Struts是Apache基金会Jakarta项目组的一个开源项目,Struts通过采用Java Servlet/JSP技术,实现了基于Java EE Web应用的Model-View-Controller(MVC)设计模式的应用框架,是MVC经典设计模式中的一个经典产品。目前,Struts广泛应用于大型互联网企业、政府、金融机构等网站建设,并作为网站开发的底层模板使用,是应用最广泛的Web应用框架之一。
近日,Struts2曝出2个高危安全漏洞,一个是使用缩写的导航参数前缀时的远程代码执行漏洞,另一个是使用缩写的重定向参数前缀时的开放式重定向漏洞。这些漏洞可使黑客取得网站服务器的“最高权限”,从而使企业服务器变成黑客手中的“肉鸡”。
Apache Struts团队已发布了最新的Struts 2.3.15.1,修复了上述漏洞,建议采用Struts 2.0至Struts 2.3的网站开发者尽快升级至最新版。
据乌云平台漏洞报告,淘宝、京东、腾讯等大型互联网厂商均受此影响,而且漏洞利用代码已经被强化,可直接通过浏览器的提交对服务器进行任意操作并获取敏感内容。Struts漏洞影响巨大,受影响站点以电商、银行、门户、政府居多,而且一些自动化、傻瓜化的利用工具开始出现,填入地址可直接执行服务器命令,读取数据甚至直接关机等操作。
灾难日:中国互联网惨遭Struts2高危漏洞摧残
最后再次提醒广大网站管理员,尽快将Struts 2升级到最新的2.3.15.1版本。
Struts 2.3.15.1官方下载:http://struts.apache.org/download.cgi#struts23151
+
引用来自“快慢机”的评论
引用来自“AzraelWarrior”的评论
引用来自“酒逍遥”的评论
看来java的 安全性 也不比php 高太多啊...
以后谁再说 java安全性比php 高就拿 这个喷死它
引用来自“戴威”的评论
spring-mvc飘过
居然公布了漏洞攻击代码
引用来自“helius”的评论
引用来自“好大的凶兆”的评论
引用来自“helius”的评论
引用来自“好大的凶兆”的评论
引用来自“helius”的评论
引用来自“luciferdragon”的评论
因为使用java的相对比较多获得利益的可能性相对较大所以被人针对的更严重,就像windows的操作系统一样,用的人多研究系统漏洞的人就多,现在用android的人多了,研究java漏洞的当然会增多。你能想象塞班系统的漏洞还有人去研究吗。。。没有市场研究出来自娱自乐吗。。
自行车数量比轿车数量多,自行车就是霸主了?傻逼PHPer
引用来自“helius”的评论
引用来自“蛋蛋为何忧伤”的评论
引用来自“helius”的评论
引用来自“luciferdragon”的评论
因为使用java的相对比较多获得利益的可能性相对较大所以被人针对的更严重,就像windows的操作系统一样,用的人多研究系统漏洞的人就多,现在用android的人多了,研究java漏洞的当然会增多。你能想象塞班系统的漏洞还有人去研究吗。。。没有市场研究出来自娱自乐吗。。
引用来自“IMU”的评论
JAVA漏洞太多了,不知道为什么还有那么多企业用。前段时间工商银行出现问题也是跟IBM使用的JAVA有关。
Java 7爆最新漏洞,10年前的攻击手法仍有效。。。。哈哈
引用来自“helius”的评论
引用来自“luciferdragon”的评论
因为使用java的相对比较多获得利益的可能性相对较大所以被人针对的更严重,就像windows的操作系统一样,用的人多研究系统漏洞的人就多,现在用android的人多了,研究java漏洞的当然会增多。你能想象塞班系统的漏洞还有人去研究吗。。。没有市场研究出来自娱自乐吗。。
引用来自“helius”的评论
引用来自“luciferdragon”的评论
因为使用java的相对比较多获得利益的可能性相对较大所以被人针对的更严重,就像windows的操作系统一样,用的人多研究系统漏洞的人就多,现在用android的人多了,研究java漏洞的当然会增多。你能想象塞班系统的漏洞还有人去研究吗。。。没有市场研究出来自娱自乐吗。。
引用来自“小邪”的评论
像上面那样使用域对象传递数据的做法很好,但是这样做的前提是要将域对象公开出去,无论是使用JavaBean方式还是模型驱动方式都是如此。但是无论如何将域对象整个的暴露给用户总不是一个很好的做法,它还存在一些潜在的威胁。比如说域对象中有一些敏感的数据你不想公开给外界;一个恶意的用户在请求中添加一个适当命名精心设计的查询语句,这样这个参数就会被自动写入到域对象的属性上。当然你可以进行适当的过滤,但是这样一来使用域对象的目的就变的无效了。这个问题现在也没有很好的解决方法,看的人自己想想,在实际的开发中记住这一点就行。
引用来自“sikele”的评论
引用来自“ddatsh”的评论
所以不懂技术不关心安全的,被虐很正常
技术好点的,很多可能不用Struts的
引用来自“Hello-Java”的评论
引用来自“超级大富”的评论
引用来自“酒逍遥”的评论
看来java的 安全性 也不比php 高太多啊...
