struts2危险漏洞解决方法

时间:2022-12-20 18:31:49

原创,bgy编写。2013-07-24

前文:

       随着苹果开发者网站的沦陷,已经曝光一周的Apache Struts2漏洞再次成为热门话题,今天有消息称由于该漏洞被利用,淘宝的数据库已经被盗,尽管淘宝官方否认了这一说法,但是从乌云漏洞平台的报告看,该漏洞已经波及到了包括京东、淘宝等在内的大型网站……

       通过“K8_Struts2_EXP”等工具,针对基于Struts2框架结构开发的网站或项目进行漏洞扫描。对于存在漏洞的几乎无一幸免。可获取您服务器的最高权限,此时的服务器如同“肉鸡”,任攻击者为非作歹。而您,如坐针毡,无计可施。

       网上有很多帖子,有谈其危害性,严重性,也有如何防范的措施,方法等。很多都是你拷贝我的,我复制你的,没有实质性的意义,可操作性上存在不足。

       本人针对这种情况,做了实验,得出具体解决问题的步骤和方法。

       注:最直接,最有效的方法!

思路:更换Struts2 Jar包。

以下是具体的步骤:

1、登录Struts2官网,http://struts.apache.org/download.cgi#struts23151(具体的下载页面),下载版本为2.3.15.1的,struts-2.3.15.1-all.zip。

2、从struts-2.3.15.1-all\struts-2.3.15.1\lib中拷贝出

(1)javassist-3.11.0.GA.jar

(2)commons-io-2.0.1.jar

(3)commons-lang3-3.1.jar

(4)freemarker-2.3.19.jar

(5)ognl-3.0.6.jar

(6)commons-fileupload-1.3.jar

(7)xwork-core-2.3.15.1.jar

(8)struts2-core-2.3.15.1.jar

(9)struts2-spring-plugin-2.3.15.1.jar

注:保留原有的commons-lang-2.6.jar,其余的替换旧版本。(删除对应旧版本,然后将上述9个Jar包拷贝进去)

3、重新编译。完毕