Categories


Tags


Struts2漏洞预警

Struts2 devMode导致远程代码执行漏洞

什么是devMode?

所谓的devMode模式,看名称也知道,是为Struts2开发人员调试程序准备的,在此模式下可以方便地查看日志等信息。默认情况下,devMode模式是关闭的。不过实际上仍然有很多网站上线的时候就赤裸裸地采用devMode模式,自然面临更大的安全问题,需要尽快修复。

影响范围:

当Struts开启devMode时,该漏洞将影响Struts 2.1.0–2.5.1,通杀Struts2所有版本。

修复方案:

关闭devMode:在struts.xml 设置

<constant name="struts.devMode" value="false" />

Struts2相关漏洞说明:

===========================================================================================

[+]11 S2-046  CVE-2017-5638   可执行CMD命令

[+]10 S2-045  CVE-2017-5638   可执行CMD命令

[+]9 devMode CVE-xxxx-xxxx   可GetShell/获取物理路径/执行CMD命令

[+]8 S2-037  CVE-2016-4438   可GetShell/获取物理路径/执行CMD命令

[+]7 S2-032  CVE-2016-3081   可GetShell/获取物理路径/执行CMD命令

[+]6 S2-020  CVE-2014-0094   可GetShell

[+]5 S2-019  CVE-2013-4316   可GetShell/获取物理路径/执行CMD命令

[+]4 S2-016  CVE-2013-2251   可GetShell/获取物理路径/执行CMD命令

[+]3 S2-013  CVE-2013-1966   可GetShell/获取物理路径/执行CMD命令

[+]2 S2-009  CVE-2011-3923   可GetShell/获取物理路径/执行CMD命令

[+]1 S2-005  CVE-2010-1870   可GetShell/获取物理路径/执行CMD命令/列文件目录

===========================================================================================

解决办法:

将struts2的jar包更新到最新版,请根据自己所使用的版本进行升级

http://mirrors.hust.edu.cn/apache/struts/

另外最重要的一点,如果您是自主部署的java环境,请务必不要使用root或者管理员账号来运行java应用!!

来源:西部数码


Public @ 2019-03-12 15:44:42

域名续费及赎回说明

请仔细阅读西部数码业务续费通知规则,建议绑定微信接收续费通知,以避免因忘记续费带来的损失。一.域名续费说明当您注册了域名后,您可以在注册使用期内使用该域名,使用期为 1 -10年不等。如您希望继续使用域名,则需要在该域名注册到期前续费。如果域名到期前未续费,则可能失去该域名。域名续费可在管理中心直接操作。二.域名续费宽限期我司续费宽限期为0-30天不等,不同后缀的续费宽限期不同,用户应该在域名到期

Public @ 2022-11-23 15:59:53

站长常见HTTP状态码及解决方案

1. 200 OK:表示请求成功。 解决方法:无需特殊处理。 2. 201 Created:表示请求已被成功处理,并创建了新的资源。 解决方法:无需特殊处理。 3. 204 No Content:表示请求已被成功处理,但没有返回任何内容。 解决方法:无需特殊处理。 4. 400 Bad Request:表示请求无效或不符合规范。 解决方法:检查请求参数是否正确,确保请求格式正确。

Public @ 2023-04-22 08:50:11

SEOER新手需要学习编程吗?如何选择合适的CMS系统

作为一名SEOER新手,编程不是必须的,但有一定的编程基础会对SEO工作有帮助。编程技能可以帮助您更好地理解网站结构和代码,理解搜索引擎爬虫如何获取和分析网站内容,以及如何优化网站代码和内容以提高搜索引擎排名。 当选择CMS系统时,需要考虑以下几点: 1. 功能和特性:不同的CMS系统具有不同的功能和特性,需要根据自己的需求选择系统。例如,如果您需要一个电子商务网站,则需要选择具有完整电子商务

Public @ 2023-06-03 21:00:21

杰奇CMS如何实现百度友好度

杰奇CMS实现百度友好度主要有以下几个方面: 1. 响应式布局:杰奇CMS可以根据不同的设备大小和分辨率自动调整页面布局,确保网站在不同设备上都能够正常显示。 2. 网站结构优化:杰奇CMS通过优化网站结构、清晰的标签语义化等方式,提高网站的可读性和可访问性,从而为搜索引擎爬虫提供良好的索引环境。 3. 关键词优化:杰奇CMS支持在后台管理页面中对网站的关键词进行设置和调整,同时提供关键词密

Public @ 2023-05-30 14:00:28

更多您感兴趣的搜索

0.404872s