以后谁再说 java安全性比php 高就拿 这个喷死它
引用来自“IMU”的评论
JAVA漏洞太多了,不知道为什么还有那么多企业用。前段时间工商银行出现问题也是跟IBM使用的JAVA有关。
Java 7爆最新漏洞,10年前的攻击手法仍有效。。。。哈哈
引用来自“3322”的评论
引用来自“Mallon”的评论
root权限运行服务的都是傻B
引用来自“loyal”的评论
引用来自“ddatsh”的评论
引用来自“sikele”的评论
引用来自“ddatsh”的评论
所以不懂技术不关心安全的,被虐很正常
技术好点的,很多可能不用Struts的
struts没一个公司用
spring mvc用了
懂技术的好点的公司,至少会考虑环境的隔离,能尽量减少损失
关心安全,至少能较快发现类似这条新闻提到的漏洞,而不是拍脑袋说以后再说
引用来自“JFinal”的评论
引用来自“Mr.CT”的评论
@JFinal 有没有呢?
引用来自“JFinal”的评论
引用来自“Mr.CT”的评论
@JFinal 有没有呢?
引用来自“Mr.CT”的评论
@JFinal 有没有呢?
引用来自“luciferdragon”的评论
因为使用java的相对比较多获得利益的可能性相对较大所以被人针对的更严重,就像windows的操作系统一样,用的人多研究系统漏洞的人就多,现在用android的人多了,研究java漏洞的当然会增多。你能想象塞班系统的漏洞还有人去研究吗。。。没有市场研究出来自娱自乐吗。。
引用来自“丑矬穷”的评论
2年后,大量的网站还会存在这个漏洞
引用来自“sikele”的评论
用asp.net mvc的路过。。
引用来自“Mr_Zhou”的评论
引用来自“gemron”的评论
刚才找了好多电商网站测试,都可以执行我的命令,危害好大啊!!!
引用来自“gemron”的评论
刚才找了好多电商网站测试,都可以执行我的命令,危害好大啊!!!
引用来自“loyal”的评论
引用来自“ddatsh”的评论
引用来自“sikele”的评论
引用来自“ddatsh”的评论
所以不懂技术不关心安全的,被虐很正常
技术好点的,很多可能不用Struts的
struts没一个公司用
spring mvc用了
懂技术的好点的公司,至少会考虑环境的隔离,能尽量减少损失
关心安全,至少能较快发现类似这条新闻提到的漏洞,而不是拍脑袋说以后再说
当年springmvc有漏洞的时候,关注的人肯定没这次多,时代不同了
引用来自“ddatsh”的评论
引用来自“sikele”的评论
引用来自“ddatsh”的评论
所以不懂技术不关心安全的,被虐很正常
技术好点的,很多可能不用Struts的
struts没一个公司用
spring mvc用了
懂技术的好点的公司,至少会考虑环境的隔离,能尽量减少损失
关心安全,至少能较快发现类似这条新闻提到的漏洞,而不是拍脑袋说以后再说
引用来自“sikele”的评论
引用来自“ddatsh”的评论
所以不懂技术不关心安全的,被虐很正常
技术好点的,很多可能不用Struts的
struts没一个公司用
spring mvc用了
懂技术的好点的公司,至少会考虑环境的隔离,能尽量减少损失
关心安全,至少能较快发现类似这条新闻提到的漏洞,而不是拍脑袋说以后再说
兼职phper路过
引用来自“酒逍遥”的评论
看来java的 安全性 也不比php 高太多啊...
以后谁再说 java安全性比php 高就拿 这个喷死它
引用来自“酒逍遥”的评论
引用来自“由一”的评论
引用来自“酒逍遥”的评论
看来java的 安全性 也不比php 高太多啊...
