如果你也正在使用Struts2作為web層框架做開發或者做公司的送檢產品,然后被告知有各種各樣的Struts2漏洞,那本篇博客值得你花時間來嘍上一兩眼。
前端時間抽空為公司做了新一代的送檢產品,為了方便,直接選擇了手頭之前搭好的一個使用Struts2的項目進行開發,開始並沒有意識到我正在使用的這個Struts2版本也是有漏洞的,后來檢查完之后才被告知有s2-045和s2-046漏洞以及devMode模式(會導致嚴重遠程代碼執行漏洞)未關閉。由此就需要進行修改,經過一番學習,了解到我所用的版本依然是存在漏洞的,於是從網上找了最新的Struts2漏洞檢測工具以及官網2.3.32版本的jar包進行了替換,之后進行了簡單的調試,然后再進行送檢最后才通過。
以下是各類漏洞的詳細影響信息:
==漏洞編號==============影響版本=========================官方公告==========================================影響范圍=====
S2-045 CVE-2017-5638 Struts 2.3.5-2.3.31, Struts 2.5-2.5.10 http://struts.apache.org/docs/s2-045.html 影響范圍較大
S2-037 CVE-2016-4438 Struts 2.3.20-2.3.28.1 http://struts.apache.org/docs/s2-037.html 影響范圍小
S2-032 CVE-2016-3081 Struts 2.3.18-2.3.28 http://struts.apache.org/release/2.3.x/docs/s2-032.html 影響范圍小
S2-020 CVE-2014-0094 Struts 2.0.0-2.3.16 http://struts.apache.org/release/2.3.x/docs/s2-020.html 影響范圍小
S2-019 CVE-2013-4316 Struts 2.0.0-2.3.15.1 http://struts.apache.org/release/2.3.x/docs/s2-019.html 影響范圍一般
S2-016 CVE-2013-2251 Struts 2.0.0-2.3.15 http://struts.apache.org/release/2.3.x/docs/s2-016.html 影響范圍非常大
S2-013 CVE-2013-1966 Struts 2.0.0-2.3.14 http://struts.apache.org/release/2.3.x/docs/s2-013.html 未添加,S2-016范圍內
S2-009 CVE-2011-3923 Struts 2.0.0-2.3.1.1 http://struts.apache.org/release/2.3.x/docs/s2-009.html 未添加,S2-016范圍內
S2-005 CVE-2010-1870 Struts 2.0.0-2.1.8.1 http://struts.apache.org/release/2.2.x/docs/s2-005.html 未添加,S2-016范圍內
然后分享一下本次用的漏洞檢測工具:鏈接:http://pan.baidu.com/s/1qXMYeyK 密碼:ckt9
2.3.32版本的jar包:鏈接:http://pan.baidu.com/s/1kUVVHHH 密碼:jot0
通過升級jar包,可以避免s2-045和s2-046漏洞,如果是maven項目直接修改pom文件即可(前提是倉庫中要有該版本)。
devMode模式的關閉方式是需要在struts.xml 設置
<constant name="struts.devMode" value="false" />
然后通過項目訪問 /struts/webconsole.html,如果是404那么則表示該模式已經關閉。
另外,如果使用的Tomcat作為服務器軟件,那么webapps下面的example文件夾和docs文件夾都應該刪除,example應用可向網站寫入有效session,黑客可用於繞過網站驗證機制直接登錄后台,把Tomcat的默認示例文件、幫助文件、后台管理界面等進行刪除,可以有效避免Tomcat應用信息泄露。
可能近年來Struts2框架已經不那么受歡迎了,所以前web層框架也可以考慮使用SpringMVC用起來也是比較舒爽。