1.SQL注入
漏洞描述
Web程序中對於用戶提交的參數未做過濾直接拼接到SQL語句中執行,導致參數中的特殊字符破壞了SQL語句原有邏輯,攻擊者可以利用該漏洞執行任意SQL語句,如查詢數據、下載數據、寫入webshell、執行系統命令以及繞過登錄限制等。
修復建議
代碼層最佳防御sql漏洞方案:使用預編譯sql語句查詢和綁定變量。
(1)使用預編譯語句,使用PDO需要注意不要將變量直接拼接到PDO語句中。所有的查詢語句都使用數據庫提供的參數化查詢接口,參數化的語句使用參數而不是將用戶輸入變量嵌入到SQL語句中。當前幾乎所有的數據庫系統都提供了參數化SQL語句執行接口,使用此接口可以非常有效的防止SQL注入攻擊。
(2)對進入數據庫的特殊字符(’”<>&*;等)進行轉義處理,或編碼轉換。
(3)確認每種數據的類型,比如數字型的數據就必須是數字,數據庫中的存儲字段必須對應為int型。
(4)數據長度應該嚴格規定,能在一定程度上防止比較長的SQL注入語句無法正確執行。
(5)網站每個數據層的編碼統一,建議全部使用UTF-8編碼,上下層編碼不一致有可能導致一些過濾模型被繞過。
(6)嚴格限制網站用戶的數據庫的操作權限,給此用戶提供僅僅能夠滿足其工作的權限,從而最大限度的減少注入攻擊對數據庫的危害。
(7)避免網站顯示SQL錯誤信息,比如類型錯誤、字段不匹配等,防止攻擊者利用這些錯誤信息進行一些判斷。
(8)過濾危險字符,例如:采用正則表達式匹配union、sleep、and、select、load_file等關鍵字,如果匹配到則終止運行。
2.XSS
漏洞描述
1、Web程序代碼中對用戶提交的參數未做過濾或過濾不嚴,導致參數中的特殊字符破壞了HTML頁面的原有邏輯,攻擊者可以利用該漏洞執行惡意HTML/JS代碼、構造蠕蟲、篡改頁面實施釣魚攻擊、以及誘導用戶再次登錄,然后獲取其登錄憑證等。
2、XSS攻擊對Web服務器本身雖無直接危害,但是它借助網站進行傳播,對網站用戶進行攻擊,竊取網站用戶賬號身份信息等,從而也會對網站產生較嚴重的威脅。
XSS攻擊可導致以下危害:
1、釣魚欺騙:最典型的就是利用目標網站的反射型跨站腳本漏洞將目標網站重定向到釣魚網站,或者通過注入釣魚JavaScript腳本以監控目標網站的表單輸入,甚至攻擊者基於DHTML技術發起更高級的釣魚攻擊。
2、網站掛馬:跨站時,攻擊者利用Iframe標簽嵌入隱藏的惡意網站,將被攻擊者定向到惡意網站上、或彈出惡意網站窗口等方式,進行掛馬。
3、身份盜用:Cookie是用戶對於特定網站的身份驗證標志,XSS攻擊可以盜取用戶的cookie,從而利用該cookie盜取用戶對該網站的操作權限。
4、盜取網站用戶信息:當竊取到用戶cookie從而獲取到用戶身份時,攻擊者可以盜取到用戶對網站的操作權限,從而查看用戶隱私信息。
5、垃圾信息發送:在社交網站社區中,利用XSS漏洞借用被攻擊者的身份發送大量的垃圾信息給特定的目標群。
6、劫持用戶Web行為:一些高級的XSS攻擊甚至可以劫持用戶的Web行為,從而監視用戶的瀏覽歷史、發送與接收的數據等等。
7、XSS蠕蟲:借助XSS蠕蟲病毒還可以用來打廣告、刷流量、掛馬、惡作劇、破壞數據、實施DDoS攻擊等。
修復建議
xss漏洞本質上是一種html注入,也就是將html代碼注入到網頁中。那么其防御的根本就是在將用戶提交的代碼顯示到頁面上時做好一系列的過濾與轉義
(1)過濾輸入的數據,對例如:“ ‘ ”,“ “ ”,” < “,” > “,” on* “,script、iframe等危險字符進行嚴格的檢查。這里的輸入不僅僅是用戶可以直接交互的輸入接口,也包括HTTP請求中的Cookie中的變量,HTTP請求頭部中的變量等。
(2)不僅驗證數據的類型,還要驗證其格式、長度、范圍和內容。
(3)不僅在客戶端做數據的驗證與過濾,關鍵的過濾步驟在服務端進行。
(4)對輸出到頁面的數據進行相應的編碼轉換,如HTML實體編碼、JS編碼等。對輸出的數據也要檢查,數據庫里的值有可能會在一個大網站的多處都有輸出,即使在輸入做了編碼等操作,在各處的輸出點時也要進行檢查。
3.XXE
漏洞詳情
參考:https://www.freebuf.com/company-information/165769.html