以后谁再说 java安全性比php 高就拿 这个喷死它
引用来自“进击的代码”的评论
引用来自“RuralHunter”的评论
引用来自“sikele”的评论
引用来自“ddatsh”的评论
所以不懂技术不关心安全的,被虐很正常
技术好点的,很多可能不用Struts的
引用来自“luciferdragon”的评论
因为使用java的相对比较多获得利益的可能性相对较大所以被人针对的更严重,就像windows的操作系统一样,用的人多研究系统漏洞的人就多,现在用android的人多了,研究java漏洞的当然会增多。你能想象塞班系统的漏洞还有人去研究吗。。。没有市场研究出来自娱自乐吗。。
引用来自“酒逍遥”的评论
看来java的 安全性 也不比php 高太多啊...
以后谁再说 java安全性比php 高就拿 这个喷死它
引用来自“唐海康”的评论
引用来自“taojinhuo”的评论
引用来自“酒逍遥”的评论
看来java的 安全性 也不比php 高太多啊...
以后谁再说 java安全性比php 高就拿 这个喷死它
引用来自“taojinhuo”的评论
引用来自“酒逍遥”的评论
看来java的 安全性 也不比php 高太多啊...
以后谁再说 java安全性比php 高就拿 这个喷死它
引用来自“微激光”的评论
引用来自“JFinal”的评论
引用来自“空云万里晴”的评论
引用来自“JFinal”的评论
JFinal 用户飘过
引用来自“JFinal”的评论
引用来自“空云万里晴”的评论
引用来自“JFinal”的评论
JFinal 用户飘过
引用来自“酒逍遥”的评论
看来java的 安全性 也不比php 高太多啊...
以后谁再说 java安全性比php 高就拿 这个喷死它
引用来自“空云万里晴”的评论
引用来自“JFinal”的评论
JFinal 用户飘过
引用来自“JFinal”的评论
JFinal 用户飘过
引用来自“JettyKoo”的评论
发现了最好,赶紧堵住,幸好我已经转向SpringMVC了
引用来自“酒逍遥”的评论
看来java的 安全性 也不比php 高太多啊...
以后谁再说 java安全性比php 高就拿 这个喷死它
引用来自“ketqi”的评论
引用来自“Mallon”的评论
root权限运行服务的都是傻B
引用来自“Mallon”的评论
root权限运行服务的都是傻B
引用来自“Mallon”的评论
root权限运行服务的都是傻B
引用来自“超级大富”的评论
引用来自“酒逍遥”的评论
看来java的 安全性 也不比php 高太多啊...
以后谁再说 java安全性比php 高就拿 这个喷死它
引用来自“窦新”的评论
python + tornado 晃过
引用来自“littleant”的评论
引用来自“酒逍遥”的评论
呃 说错了...应该是 用java写的网站 不一定比用php写的网站安全性高.
和语言没关系..... 哦弥陀佛.... 罪过罪过..原谅则个.
引用来自“抓瓦工人”的评论
引用来自“铂金小狗”的评论
悲剧的JAVER.........悲剧的JAVA框架.........................
看来还是PHP好,原生的,代码又很难阅读....尼玛....
漏洞没找到,先吐一升血....尼玛...
引用来自“酒逍遥”的评论
看来java的 安全性 也不比php 高太多啊...
以后谁再说 java安全性比php 高就拿 这个喷死它
引用来自“风起q”的评论
引用来自“好大的凶兆”的评论
引用来自“铂金小狗”的评论
悲剧的JAVER.........悲剧的JAVA框架.........................
看来还是PHP好,原生的,代码又很难阅读....尼玛....
漏洞没找到,先吐一升血....尼玛...
引用来自“好大的凶兆”的评论
引用来自“铂金小狗”的评论
悲剧的JAVER.........悲剧的JAVA框架.........................
看来还是PHP好,原生的,代码又很难阅读....尼玛....
漏洞没找到,先吐一升血....尼玛...
呵呵,文章似乎夸大 了!网站服务器安全做好!安全软件开启!
引用来自“酒逍遥”的评论
看来java的 安全性 也不比php 高太多啊...
以后谁再说 java安全性比php 高就拿 这个喷死它
人家就那么一个漏洞,你看你们嘚瑟的,啧啧
引用来自“Mallon”的评论
root权限运行服务的都是傻B
引用来自“ddatsh”的评论
所以不懂技术不关心安全的,被虐很正常
技术好点的,很多可能不用Struts的
引用来自“哎哎哎”的评论
和黑客斗了一个晚上!
引用来自“好大的凶兆”的评论
PHP里的知名CMS系统dedeCMS表示不服,谁有我漏洞多?
引用来自“酒逍遥”的评论
看来java的 安全性 也不比php 高太多啊...
以后谁再说 java安全性比php 高就拿 这个喷死它
引用来自“酒逍遥”的评论
看来java的 安全性 也不比php 高太多啊...
