原創,bgy編寫。2013-07-24
前文:
隨着蘋果開發者網站的淪陷,已經曝光一周的Apache Struts2漏洞再次成為熱門話題,今天有消息稱由於該漏洞被利用,淘寶的數據庫已經被盜,盡管淘寶官方否認了這一說法,但是從烏雲漏洞平台的報告看,該漏洞已經波及到了包括京東、淘寶等在內的大型網站……
通過“K8_Struts2_EXP”等工具,針對基於Struts2框架結構開發的網站或項目進行漏洞掃描。對於存在漏洞的幾乎無一幸免。可獲取您服務器的最高權限,此時的服務器如同“肉雞”,任攻擊者為非作歹。而您,如坐針氈,無計可施。
網上有很多帖子,有談其危害性,嚴重性,也有如何防范的措施,方法等。很多都是你拷貝我的,我復制你的,沒有實質性的意義,可操作性上存在不足。
本人針對這種情況,做了實驗,得出具體解決問題的步驟和方法。
注:最直接,最有效的方法!
思路:更換Struts2 Jar包。
以下是具體的步驟:
1、登錄Struts2官網,http://struts.apache.org/download.cgi#struts23151(具體的下載頁面),下載版本為2.3.15.1的,struts-2.3.15.1-all.zip。
2、從struts-2.3.15.1-all\struts-2.3.15.1\lib中拷貝出
(1)javassist-3.11.0.GA.jar
(2)commons-io-2.0.1.jar
(3)commons-lang3-3.1.jar
(4)freemarker-2.3.19.jar
(5)ognl-3.0.6.jar
(6)commons-fileupload-1.3.jar
(7)xwork-core-2.3.15.1.jar
(8)struts2-core-2.3.15.1.jar
(9)struts2-spring-plugin-2.3.15.1.jar
注:保留原有的commons-lang-2.6.jar,其余的替換舊版本。(刪除對應舊版本,然后將上述9個Jar包拷貝進去)
3、重新編譯。完畢