4.CSRF
漏洞描述:
CSRF是跨站請求偽造,不攻擊網站服務器,而是冒充用戶在站內的正常操作。通常由於服務端沒有對請求頭做嚴格過濾引起的。CSRF會造成密碼重置,用戶偽造等問題,可能引發嚴重后果。絕大多數網站是通過 cookie 等方式辨識用戶身份,再予以授權的。所以要偽造用戶的正常操作,最好的方法是通過 XSS 或鏈接欺騙等途徑,讓用戶在本機(即擁有身份 cookie 的瀏覽器端)發起用戶所不知道的請求。CSRF攻擊會令用戶在不知情的情況下攻擊自己已經登錄的系統。
修復建議
1、驗證請求的Referer是否來自本網站,但可被繞過。
2、在請求中加入不可偽造的token,並在服務端驗證token是否一致或正確,不正確則丟棄拒絕服務。
5.SSRF
漏洞描述
SSRF(Server-Side Request Forgery,服務器端請求偽造):通俗的來說就是我們可以偽造服務器端發起的請求,從而獲取客戶端所不能得到的數據。SSRF漏洞形成的原因主要是服務器端所提供的接口中包含了所要請求的內容的URL參數,並且未對客戶端所傳輸過來的URL參數進行過濾。這個漏洞造成的危害有:
(1)、可以對外網、服務器所在內網、本地進行端口掃描,獲取一些服務的banner信息;
(2)、攻擊運行在內網或本地的應用程序(比如溢出);
(3)、對內網Web應用進行指紋識別,通過訪問默認文件實現;
(4)、攻擊內外網的Web應用,主要是使用Get參數就可以實現的攻擊(比如Struts2漏洞利用,SQL注入等);
(5)、利用File協議讀取本地文件。
修復建議
1、禁用不需要的協議,只允許HTTP和HTTPS請求,可以防止類似於file://, gopher://, ftp:// 等引起的問題。
2、白名單的方式限制訪問的目標地址,禁止對內網發起請求
3、過濾或屏蔽請求返回的詳細信息,驗證遠程服務器對請求的響應是比較容易的方法。如果web應用是去獲取某一種類型的文件。那么在把返回結果展示給用戶之前先驗證返回的信息是否符合標准。
4、驗證請求的文件格式
5、禁止跳轉
6、限制請求的端口為http常用的端口,比如 80、443、8080、8000等
7、統一錯誤信息,避免用戶可以根據錯誤信息來判斷遠端服務器的端口狀態。
6.任意命令/代碼執行
漏洞描述
命令或代碼執行漏洞是指代碼未對用戶可控參數做過濾,導致直接帶入執行命令和代碼,通過漏洞執行惡意構造的語句,執行任意命令或代碼。攻擊者可在服務器上執行任意命令,讀寫文件操作等,危害巨大。
修復建議
1、嚴格過濾用戶輸入的數據,禁止執行非預期系統命令。
2、減少或不使用代碼或命令執行函數
3、客戶端提交的變量在放入函數前進行檢測
4、減少或不使用危險函數
7.任意文件上傳
漏洞描述
文件上傳漏洞通常由於代碼中對文件上傳功能所上傳的文件過濾不嚴或web服務器相關解析漏洞未修復而造成的,如果文件上傳功能代碼沒有嚴格限制和驗證用戶上傳的文件后綴、類型等,攻擊者可通過文件上傳點上傳任意文件,包括網站后門文件(webshell)控制整個網站。
修復建議
1、對上傳文件類型進行驗證,除在前端驗證外在后端依然要做驗證,后端可以進行擴展名檢測,重命名文件,MIME類型檢測以及限制上傳文件的大小等限制來防御,或是將上傳的文件其他文件存儲服務器中。
2、嚴格限制和校驗上傳的文件,禁止上傳惡意代碼的文件。同時限制相關上傳文件目錄的執行權限,防止木馬執行。
3、對上傳文件格式進行嚴格校驗,防止上傳惡意腳本文件;
4、嚴格限制上傳的文件路徑。
5、文件擴展名服務端白名單校驗。
6、文件內容服務端校驗。
7、上傳文件重命名。
8、隱藏上傳文件路徑。
8.目錄穿越/目錄遍歷
漏洞描述
文件下載或獲取文件顯示內容頁面由於未對傳入的文件名進行過濾,利用路徑回溯符../跳出程序本身的限制目錄,來下載或顯示任意文件。
修復建議
對傳入的文件名參數進行過濾,並且判斷是否是允許獲取的文件類型,過濾回溯符../。
9.文件包含
漏洞描述
本地文件包含是指程序在處理包含文件的時候沒有嚴格控制。利用這個漏洞,攻擊者可以先把上傳的文件、網站日志文件等作為代碼執行或直接顯示出來,或者包含遠程服務器上的惡意文件,進而獲取到服務器權限。
修復建議
