Struts2是apache項目下的一個web 框架,普遍套用於阿里巴巴、京東等網際網路、政府、企業入口網站。
基本介紹
- 軟體名稱:struts2安全漏洞
- 開發商:apache
- 所屬項目:apache
- 所屬類型:web 框架
- 套用範圍:各類入口網站
背景,內容,造成的影響:,應對措施:,
背景
Struts2是apache項目下的一個web 框架,普遍套用於阿里巴巴、京東等網際網路、政府、企業入口網站。
內容
在2013年6月底發布的Struts 2.3.15版本被曝出存在重要的安全漏洞,主要問題如下:
- 可遠程執行伺服器腳本代碼
用戶可以構造http://host/struts2-blank/example/X.action?action:%25{(new+java.lang.ProcessBuilder(new+java.lang.String[]{'command','goes','here'})).start()}連結,command goes here可以換成是破壞腳本的路徑和參數,比如fdisk -f等,造成破環系統無法運行的目的。 - 重定向漏洞
用戶可以構造如知名網站淘寶的重定向連線,形如<a href="http://www.淘寶.com/wiki00001.html?redirect:http://黑客/getyourPassword">打折新款</a>,引導用戶點擊後進入釣魚網站,在界面上讓其進行登入用以獲取用戶的密碼。
造成的影響:
蘋果、中國移動、中國聯通、百度、騰訊、淘寶、京東、Sohu、民生銀行等大型企業的網站均遭毒手,運維工程師苦不堪言。
應對措施:
Apache團隊緊急發布了Struts 2.3.15.1安全更新版本,可升級到此版本來解決上述問題。
