散趋势。安恒信息的安全专家提醒目前正在使用Struts框架的网站管理员,目前Aapche官方已经在针对该漏洞发布了升级版本(http:httpd.apache.org),建议用户尽快升级。
    来自:
    浏览:436
  • Web 应用防火墙

    高防包结合应用,HTTPS 免费证书申请和应用,如何获取客户端真实 IP,端口支持相关,CNAME 相关,域名相关,产品动态,购买方式,续费说明,退费说明,支持地域,WAF 结合 API 网关提供安全防护,ApacheSkyWalking SQL 注入漏洞安全风险公告(CVE-2020-13921),Jenkins 发布9月安全更新公告,WordPress File Manager 存在任意代码执行漏洞公告,ApacheStruts2 远程代码执行漏洞公告(CVE-2019-0230、CVE-2019-0233),Exchange Server 命令执行漏洞的安全防护公告,CVE-2020-11991 ApacheSkyWalking SQL 注入漏洞安全风险公告(CVE-2020-13921),Jenkins 发布9月安全更新公告,WordPress File Manager 存在任意代码执行漏洞公告,ApacheStruts2 远程代码执行漏洞公告(CVE-2019-0230、CVE-2019-0233),Exchange Server 命令执行漏洞的安全防护公告,CVE-2020-11991 Apache
    来自:
  • Apache Struts2 Commons FileUpload远程代码执行漏洞(CVE-2016-100031) 安全预警

    预警编号:NS-2018-0036 2018-11-08 TAG:Apache、Struts2、CVE-2016-100031、反序列化、远程代码执行 危害等级:高,此漏洞影响所有未进行修复的Struts2.3版本:1.01漏洞概述近日,Apache官方发布安全通告强烈建议使用Apache Struts2.3.X版本的用户对commons-fileupload组件进行升级。Commons是Apache开放源代码组织的一个Java子项目,其中FileUpload是用来处理HTTP文件上传的子项目。%40mail.gmail.com%3ESEE MORE →2影响范围受影响版本:Apache Struts = 2.5.12Apache Common FileUpload 1.3.33漏洞排查此漏洞产生于低版本的4漏洞防护官方已发布了修复版本,使用Apache Struts 2.3.x版本框架的用户请尽快升级至最新版本,或者通过更新commons-fileupload组件版本的方式,防护因漏洞带来的风险。
    来自:
    浏览:1892
  • Apache Struts2 Remote Code Execution (S2-045)

    Code Review code review struts2 2.3.24 从Struts2的入口来分析,StrutsPrepareAndExecuteFilter 是struts2默认配置的入口过滤器IOException { return super.getItemIterator(new ServletRequestContext(request)); }}继续跟踪 parseRequest 在org.apache.commons.fileupload(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).:struts2依赖包,版本跟随struts2一起更新; ongl-3.0.19.jar:用于支持ognl表达式,为其他包提供依赖; 建议先在测试环境进行升级测试,查看是否会影响业务正常运行。 ​ ​
    来自:
    浏览:640
  • Apache Struts2 Remote Code Execution (S2-053)

    Struts2使用FreeMarker作为其默认的模板引擎,FreeMarker负责将数据模型中的数据合并到模板中,从而生成标准输出,对于界面开发人员而言,他们只关心界面(也就是模板文件)的开发,而无需理会底层数据Vulnerability Environment根据官方的漏洞表述,我们使用struts-2.5.10版本,写一个在FreeMarker中使用Struts2标签的ftl模板文件,功能比较简单获取name(@org.apache.commons.io.IOUtils@toString(#process.getInputStream()))}我们知道在ftl模板里${···}本身就是ognl表达式,所以这个漏洞没有什么可以去分析的漏洞触发机制,不过作为struts2的ognl表达式执行漏洞学习案例还是不错的,很直接!Solution首先你可以进行struts2版本升级,其中对freemarker配置中进行了更多的限制,其次本文开始就说了,这首先是一个安全编码的问题,正确的标签使用方法如下:?----
    来自:
    浏览:282
  • Apache Struts2 Remote Code Execution (S2-046)

    (#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).不得不吐槽一下struts2在处理上传这块的问题真多,buildErrorMessage无处不在啊,只要有个异常都会是他来处理,懵逼呢~----Solution直接使用最新版struts2的jar包替换原jar文件进行升级,有三个包必须要升级(升级前备份原版本jar包):Struts2-core-2.3.32.jar:struts2核心包,也是此漏洞发生的所在;xwork-core-2.3.32.jar:struts2依赖包,版本跟随struts2一起更新;ongl-3.0.19.jar:用于支持ognl表达式,为其他包提供依赖;commons-fileupload-1.3.2.jar:用于处理文件上传
    来自:
    浏览:345
  • Apache Struts2漏洞又来, 腾讯云WAF一键防御

