Categories


Tags


Struts2漏洞预警

Struts2 devMode导致远程代码执行漏洞

什么是devMode?

所谓的devMode模式,看名称也知道,是为Struts2开发人员调试程序准备的,在此模式下可以方便地查看日志等信息。默认情况下,devMode模式是关闭的。不过实际上仍然有很多网站上线的时候就赤裸裸地采用devMode模式,自然面临更大的安全问题,需要尽快修复。

影响范围:

当Struts开启devMode时,该漏洞将影响Struts 2.1.0–2.5.1,通杀Struts2所有版本。

修复方案:

关闭devMode:在struts.xml 设置

<constant name="struts.devMode" value="false" />

Struts2相关漏洞说明:

===========================================================================================

[+]11 S2-046  CVE-2017-5638   可执行CMD命令

[+]10 S2-045  CVE-2017-5638   可执行CMD命令

[+]9 devMode CVE-xxxx-xxxx   可GetShell/获取物理路径/执行CMD命令

[+]8 S2-037  CVE-2016-4438   可GetShell/获取物理路径/执行CMD命令

[+]7 S2-032  CVE-2016-3081   可GetShell/获取物理路径/执行CMD命令

[+]6 S2-020  CVE-2014-0094   可GetShell

[+]5 S2-019  CVE-2013-4316   可GetShell/获取物理路径/执行CMD命令

[+]4 S2-016  CVE-2013-2251   可GetShell/获取物理路径/执行CMD命令

[+]3 S2-013  CVE-2013-1966   可GetShell/获取物理路径/执行CMD命令

[+]2 S2-009  CVE-2011-3923   可GetShell/获取物理路径/执行CMD命令

[+]1 S2-005  CVE-2010-1870   可GetShell/获取物理路径/执行CMD命令/列文件目录

===========================================================================================

解决办法:

将struts2的jar包更新到最新版,请根据自己所使用的版本进行升级

http://mirrors.hust.edu.cn/apache/struts/

另外最重要的一点,如果您是自主部署的java环境,请务必不要使用root或者管理员账号来运行java应用!!

来源:西部数码


Public @ 2019-03-12 15:44:42

.cn国内域名实名认证和注册审核答疑

为什么国内域名需要提交资料?根据cnnic要求,国内域名需要提交实名认证资料审核;国内域名域名在注册成功后,会进入5天的注册信息审核期,审核期内可添加解析设置,实名审核中解析可能暂不会生效,需要尽快提交实名资料完成审核。5天后未通过实名审核的,会被cnnic将域名设置为serverhold状态,无法解析。资料重新提交正确,第二天解除serverhold(解锁),待实名审核通过后,次日恢复ok状态。

Public @ 2009-10-17 15:59:51

从六间房看域名选择和推广

六间房是一个直播视频服务商,属于互联网娱乐公司。在六间房,用户体验一种独特的视频互动,可以与在线好友聊天、查看直播,以及调用直播功能。要在六间房实现业务推广,首先要选择适合六间房业务的域名。 一般情况下,选择域名在于域名的简短性、易于记忆。因此,首先要尽量缩短域名,如6room.com。同时,要使用易于记忆的域名,例如6rooming.com,6roomers.com等。此外,必须选择可以明

Public @ 2023-02-26 21:54:41

CMS模板开发应该注意什么?

1.明确页面的分类和结构:在CMS模板开发时,一定要先搞清楚页面的结构和分类,这是模板开发的第一步,它能帮助我们设计出有条理及完整的模板; 2.把握好可定制性:CMS模板开发要尽可能考虑用户对模板的定制要求,使得CMS模板更加灵活丰富多彩,并且可以满足用户不同的审美和使用喜好,还要保障模板的可调整性; 3.统一样式:要在整个模板的开发过程中保持统一的样式,确保用户在浏览各个页面时体验不受影

Public @ 2023-03-02 00:48:28

CMS模板开发应该注意什么?

建议尽量自己开发模板,或者外包开发模板,在网站上线初期模板不需要多么华丽,实用,复合SEO规范即可。下面是我们总结了一些模板开发需要注意的事项,供大家参考。1.CSS样式,javaScript 代码外置在页面源代码中尽量不要出现CSS样式,JavaScript代码。因为出现会影响搜索引擎抓取的速度和数量。百度搜索引擎不会抓取 JavaScript代码。·  Css样式表外置到Css文件夹

Public @ 2018-05-14 15:44:49

更多您感兴趣的搜索

0.593614s