溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
Apache Struts2遠程代碼執行漏洞實例分析,相信很多沒有經驗的人對此束手無策,為此本文總結了問題出現的原因和解決方法,通過這篇文章希望你能解決這個問題。
2020年08月13日, 360CERT監測發現Apache官方發布了Struts2遠程代碼執行漏洞的風險通告,該漏洞編號為CVE-2019-0230,漏洞等級:高危,漏洞評分:8.5 。
攻擊者可以通過構造惡意的OGNL表達式,并將其設置到可被外部輸入進行修改,且會執行OGNL表達式的Struts2標簽的屬性值,引發OGNL表達式解析,最終造成遠程代碼執行的影響。
對此,360CERT建議廣大用戶及時將Apache Struts2進行升級完成漏洞修復。與此同時,請做好資產自查以及預防工作,以免遭受黑客攻擊。
360CERT對該漏洞的評定結果如下
| 評定方式 | 等級 |
|---|---|
| 威脅等級 | 高危 |
| 影響面 | 廣泛 |
| 360CERT評分 | 8.5 |
Apache Struts 2是一個用于開發Java EE網絡應用程序的開放源代碼網頁應用程序架構。它利用并延伸了Java Servlet API,鼓勵開發者采用MVC架構。
該漏洞有三個限制條件:
Struts2標簽的屬性值可執行OGNL表達式
Struts2標簽的屬性值可被外部輸入修改
Struts2標簽的屬性值未經安全驗證
僅當以上三個條件都滿足時,攻擊者可以通過構造惡意的OGNL表達式,造成遠程命令執行的影響。
Apache Struts2:2.0.0-2.5.20
升級到Struts 2.5.22或更高版本。
或者開啟ONGL表達式注入保護措施
看完上述內容,你們掌握Apache Struts2遠程代碼執行漏洞實例分析的方法了嗎?如果還想學到更多技能或想了解更多相關內容,歡迎關注億速云行業資訊頻道,感謝各位的閱讀!
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
