Apache Struts2远程代码执行漏洞实例分析
发表于:2024-10-06 作者:千家信息网编辑
千家信息网最后更新 2024年10月06日,Apache Struts2远程代码执行漏洞实例分析,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。0x01 漏洞简述2020年08月13
千家信息网最后更新 2024年10月06日Apache Struts2远程代码执行漏洞实例分析
Apache Struts2远程代码执行漏洞实例分析,相信很多没有经验的人对此束手无策,为此本文总结了问题出现的原因和解决方法,通过这篇文章希望你能解决这个问题。
0x01 漏洞简述
2020年08月13日, 360CERT监测发现Apache官方
发布了Struts2远程代码执行漏洞
的风险通告,该漏洞编号为CVE-2019-0230
,漏洞等级:高危
,漏洞评分:8.5
。
攻击者
可以通过构造恶意的OGNL表达式
,并将其设置到可被外部输入进行修改,且会执行OGNL
表达式的Struts2
标签的属性值,引发OGNL表达式
解析,最终造成远程代码执行
的影响。
对此,360CERT建议广大用户及时将Apache Struts2
进行升级完成漏洞修复。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。
0x02 风险等级
360CERT对该漏洞的评定结果如下
评定方式 | 等级 |
---|---|
威胁等级 | 高危 |
影响面 | 广泛 |
360CERT评分 | 8.5 |
0x03 漏洞详情
Apache Struts 2是一个用于开发Java EE网络应用程序的开放源代码网页应用程序架构。它利用并延伸了Java Servlet API,鼓励开发者采用MVC架构。
该漏洞有三个限制条件:
Struts2
标签的属性值可执行OGNL
表达式Struts2
标签的属性值可被外部输入修改Struts2
标签的属性值未经安全验证
仅当以上三个条件都满足时,攻击者可以通过构造恶意的OGNL
表达式,造成远程命令执行的影响。
0x04 影响版本
Apache Struts2:2.0.0-2.5.20
0x05 修复建议
通用修补建议:
升级到Struts 2.5.22或更高版本。
或者开启ONGL表达式注入保护措施
看完上述内容,你们掌握Apache Struts2远程代码执行漏洞实例分析的方法了吗?如果还想学到更多技能或想了解更多相关内容,欢迎关注行业资讯频道,感谢各位的阅读!
漏洞
表达式
代码
属性
标签
等级
影响
建议
攻击
实例
实例分析
分析
三个
内容
可以通过
对此
应用程序
恶意
攻击者
方法
数据库的安全要保护哪些东西
数据库安全各自的含义是什么
生产安全数据库录入
数据库的安全性及管理
数据库安全策略包含哪些
海淀数据库安全审计系统
建立农村房屋安全信息数据库
易用的数据库客户端支持安全管理
连接数据库失败ssl安全错误
数据库的锁怎样保障安全
接口查询数据库
期货公司的服务器一般在哪里
mssql 数据库瘦身
电脑服务器ip从哪儿看到
区域网无法解析服务器的dns
网站服务器参数
java我的世界1.18.1服务器地址
软件开发人员怎么写规划
大华服务器管理员用户名
农行软件开发中心笔试内容
哪种不属于网络安全
悦跑圈服务器崩溃
线上餐饮店的总数据库
数据库修改课程表中的数据
小学网络安全学生培训讲稿
广州erp软件开发怎么收费
网络技术大会
云南管理软件开发价格
oracle数据库提权
包头app与软件开发
网站服务器参数
html 查询数据库语音并播放
亚盘回查数据库
荆门软件开发项目管理
铜仁网络安全
db2数据库执行sql
河南软件开发有用吗
戴尔服务器bios进不去
服务器集中化管理
电脑声音音频服务器未响应