设置外部拦截器为空
3.myout=org.apache.struts2.ServletActionContext@getResponse() ;得到repsonse的数据
4.myout.getWriter().println("dbappsecurity") ;把response的数据打印到屏幕上。
Ø 二.Struts2漏洞目前受到影响的系统包括:
OpenSymphony XWork < 2.2.0
Apache Group Struts < 2.2.0
Ø 三.Struts2漏洞修复方案:
下载最新的版本2.3.4:http://struts.apache.org/download.cgi#struts234
或者修改对应jar中的ongl处理逻辑,然后编译打包替换旧的文件。
可使用安恒信息扫描器检测漏洞,运用安恒信息waf防护漏洞,安全点就只保留字母数字,其它的全部删除即可。
安恒信息作为中国国家信息安全漏洞库的成员单位(http://www.cnnvd.org.cn/coopration/cooprationorg/p/2/)以及良好的技术支持团队,是业界领先的应用安全及数据库安全整体解决方案提供商,专注于应用安全前沿趋势的研究和分析。其中安恒信息的“Web应用防火墙”是结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成,满足各类法律法规如PCI、等级保护、企业内部控制规范等要求,以国内首创的全透明直连部署模式,全面支持HTTPS,在提供WEB应用实时深度防御的同时实现WEB应用加速、敏感信息泄露防护及网页防篡改,为Web应用提供全方位的防护解决方案。该产品致力于解决应用及业务逻辑层面的安全问题,广泛适用于“金融、运营商、政府、公安、教育、能源、税务、工商、社保、卫生、电子商务”等所有涉及WEB应用的各个行业。部署安恒的WAF产品,可以帮助用户解决目前所面临的各类网站安全问题,如:注入攻击、跨站脚本攻击(钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、信息泄露、应用层DOS/DDOS攻击等等。
安全提醒:
针对安恒信息提供的漏洞信息,漏洞预警已经通报国家漏洞库,并取得高度重视。在此,安恒信息专家提醒广大用户可直接咨询安恒信息的技术专家,尽可能避免因安全风险造成的损失。软件厂家做好软件安全控制,通过自身或第三方安全厂家进行软件安全漏洞检测,避免给用户造成安全威胁。