    漏洞又来继3月份曝出远程代码执行的高危漏洞后,Apache Struts 2昨日再曝远程代码执行高危漏洞S2-032。作为是世界上最流行的Java Web服务器框架之一,Apache Struts 2本次曝出的漏洞立即带来一波腥风血雨,乌云等漏洞平台瞬间被各种相关漏洞刷屏,其中包括众多金融行业系统。腾讯云一键防御漏洞曝出后,Apache Struts 2官方发布了新版本,Struts 2用户可以下载新版本进行升级修复,但修复期间,漏洞可能就已经被黑客利用。1漏洞描述Struts2在开启动态方法调用(DMI)的情况下,可被实施远程代码执行攻击。升级Struts2版本至2.3.20.3、2.3.24.3和2.3.28.1,请根据当前使用的版本选对应对版本进行升级。
    来自:
    浏览:408
  • Apache Struts2漏洞又来, 腾讯云WAF一键防御

    漏洞再现Apache Struts 2昨日再曝远程代码执行高危漏洞S2-032作为是世界上最流行的Java Web服务器框架之一,Apache Struts 2本次曝出的漏洞立即带来一波腥风血雨,乌云等漏洞平台瞬间被各种相关漏洞刷屏腾讯云一键防御漏洞曝出后,Apache Struts 2官方发布了新版本,Struts 2用户可以下载新版本进行升级修复,但修复期间,漏洞可能就已经被黑客利用。1漏洞描述Struts2在开启动态方法调用(DMI)的情况下,可被实施远程代码执行攻击。升级Struts2版本至2.3.20.3、2.3.24.3和2.3.28.1,请根据当前使用的版本选对应对版本进行升级。官方升级包下载链接:http:struts.apache.orgdownload.html#struts-ga腾讯云WAF简介腾讯云安全WAF是一款通过对http请求的检测分析,为Web应用提供实时防护的安全产品
    来自:
    浏览:504
  • s2-029 Apache Struts2 标签远程代码执行分析

    >>>>标签介绍Struts2标签库提供了主题、模板支持,极大地简化了视图页面的编写,而且,struts2的主题、模板都提供了很好的扩展性。实现了更好的代码复用。Struts2允许在页面中使用自定义组件,这完全能满足项目中页面显示复杂,多变的需求。Struts2的标签库有一个巨大的改进之处,struts2标签库的标签不依赖于任何表现层技术,也就是说strtus2提供了大部分标签,可以在各种表现技术中使用。标签使用如下所示:xxxxxxxxxx上面两个标签name属性都存在问题 下面对i18n标签做分析 跟踪i18n标签name属性在代码中的处理: org.apache.struts2.components.I18n
    来自:
    浏览:492
  • Apache Struts2 Remote Code Execution (S2-052)

    Versions AffectedStruts 2.1.2 - Struts 2.3.33,Struts 2.5 - Struts 2.5.12Description根据官方漏洞描述,Struts2 REST同时,官方的解决方案是将Struts2的版本升级至2.5.13 或 2.3.34,那么先对比一下官方的版本升级代码,发现struts-2.5-2.13srcpluginsrestsrcmainjavaorgapachestruts2resthandlerXStreamHandler.java而在struts2 rest-plugin 中的处理逻辑是判断content-type的内容,再调用对应handler.toObject方法对其进行实例化。-rest-showcaseorders5update.xml这种xml资源时,需要设置content-type为deliciousbookmark+xml,这在xxlegend的分析POC中有体现,struts2
    来自:
    浏览:334
  • 解密:Struts2漏洞及其补丁漏洞“曝光”纪实

    这是自2013年Struts2(s2-016)命令执行漏洞大规模爆发之后,该服务时隔三年再次爆发大规模漏洞。该漏洞也是爆出的最严重安全漏洞。4月26日,Apache Struts2官方又发布安全公告:Apache Struts2 服务在开启动态方法调用的情况下可以远程执行任意命令。??而一个漏洞的应对,从发现到解决绝非一蹴而就。在6月3日,安恒研究院对Struts2 S2-033漏洞分析发现:最新高危漏洞官方修复方案无效。漏洞发生后,安恒信息通过第一时间对Apache发布Struts2 S2-033远程代码执行漏洞的修复方案经过安恒研究院研究人员的测试,确认该修复方案并不完整,依然会导致恶意攻击者对Struts2应用发起远程代码执行攻击发现此次Struts2漏洞修复方案无效的就是安恒研究院技术高手“Nike.zheng”,此前4月份,就是他就曾向Apache官方提交了Struts2高危安全漏洞(CVE-2016-3081,S02-32
    来自:
    浏览:622
  • Struts2的下载和安装

