struts漏洞修补
来源:互联网 发布:软件测试工程师考题 编辑:程序博客网 时间:2024/04/29 01:41
一、struts漏洞描述
Struts存在一个远程命令执行漏洞和一个开放重定向漏洞(编号:CNVD-2013-28972,对应CVE-2013-2251;
CNVD-2013-28979,对应CVE-2013-2248)。利用漏洞,可发起远程攻击,轻则窃取网站数据信息,严重的可取得网站服务器控制权,构成信息泄露和运行安全威胁。
二、修补方法
官方建议立即升级到2.3.15.1,具体步骤是
1、升级到struts2.3.15.1(下载地址:http://struts.apache.org/download.cgi#struts23151)
需要导入的包有:
asm-3.3.jar
asm-commons-3.3.jar
asm-tree-3.3.jar
commons-fileupload-1.2.2.jar
commons-io-2.0.1.jar
commons-lang3-3.1.jar
freemarker-2.3.19.jar
javaassist-3.11.0.GA.jar
ognl-3.0.6.jar
struts2-json-plugin-2.3.15.1.jar 替换
struts2-core-2.3.15.1.jar 替换
xwork-core-2.3.15.1.jar 替换
注:在导入这些包后系统正常启动,测试代码后台会报 -
java.lang.NoClassDefFoundError: org/apache/commons/lang/xwork/StringUtils异常,这是因为原有的 struts2-json-plugins的jar包的某个类import的是org.apache.commons.lang.xwork这个包。将原有struts2-json-plugins删除
2、修改web.xml解决后台告警问题
需要修改web.xml文件。
去除对org.apache.struts2.dispatcher.FilterDispatcher的引用,改为下面的样子:
<filter-name>struts2</filter-name>
<filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
3、自己建立xwork-2.0.dtd文件,解决运行时错误。
如果运行时,还发生如下错误的话,
就需要,建立自己的xwork-2.0.dtd文件。原因是 http://www.opensymphony.com/xwork 这个路径不存在了。
一个解决办法是,在服务器上配置一个HTTP服务器,例如IIS或者Apache,然后建立xwork目录和xwork-2.0.dtd文件,然后,修改本机的hosts文件,加入一条DNS记录,把www.opensymphony.com指向本机IP。
做完这几步,就OK了。可以试试服务是否能够正常运行了。
参考资料:
http://www.69dns.com/ViewNews.asp?file=10006024.html
http://www.2cto.com/Article/201307/231031.html
- struts漏洞修补
- struts漏洞修补过程之S2-016
- Struts漏洞修补过程之S2-016
- eweb上传漏洞修补
- 后台登陆漏洞修补
- 'or'='or'漏洞修补,及上传漏洞修补
- mysql udf.dll(UDF)漏洞修补
- 如何在php中修补XSS漏洞
- Dede系统oday漏洞临时修补方法
- 如何在php中修补XSS漏洞
- Web编程常见漏洞检测与修补
- Linux Glibc幽灵漏洞紧急修补方案
- Linux Glibc幽灵漏洞紧急修补方案
- XSS漏洞修补及预防--使用过滤器
- 网站XSS漏洞攻击如何修补
- struts漏洞
- 如何挖掘CSRF漏洞、CSRF漏洞修补建议
- 关于Oblog 2.52 help.asp漏洞的修补问题
- java通讯录
- yii中如何显示静态页面
- [译] THREE.JS入门教程-3.着色器-下
- IE对于overflow:hidden;及其它CSS属性不兼容问题
- Drupal 安装时请关注Install
- struts漏洞修补
- Windows8/wp8 自定义 Metro风格 Menu组件
- 很不错的时代创业法则-传统企业玩转互联网的19条法则
- 查询数据库表大小
- 国内从事CV相关的企业
- [译] THREE.JS入门教程-4.创建粒子系统
- AJAX使用 以及 AJAX核心:XMLHttpRequest对象
- CSDN博客 写点什么呐给大家分享下
- Hbase 性能优化