成人免费xxxxx在线视频软件_久久精品久久久_亚洲国产精品久久久_天天色天天色_亚洲人成一区_欧美一级欧美三级在线观看

Struts2再曝S2-020補(bǔ)丁繞過(guò)漏洞–萬(wàn)惡的正則表達(dá)式

安全 漏洞
4月24日,網(wǎng)絡(luò)曝出文章“安全研究人員指出Apache Struts2在漏洞公告S2-020里,在處理修復(fù)CVE-2014-0094的漏洞修補(bǔ)方案存在漏洞,導(dǎo)致補(bǔ)丁被完全繞過(guò)?!?/div>

4月24日,網(wǎng)絡(luò)曝出文章“安全研究人員指出Apache Struts2在漏洞公告S2-020里,在處理修復(fù)CVE-2014-0094的漏洞修補(bǔ)方案存在漏洞,導(dǎo)致補(bǔ)丁被完全繞過(guò)。”

[[112195]]

受影響產(chǎn)品:

Struts 2.0.0 – Struts 2.3.16.1

成因與威脅:

Apache Struts 2.0.0-2.3.16版本的默認(rèn)上傳機(jī)制是基于Commons FileUpload 1.3版本,其附加的ParametersInterceptor允許訪問(wèn)'class' 參數(shù)(該參數(shù)直接映射到getClass()方法),并允許控制ClassLoader。在具體的Web容器部署環(huán)境下(如:Tomcat),攻擊者利用 Web容器下的Java Class對(duì)象及其屬性參數(shù)(如:日志存儲(chǔ)參數(shù)),可向服務(wù)器發(fā)起遠(yuǎn)程代碼執(zhí)行攻擊,進(jìn)而植入網(wǎng)站后門(mén)控制網(wǎng)站服務(wù)器主機(jī)。

讓我們一起來(lái)回顧一下Struts縫縫補(bǔ)補(bǔ)的歷史(萬(wàn)惡的正則表達(dá)式):

2007年1月:

<param name="excludeParams">dojo\..*</param>

2008年6月:

<param name="excludeParams">dojo\..*,^struts\..*</param>

2012年3月:

<param name="excludeParams">
dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,parameters\...*
</param>

2013年10月:

<param name="excludeParams">
^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*
</param>

2014年3月(S2-020):

<param name="excludeParams">
^class\..*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*
</param>

漏洞詳情:Struts 2.3.15.1之前的版本,參數(shù)action的值redirect以及redirectAction沒(méi)有正確過(guò)濾,導(dǎo)致ognl代碼執(zhí)行。

修復(fù)方式:將 '^class\.*'添加到excludeParams列表內(nèi)

2014年4月……

Struts2再曝S2-020補(bǔ)丁繞過(guò)漏洞–萬(wàn)惡的正則表達(dá)式

從目前公布的信息來(lái)看,這個(gè)漏洞的局限性很高,利用范圍仍然有限。

目前官方在GitHub上對(duì)該問(wèn)題做出了修正(臨時(shí))。

代碼修復(fù)詳情:

https://github.com/apache/struts/commit/aaf5a3010e3c11ae14e3d3c966a53ebab67146be#diff-710b29900cea21e85893cae43dd08c92

core/src/main/resources/struts-default.xml

- <param name="excludeParams">

^class\..*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*

</param>
+ <param name="excludeParams">

(.*\.|^)class\..*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*

</param>

請(qǐng)注意多處都要修改。

在4月24日下午,又有同學(xué)貼出了終極修改方案:

修改struts源碼

com.opensymphony.xwork2.interceptor.ParametersInterceptor

將此處代碼:

  1. public void setExcludeParams(String commaDelim) {  
  2.       Collection<String> excludePatterns = ArrayUtils.asCollection(commaDelim);  
  3.       if (excludePatterns != null) {  
  4.           excludeParams = new HashSet<Pattern>();  
  5.           for (String pattern : excludePatterns) {  
  6.               excludeParams.add(Pattern.compile(pattern));  
  7.           }  
  8.       }  
  9.   } 

修改為:

