关于struts2中出现的漏洞,如何测试解决

Posted 文刀水告

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了关于struts2中出现的漏洞,如何测试解决相关的知识,希望对你有一定的参考价值。

如果你也正在使用Struts2作为web层框架做开发或者做公司的送检产品,然后被告知有各种各样的Struts2漏洞,那本篇博客值得你花时间来喽上一两眼。

     前端时间抽空为公司做了新一代的送检产品,为了方便,直接选择了手头之前搭好的一个使用Struts2的项目进行开发,开始并没有意识到我正在使用的这个Struts2版本也是有漏洞的,后来检查完之后才被告知有s2-045和s2-046漏洞以及devMode模式(会导致严重远程代码执行漏洞)未关闭。由此就需要进行修改,经过一番学习,了解到我所用的版本依然是存在漏洞的,于是从网上找了最新的Struts2漏洞检测工具以及官网2.3.32版本的jar包进行了替换,之后进行了简单的调试,然后再进行送检最后才通过。

    以下是各类漏洞的详细影响信息:

  ==漏洞编号==============影响版本=========================官方公告==========================================影响范围=====
  S2-045 CVE-2017-5638 Struts 2.3.5-2.3.31, Struts 2.5-2.5.10 http://struts.apache.org/docs/s2-045.html 影响范围较大
  S2-037 CVE-2016-4438 Struts 2.3.20-2.3.28.1 http://struts.apache.org/docs/s2-037.html 影响范围小
  S2-032 CVE-2016-3081 Struts 2.3.18-2.3.28 http://struts.apache.org/release/2.3.x/docs/s2-032.html 影响范围小
  S2-020 CVE-2014-0094 Struts 2.0.0-2.3.16 http://struts.apache.org/release/2.3.x/docs/s2-020.html 影响范围小
  S2-019 CVE-2013-4316 Struts 2.0.0-2.3.15.1 http://struts.apache.org/release/2.3.x/docs/s2-019.html 影响范围一般
  S2-016 CVE-2013-2251 Struts 2.0.0-2.3.15 http://struts.apache.org/release/2.3.x/docs/s2-016.html 影响范围非常大
  S2-013 CVE-2013-1966 Struts 2.0.0-2.3.14 http://struts.apache.org/release/2.3.x/docs/s2-013.html 未添加,S2-016范围内
  S2-009 CVE-2011-3923 Struts 2.0.0-2.3.1.1 http://struts.apache.org/release/2.3.x/docs/s2-009.html 未添加,S2-016范围内
  S2-005 CVE-2010-1870 Struts 2.0.0-2.1.8.1 http://struts.apache.org/release/2.2.x/docs/s2-005.html 未添加,S2-016范围内

    然后分享一下本次用的漏洞检测工具:链接:http://pan.baidu.com/s/1qXMYeyK 密码:ckt9

                                2.3.32版本的jar包:链接:http://pan.baidu.com/s/1kUVVHHH 密码:jot0

    通过升级jar包,可以避免s2-045和s2-046漏洞,如果是maven项目直接修改pom文件即可(前提是仓库中要有该版本)。

    devMode模式的关闭方式是需要在struts.xml 设置

1
<constant name="struts.devMode" value="false" />

 然后通过项目访问 /struts/webconsole.html,如果是404那么则表示该模式已经关闭。

   另外,如果使用的Tomcat作为服务器软件,那么webapps下面的example文件夹和docs文件夹都应该删除,example应用可向网站写入有效session,黑客可用于绕过网站验证机制直接登录后台,把Tomcat的默认示例文件、帮助文件、后台管理界面等进行删除,可以有效避免Tomcat应用信息泄露。

   可能近年来Struts2框架已经不那么受欢迎了,所以前web层框架也可以考虑使用SpringMVC用起来也是比较舒爽。 










以上是关于关于struts2中出现的漏洞,如何测试解决的主要内容,如果未能解决你的问题,请参考以下文章

漏洞预警Struts2又双叒叕出现严重漏洞(S2-053)

最新漏洞预警 | Struts2(S2-053) 远程代码执行!

CNNVD关于Apache Struts2(S2-052)漏洞情况的通报

Struts2 新漏洞(S2-052)出现利用实例,面对漏洞企业应当分秒必争

重磅 | 安恒安全研究院院长深度解密 Struts2 S2-045漏洞

预警|Struts2 REST插件存在远程代码执行漏洞(CVE-2017-9805)