    Struts2的下载  使用Struts2框架,进行Web开发,或者运行Struts2的程序,必须,先下载并安装好Struts2   从Struts2的官网中进行下载  http:struts.apache.org单击Download按钮,进入Struts2的下载页面?  的示例应用、空示例应用、核心库、源代码和文档等Example Applications  仅下载Struts2的示例应用   这些,示例应用对于学习Struts2有很多的帮助,下载Struts2的完整版时  仅下载Struts2的相关文档   包含Struts2的使用文档、参考手册和API文档等,下载Struts2的完整版时,已经包含该选项下的全部内容Source  下载Struts2的全部源代码   的版本库中,进行下载    https:archive.apache.orgdiststrutsStruts2安装  Struts2安装非常简单   将Struts2目录中的lib文件夹打开,得到Struts2
    来自:
    浏览:416
  • Struts2升级版本至2.5.10,高危漏洞又来了

    2017年3月6日,Apache Struts2被曝存在远程命令执行漏洞,漏洞编号:S2-045,CVE编号:CVE-2017-5638,官方评级为高危,该漏洞是由于在使用基于Jakarta插件的文件上传功能条件下Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在漏洞,请升级到struts 2.3.32或2.5.10.1版本(哔了狗了狗了,公司还在用struts2升级说明一、找不到类java.lang.ClassNotFoundException: org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilterstruts2 org.apache.struts2.dispatcher.filter.StrutsPrepareAndExecuteFilter 二、配置好了居然找不到Action是不是有点怀疑人生了,赶紧去http:struts.apache.org struts2的官网扒拉扒拉。
    来自:
    浏览:709
  • Struts2 REST 插件 XStream 远程代码执行漏洞 S2-052(CVE-2017-9805)

    漏洞信息:2017年9月5日,Apache Struts 发布最新安全公告。Apache Struts2 的 REST 插件存在远程代码执行的高危漏洞,当启用 Struts REST 的 XStream handler 去反序列化处理一个没有经过任何类型过滤的 XStream影响版本Apache Struts Version:2.3.33Apache Struts Version:Struts 2.5 – Struts 2.5.12 漏 洞 验 证 验证环境:Apache从struts2的官网下载最后受影响的版本struts-2.5.12,地址:http:archive.apache.orgdiststruts2.5.12struts-2.5.12-apps.zip 下载完成之后
    来自:
    浏览:658
  • 现代版荆轲刺秦王:Struts2 REST插件漏洞分析

    1、安全过滤:Struts2 REST插件没有对传入的数据进行安全检查,导致恶意数据可以直接传入到XStream里。0x02 模拟攻击S2-052、056都提到:漏洞发生于Apache Struts2的REST插件,当使用XStream组件对XML格式的数据包进行反序列化操作,且未对数据内容进行有效验证时,攻击者可通过提交恶意b、在org.apache.struts2.rest.ContentTypeInterceptor上发现关键代码:ContentTypeHandler handler = selector.getHandlerForRequest0x04 防护建议1、受影响版本Struts 2.1.1 – Struts 2.5.14.12、修复建议Apache Struts官方已发布2.5.16新版本框架,并在此版本中针对该漏洞进行了安全防护。建议使用了Apache Struts2 REST插件的用户排查自有框架是否受该漏洞影响,及时升级框架,并替换XML解析器为Jackson XML处理类JacksonXmlHandler。P.S.
    来自:
    浏览:190
  • struts2架构网站漏洞修复详情与利用漏洞修复方案

    struts2从开发出来到现在,很多互联网企业,公司,平台都在使用apache struts2系统来开发网站,以及应用系统,这几年来因为使用较多,被攻击者挖掘出来的struts2漏洞也越来越,从最一开始S2-001到现在的最新的s2-057漏洞,本文着重的给大家介绍一下struts2漏洞的利用详情以及漏洞修复办法。?先从1开始吧,S2-001影响的版本是Struts 2.0.0 - Struts 2.0.8版本,最早开始的版本漏洞太低级,当时的apache官方并没有设置安全机制,导致在提交参数的时候紧接的执行了递归化查询数据关于该漏洞的修复是需要将apache系统参数值denyMethodExecution设置为关闭,然后将参数的拦截过滤系统进行了升级,更为严格的一个正则表达式过滤。以上是S2-001到S2-015漏洞的产生原因,以及漏洞修复的办法介绍,因为文章字数限制,其他版本的struts2漏洞将会在下一篇文章中给大家讲解。
    来自:
    浏览:406
  • 第一个Struts2实例之hello world!

    Struts官网: http:struts.apache.org Struts2框架预先实现了一些功能    1:请求数据自动封装    2:文件上传的功能    3:对国际化功能的简化    4:数据校验的功能配置action     --->srcstruts.xml 下面详细介绍一下第一个struts2的开发流程:1. 创建动态web项目,引入struts - jar包(这里引入8个jar包,如下所示。index.htm 7 index.jsp 8 default.html 9 default.htm10 default.jsp11 12 13 14 15 16 17 18 19 struts220 21 org.apache.struts2org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter?双击点开之后,复制此句即可。? 3.struts2); return SUCCESS; } } 4.
    来自:
    浏览:644

扫码关注云+社区

领取腾讯云代金券