  1. public void setExcludeParams(String commaDelim) {  
  2.        Collection<String> excludePatterns = ArrayUtils.asCollection(commaDelim);  
  3.        if (excludePatterns != null) {  
  4.            excludeParams = new HashSet<Pattern>();  
  5.            for (String pattern : excludePatterns) {  
  6.                excludeParams.add(Pattern.compile(pattern));  
  7.            }  
  8.        }  
  9.        //s021 zhenzheteng  
  10.        Pattern s021_1 = Pattern.compile("(.*\\.|^)class\\..*",Pattern.CASE_INSENSITIVE);  
  11.        Pattern s021_2 = Pattern.compile(".*'class&'.*",Pattern.CASE_INSENSITIVE);  
  12.        Pattern s021_3 = Pattern.compile("(.*\\.|^)class\\[.*",Pattern.CASE_INSENSITIVE);  
  13.        excludeParams.add(s021_1);  
  14.        excludeParams.add(s021_2);  
  15.        excludeParams.add(s021_3);  
  16.    } 

Struts歷史漏洞回顧:

S2-020: http://struts.apache.org/release/2.3.x/docs/s2-020.html

S2-019的遠(yuǎn)程代碼執(zhí)行漏洞: http://sebug.net/vuldb/ssvid-61048

S2-016官方補(bǔ)丁分析:http://www.freebuf.com/articles/web/11234.html

S2-013的漏洞分析:http://www.freebuf.com/vuls/9757.html

Struts2最近幾個(gè)漏洞分析&穩(wěn)定利用Payload: http://www.freebuf.com/articles/web/25337.html

希望Struts官方能在爆出漏洞的第一時(shí)間完美的堵上…..

另外關(guān)于S2-020:http://sec.baidu.com/index.php?research/detail/id/18

參考:

apache:http://struts.apache.org/release/2.3.x/docs/s2-020.html

cnvd:http://www.cnvd.org.cn/webinfo/show/3427

piyolog:http://d.hatena.ne.jp/Kango/20140417/139775019

scutum:http://www.scutum.jp/information/waf_tech_blog/2014/04/waf-blog-036.html

ipa.jp:http://www.ipa.go.jp/security/ciadr/vul/20140417-struts.html

空虛浪子心的博客:http://www.inbreak.net/

還有各路微博……

責(zé)任編輯:藍(lán)雨淚 來(lái)源: FreeBuf
相關(guān)推薦

2016-06-08 10:09:24

2012-12-18 16:38:26

2012-03-08 13:15:10

JavaStrutsOGNL

2016-03-22 12:37:45

Struts2Struts2漏洞漏洞檢測(cè)

2013-05-22 10:28:19

2014-04-24 15:30:48

2018-09-27 15:25:08

正則表達(dá)式前端

2020-09-04 09:16:04

Python正則表達(dá)式虛擬機(jī)

2017-07-11 09:42:22

漏洞

2024-09-14 09:18:14

Python正則表達(dá)式

2013-07-18 15:09:27

2013-07-19 09:36:04

struts2struts2漏洞

2016-11-10 16:21:22

Java 正則表達(dá)式

2009-09-16 17:15:57

正則表達(dá)式引擎

2022-01-04 11:35:03

Linux Shel正則表達(dá)式Linux

2023-09-13 08:12:45

2013-04-12 09:58:16

2009-08-07 14:24:31

.NET正則表達(dá)式

2022-03-28 06:19:14

正則表達(dá)式開(kāi)發(fā)

2021-01-27 11:34:19

Python正則表達(dá)式字符串
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)

主站蜘蛛池模板: 婷婷综合激情 | 99久久久久国产精品免费 | 久久午夜视频 | 亚洲免费三区 | 2022精品国偷自产免费观看 | 一区二区三区免费 | 亚洲精品乱码久久久久久按摩观 | 岛国毛片在线观看 | 久久91av| 国产色| 亚洲午夜一区二区 | 成年人视频在线免费观看 | 亚洲成人自拍网 | 久操av在线 | 亚洲一区二区三区四区av | 国产精品精品久久久 | 国产成人免费视频网站高清观看视频 | 亚洲国产精品久久久久婷婷老年 | 一区二区伦理电影 | 日韩在线视频网址 | 国产乱码高清区二区三区在线 | 欧美99久久精品乱码影视 | 亚洲va欧美va天堂v国产综合 | 国产欧美一级 | 国产免费一级一级 | 免费成人高清 | 一区二区三区四区在线 | 欧美久久精品 | 精品国产三级 | 久久久久久九九九九九九 | 国产精品99久久久久久动医院 | 久久久123| 天天拍天天操 | 久久99久久久久 | 亚洲欧美在线观看 | 国产超碰人人爽人人做人人爱 | 一区二区三区在线免费 | 一区二区在线免费观看 | 亚洲深夜福利 | 欧美99久久精品乱码影视 | 亚洲精彩免费视频 |