首页|上海|陕西|四川|广东|浙江|辽宁|湖北|湖南|江西|河北|河南|福建|区域

快改密码!Struts2漏洞引爆网站“泄密门”

公司快讯 来源:中国经营网 2013-07-22 13:45:54 阅读: 评论:0

日前,Apache Struts2发布漏洞公告,称其Struts2 Web应用框架存在一个可以远程执行任意命令的高危漏洞。利用该漏洞,黑客可轻易攻陷网站服务器,获取网站注册用户的帐号密码和个人资料,而Struts2框架正广泛应用在国内大量知名网站上,包括各大门户、电商、银行等官网也受其影响。360互联网安全中心为此发出红色警报,呼吁相关网站尽快更新Struts2漏洞补丁,或开启360网站卫士防范攻击。

360安全专家石晓虹博士介绍,由于Struts2属于底层框架,其漏洞影响范围广、利用难度低,“菜鸟”也可以使用攻击工具直接控制网站服务器,盗取用户数据库,甚至导致2011年底多家网站“密码库”泄露事件再次上演。

目前,网络上已开始一些自动化、傻瓜化的Stuts2漏洞攻击软件,只要在软件中填写存在Struts2漏洞的网站地址,即可直接执行服务器命令,读取网站数据或让服务器关机等操作。而不幸的是,国内大批网站均存在该漏洞,甚至连Stuts2之前的老漏洞尚未修复,从而将网站注册用户信息赤裸裸地暴露在黑客攻击枪口面前。

石晓虹博士建议,广大网站应尽快自查漏洞、安装Apache官网补丁程序,也可使用360网站卫士防范漏洞攻击。对普通网民来说,近期最好更换一下常用网络帐号的密码,重要帐号密码应单独设置,以免网站密码库泄露危及自身帐号安全。

附:Struts2高危漏洞分析

此漏洞影响Struts2.0-Struts2.3所有版本,可直接导致服务器被黑客远程控制,从而引起数据泄露。漏洞根源在于,DefaultActionMapper类支持以"action:""redirect:""redirectAction:"作为导航或是重定向前缀,但是这些前缀后面同时可以跟OGNL表达式,由于struts2没有对这些前缀做过滤,导致利用OGNL表达式调用java静态方法执行任意系统命令。

这里以“redirect:”前缀举例,struts2会将“redirect:”前缀后面的内容设置到redirect.location当中,如图所示:


key.substring(REDIRECT_PREFIX.length())便是前缀后面的内容也就是OGNL表达式,struts2会调用setLocation方法将他设置到redirect.location中。然后这里调用mapping.setResult(redirect)redirect对象设置到mapping对象中的result里,如图所示:


然而上面的过程只是传递OGNL表达式,真正执行是在后面,这里是在FilterDispatcher类中的dispatcher.serviceAction()方法,


这里跟入方法最终会在TextParseUtil这个类的调用stack.findValue()方法执行OGNL


 

分享到:
如本网所刊载稿件、图片涉及版权问题,请版权人来电、来函与本网联系。联系电话:010-88890166
标签 360
深度阅读

民营银行开闸

中央政府今年多次强调金融支持实体经济的发展,统筹推动稳增...

农业改造

在人类几千年来的农业文明史上,生产者每一次对先进技术的掌...

内幕调查

灌水猪利益链调查:日利润四千致猪贩铤而走险

在昌平北七家镇燕丹养殖小区内,有一个从事灌水猪生意的地方...

“水货”汽车夹缝中求生 上牌难题不敌低价诱惑

越来越多汽车“水货”正进入中国市场。在天津港保税区有一批...

人物

潘卫东:艰难时候须管好现金流

自2012年5月份以来,石药集团主营业务调...

传搜狐视频将做架构调整 张朝阳代理CEO

今日,有消息称搜狐视频正在对目前的架构...

解码创业

开家冰淇淋店 体验“保姆式”加盟

由本报中国经营者俱乐部组织的“发现中国好项目”游学考察活...

雕爷二次创业,以互联网玩法卖牛腩

在淘宝平台上已做到化妆品第一的阿芙精油的创始人雕爷却杀入...

先锋话题

法老的基因

2012年6月,大学教授穆尔西成为埃及历史上第一位民选总统,世...

从美丽岛到民进党

与国民党对立的政治力量何时成型为一个新政党,是1949年之后...

观点

许一力:美国政府为何不救底特律?

终归来说,美国的政府破产不能以常态来看...

叶檀:出口企业请准备三块救生板

外贸出口下降,是传统方式转型、新型外贸...

本网站全部内容版权归中国经营网所有,并经中国经营报社独家授权。
Copyright© 1985-2012 China Business Media Corporation Limited, All Rights Reserved
ICP备案号:京ICP备030098号 | 公安备案编号:1101085109 |