以后谁再说 java安全性比php 高就拿 这个喷死它
这是框架漏洞,不关乎JAVA语言
不过这次漏洞确实挺严重。
有bug不打补丁不能只怪别人了。
引用来自“bundles”的评论
还好,我的PHP框架没这个漏洞.
引用来自“壮哉我大东北”的评论
java天天爆漏洞为什么不反思一下
不信?去PHP官方看看bug列表吧,只是PHP太没名气了,没人关注而已
引用来自“铂金小狗”的评论
悲剧的JAVER.........悲剧的JAVA框架.........................
看来还是PHP好,原生的,代码又很难阅读....尼玛....
漏洞没找到,先吐一升血....尼玛...
引用来自“bundles”的评论
还好,我的PHP框架没这个漏洞.
引用来自“幸福线”的评论
我还是觉得linux游戏只是盲目乐观
引用来自“酒逍遥”的评论
看来java的 安全性 也不比php 高太多啊...
以后谁再说 java安全性比php 高就拿 这个喷死它
所以做Java EE的大公司喜欢自己搞一套,不说搞得好不好。
至少研究它的人少,有问题也不容易遭殃。
引用来自“hanQ”的评论
Struts2Exp.jar 笑而不语 @Track3r
引用来自“酒逍遥”的评论
看来java的 安全性 也不比php 高太多啊...
以后谁再说 java安全性比php 高就拿 这个喷死它
引用来自“牛仔豆”的评论
引用来自“酒逍遥”的评论
看来java的 安全性 也不比php 高太多啊...
以后谁再说 java安全性比php 高就拿 这个喷死它
您就别再不依不饶了喏..
引用来自“sikele”的评论
引用来自“ddatsh”的评论
所以不懂技术不关心安全的,被虐很正常
技术好点的,很多可能不用Struts的
引用来自“酒逍遥”的评论
看来java的 安全性 也不比php 高太多啊...
以后谁再说 java安全性比php 高就拿 这个喷死它
引用来自“RuralHunter”的评论
引用来自“sikele”的评论
引用来自“ddatsh”的评论
所以不懂技术不关心安全的,被虐很正常
技术好点的,很多可能不用Struts的
引用来自“sikele”的评论
引用来自“ddatsh”的评论
所以不懂技术不关心安全的,被虐很正常
技术好点的,很多可能不用Struts的
引用来自“酒逍遥”的评论
呃 说错了...应该是 用java写的网站 不一定比用php写的网站安全性高.
和语言没关系..... 哦弥陀佛.... 罪过罪过..原谅则个.
引用来自“酒逍遥”的评论
看来java的 安全性 也不比php 高太多啊...
以后谁再说 java安全性比php 高就拿 这个喷死它
引用来自“铂金小狗”的评论
悲剧的JAVER.........悲剧的JAVA框架.........................
看来还是PHP好,原生的,代码又很难阅读....尼玛....
漏洞没找到,先吐一升血....尼玛...
看来还是PHP好,原生的,代码又很难阅读....尼玛....
漏洞没找到,先吐一升血....尼玛...
引用来自“戴威”的评论
spring-mvc飘过
和语言没关系..... 哦弥陀佛.... 罪过罪过..原谅则个.
引用来自“夕水溪下”的评论
昨天上午osc发布的时候,我给领导说这事了,领导没在意
引用来自“超级大富”的评论
引用来自“酒逍遥”的评论
看来java的 安全性 也不比php 高太多啊...
以后谁再说 java安全性比php 高就拿 这个喷死它
引用来自“酒逍遥”的评论
看来java的 安全性 也不比php 高太多啊...
以后谁再说 java安全性比php 高就拿 这个喷死它
引用来自“超级大富”的评论
引用来自“酒逍遥”的评论
看来java的 安全性 也不比php 高太多啊...
以后谁再说 java安全性比php 高就拿 这个喷死它
引用来自“sikele”的评论
引用来自“ddatsh”的评论
所以不懂技术不关心安全的,被虐很正常
技术好点的,很多可能不用Struts的
引用来自“超级大富”的评论
引用来自“酒逍遥”的评论
看来java的 安全性 也不比php 高太多啊...
以后谁再说 java安全性比php 高就拿 这个喷死它
引用来自“ddatsh”的评论
所以不懂技术不关心安全的,被虐很正常
技术好点的,很多可能不用Struts的
引用来自“酒逍遥”的评论
看来java的 安全性 也不比php 高太多啊...
以后谁再说 java安全性比php 高就拿 这个喷死它
引用来自“戴威”的评论
spring-mvc飘过
引用来自“戴威”的评论
spring-mvc飘过
技术好点的,很多可能不用Struts的