360网站安全率先发布“Struts2漏洞检测工具”。截止到今天上午10点,已经有800多家网站通过该工具进行了安全检测。
“Struts2漏洞检测”工具使用非常简单,只需要输入域名即可进行检测。检测结果中,还提供了该Struts2漏洞的临时修复方案。
Apache Struts2的该漏洞是国外安全研究人员日前发现的。研究人员发现,Apache Struts2在处理CVE-2014-0094的漏洞补丁中存在缺陷,会被轻易绕过,黑客进而能窃取到网站数据。
图:360网站安全率先发布“Struts2漏洞检测工具”
4月24日,360网站卫士第一时间添加防御规则,并率先发布临时解决方案;4月25日下午,Apache官方才发布Struts2漏洞的临时修复方案;4月25日晚上,360网站安全检测率先发布“Struts2漏洞检测”工具(http://safe.webscan.360.cn/loudong)。
Struts2的该漏洞主要影响国内电商、银行、运营商等诸多大型网站。
广大网站可以使用该“Struts2漏洞检测”工具检查自己的网站是否存在该漏洞。同时,网站也可以申请加入360网站卫士,以有效拦截基于Struts2漏洞的黑客攻击。
附:Struts2漏洞临时修复方案
第一种:找到你的struts.xml文件,将excludeParams的内容替换成下面的代码:
<interceptor-ref name="params">
<param name="excludeParams">(.*\.|^|.*|\[('|"))(c|C)lass(\.|('|")]|\[).*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*</param>
</interceptor-ref>
第二种:如果你使用的是struts-default.xml的默认参数拦截器,请将以下代码:
<package name="default" namespace="/" extends="struts-default">
<default-interceptor-ref name="defaultStack" />
...
...
</package>
替换为:
<package name="default" namespace="/" extends="struts-default">
<interceptors>
<interceptor-stack name="secureDefaultStack">
<interceptor-ref name="defaultStack">
<param name="params.excludeParams">(.*\.|^|.*|\[('|"))(c|C)lass(\.|('|")]|\[).*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*</param>
</interceptor-ref>
</interceptor-stack>
</interceptors>
<default-interceptor-ref name="secureDefaultStack" />
...
</package>
- 深圳市一键一家网络科技有限公司官方网址:http://www.songhu9.com.cn
- QQ:316675593,电话号码:19807655856
- 业务范围:公司网站建设、管理软件研发、软件网站二次开发、400电话、电商平台研发、公众号研发!
- 免责申明:本站内容均来源于网络,版权归原创所有,如有任何版权方面的问题,请与我们联系处理!
