Categories


Tags


Struts2漏洞预警

Struts2 devMode导致远程代码执行漏洞

什么是devMode?

所谓的devMode模式,看名称也知道,是为Struts2开发人员调试程序准备的,在此模式下可以方便地查看日志等信息。默认情况下,devMode模式是关闭的。不过实际上仍然有很多网站上线的时候就赤裸裸地采用devMode模式,自然面临更大的安全问题,需要尽快修复。

影响范围:

当Struts开启devMode时,该漏洞将影响Struts 2.1.0–2.5.1,通杀Struts2所有版本。

修复方案:

关闭devMode:在struts.xml 设置

<constant name="struts.devMode" value="false" />

Struts2相关漏洞说明:

===========================================================================================

[+]11 S2-046  CVE-2017-5638   可执行CMD命令

[+]10 S2-045  CVE-2017-5638   可执行CMD命令

[+]9 devMode CVE-xxxx-xxxx   可GetShell/获取物理路径/执行CMD命令

[+]8 S2-037  CVE-2016-4438   可GetShell/获取物理路径/执行CMD命令

[+]7 S2-032  CVE-2016-3081   可GetShell/获取物理路径/执行CMD命令

[+]6 S2-020  CVE-2014-0094   可GetShell

[+]5 S2-019  CVE-2013-4316   可GetShell/获取物理路径/执行CMD命令

[+]4 S2-016  CVE-2013-2251   可GetShell/获取物理路径/执行CMD命令

[+]3 S2-013  CVE-2013-1966   可GetShell/获取物理路径/执行CMD命令

[+]2 S2-009  CVE-2011-3923   可GetShell/获取物理路径/执行CMD命令

[+]1 S2-005  CVE-2010-1870   可GetShell/获取物理路径/执行CMD命令/列文件目录

===========================================================================================

解决办法:

将struts2的jar包更新到最新版,请根据自己所使用的版本进行升级

http://mirrors.hust.edu.cn/apache/struts/

另外最重要的一点,如果您是自主部署的java环境,请务必不要使用root或者管理员账号来运行java应用!!

来源:西部数码


Public @ 2019-03-12 15:44:42

在HTML文件引入其它HTML文件的几种方法

在论坛中常常有网友问到,可以在一个html的文件当中读取另一个html文件的内容吗?答案是确定的,而且方法不只一种,在以前我只会使用iframe来引用,后来发现了另外的几种方法,那今天就总结这几种方法让大家参考一下。1.IFrame引入,看看下面的代码--------------------------------------------------------------------------

Public @ 2011-11-17 16:14:35

网页设计师必备的十一个SEO技巧

现在的网页设计师不仅设计网页的外观和风格。他们也常常负责主要前端代码的编写。换句话说,SEO(搜索引擎优化)的相当一部分责任落在设计师的肩上。然而大量网页设计师对这个领域的熟悉程度仍不足以让他们写出一个对搜索引擎充分优化的网页。本文旨在为普通,甚至部分高级网页设计师提高SEO技巧提供一些重要的窍门。1. 让代码比设计更美搭建网页前端的时候,使用有语义的代码。用描述性的标签组织页面结构,可以提高内容

Public @ 2018-06-29 15:26:35

CMS模板开发应该注意什么?

建议尽量自己开发模板,或者外包开发模板,在网站上线初期模板不需要多么华丽,实用,复合SEO规范即可。下面是我们总结了一些模板开发需要注意的事项,供大家参考。1.CSS样式,javaScript 代码外置在页面源代码中尽量不要出现CSS样式,JavaScript代码。因为出现会影响搜索引擎抓取的速度和数量。百度搜索引擎不会抓取 JavaScript代码。·  Css样式表外置到Css文件夹

Public @ 2018-05-14 15:44:49

更多您感兴趣的搜索

0.454927s