關於Apache Struts2
Struts2是一個基於MVC設計模式的Web應用框架,它本質上至關於一個servlet,在MVC設計模式中,Struts2做爲控制器(Controller)來創建模型與視圖的數據交互。Struts 2是Struts的下一代產品,是在 Struts 1和WebWork的技術基礎上進行了合併的全新的Struts 2框架。目前已經不是主流的Web技術,還存留在一些老舊系統中web
漏洞等級
高express
漏洞分析
若是攻擊者能夠設置Struts 2標籤的屬性值爲惡意的OGNL表達式,則可能形成RCE
apache
影響範圍
Struts 2.0.0~2.5.20json
修復建議
開啓ONGL表達式注入保護措施 (https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable)設計模式
升級到2.5.22及以上版本api
總結
在安全漏洞這塊兒Struts2和fastjson惺惺相惜(難兄難弟),一是容易出問題,二是出問題影響大,動不動就是RCE,三是牽連的業務難修復。筆者建議企業按照本身的實際狀況制定計劃,逐步替換,加快淘汰還在使用struts2系統。安全
參考
【漏洞預警】Apache Struts遠程代碼執行漏洞(S2-05九、CVE-2019-0230)微信
https://cwiki.apache.org/confluence/display/WW/S2-059app
https://struts.apache.org/security/#proactively-protect-from-ognl-expression-injections-attacks-if-easily-applicable框架
https://cert.360.cn/warning/detail?id=d2b39f48fd31f3b36cc957f23d4777af
https://stackoverflow.com/questions/6134411/jstl-escaping-special-characters/6135001#6135001
關注咱們
本文分享自微信公衆號 - 這裏是河馬(gh_d110440c4890)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。