Struts 2.3.1.1 命令执行漏洞
2024-08-30 12:16:41
漏洞版本:
Struts 2.3.1.1
漏洞描述:
CVE ID:CVE-2011-3923 Struts2的核心使用的是WebWork框架,而WebWork通过XWork来处理用户的请求参数。Xwork的默认配置是禁止静态方法执行的,想要修改默认配置中的值,根据语法要求就必须使用#字符来表示变量,并对变量进行修改。
为了防范服务器端对象被恶意篡改,XWork的ParametersInterceptor(参数过滤器)是不允许参数名中出现#字符的。但如果使用16进制编码\u0023或者8进制编码\43,来替换#字符,攻击者就可以绕过限制,调用静态方法,执行任意Java代码甚至系统命令。
<* 参考
*>
安全建议:
升级到官方最新版:
http://struts.apache.org/
最新文章
- JavaScript把客户端时间转换为北京时间
- MVVM Command Binding: InvokeCommandAction v.s. EventToCommand
- 【读书笔记】iOS-Xcode-查找特殊字符的方法
- java选项及系统属性
- 将十进制的颜色制转换成ARGB
- JY05-JavsScript-JS基础01
- MYSQL 用户
- SecureCRT学习之道:SecureCRT常用快捷键设置与字体设置方法
- [一波低姿势的usaco除草记]
- 一口一口吃掉Volley(一)
- 复杂关联SQL的优化
- 【3】测试搭建成功的单机hadoop环境
- oracle面试题目总结
- Alpha冲刺(4/10)——2019.4.26
- caog
- 从零基础到拿到网易Java实习offer,谈谈我的学习经验
- springcloud学习总结
- 受限玻尔兹曼机(Restricted Boltzmann Machine, RBM) 简介
- L2-008 最长对称子串 (25 分)
- CodeForces - 617E XOR and Favorite Number 莫队算法