1、嚴格檢查變量是否已經初始化。
2、對所有輸入提交可能包含的文件地址,包括服務器本地文件及遠程文件,進行嚴格的檢查,參數中不允許出現./和../等目錄跳轉符。
3、嚴格檢查文件包含函數中的參數是否外界可控。
10.弱口令
漏洞描述
由於網站用戶帳號存在弱口令,導致攻擊者通過弱口令可輕松登錄到網站中,從而進行下一步的攻擊,如上傳webshell,獲取敏感數據。
另外攻擊者利用弱口令登錄網站管理后台,可執行任意管理員的操作。
修復建議
1、強制用戶首次登錄時修改默認口令,或是使用用戶自定義初始密碼的策略;
2、完善密碼策略,信息安全最佳實踐的密碼策略為8位(包括)以上字符,包含數字、大小寫字母、特殊字符中的至少3種。
3、增加人機驗證機制,限制ip訪問次數。
11.暴力破解
漏洞描述
由於沒有對登錄頁面進行相關的人機驗證機制,如無驗證碼、有驗證碼但可重復利用以及無登錄錯誤次數限制等,導致攻擊者可通過暴力破解獲取用戶登錄賬號和密碼。
修復建議
1、如果用戶登錄次數超過設置的閾值,則鎖定帳號(有惡意登錄鎖定帳號的風險)
2、如果某個 IP登錄次數超過設置的閾值,則鎖定IP
3、增加人機驗證機制
4、驗證碼必須在服務器端進行校驗,客戶端的一切校驗都是不安全的。
12.越權訪問
漏洞描述
由於沒有對用戶訪問角色的權限進行嚴格的檢查及限制,導致當前賬號可對其他賬號進行相關操作,如查看、修改等。對低權限對高權限賬戶的操作為縱向越權,相同權限賬戶之間的操作成為橫向越權也稱水平越權。
修復建議
1、對用戶訪問角色的權限進行嚴格的檢查及限制。
2、在一些操作時可以使用session對用戶的身份進行判斷和控制
13.未授權訪問
漏洞描述
由於沒有對網站敏感頁面進行登錄狀態、訪問權限的檢查,導致攻擊者可未授權訪問,獲取敏感信息及進行未授權操作。
修復建議
1、頁面進行嚴格的訪問權限的控制以及對訪問角色進行權限檢查。
2、可以使用session對用戶的身份進行判斷和控制。
14.列目錄
漏洞描述
由於web服務器配置不當,開啟了目錄瀏覽,攻擊者可獲得服務器上的文件目錄結構,獲取敏感文件。
修復建議
1、通過修改配置文件,禁止中間件(如IIS、apache、tomcat)的文件目錄索引功能
2、設置目錄訪問權限
15.PHP反序列化
漏洞描述
php反序列化漏洞也叫PHP對象注入,形成原因為程序未對用戶輸入的序列化字符串進行檢測,導致攻擊者可以控制反序列化過程,從而導致代碼執行、文件操作、執行數據庫操作等不可控后果。這一類攻擊在java、python等面向對象語言中均存在。
可參考:https://www.freebuf.com/articles/web/167721.html
修復建議
1、對傳入的對象進行嚴格的過濾檢查
2、在反序列化過程執行的文件讀寫、命令或代碼執行函數中是否有用戶可控的參數。
16.http slow拒絕服務攻擊
漏洞描述
按照設計,HTTP協議要求服務器在處理之前完全接收請求。 如果HTTP請求沒有完成,或者傳輸速率非常低,服務器會保持其資源忙於等待其余數據。如果服務器保持太多的資源請求和處理,這將造成一個拒絕服務。嚴重者一台主機即可讓web運行緩慢甚至是崩潰。
修復建議
對於 Apache 可以做以下優化(其他服務器原理相同):
1、設置合適的 timeout 時間(Apache 已默認啟用了 reqtimeout 模塊),規定了 Header 發送的時間以及頻率和 Body 發送的時間以及頻率
2、增大 MaxClients(MaxRequestWorkers):增加最大的連接數。根據官方文檔,兩個參數是一回事,版本不同,MaxRequestWorkers was called MaxClients before version 2.3.13.Theold name is still supported.
3、默認安裝的 Apache 存在 Slow Attack 的威脅,原因就是雖然設置的 timeoute,但是最大連接數不夠,如果攻擊的請求頻率足夠大,仍然會占滿Apache的所有連接
17.CRLF注入
漏洞描述
CRLF 是“回車 +換行”(\r\n)的簡稱。在 HTTP 協議中,HTTPHeader 與 HTTP Body 是用兩個 CRLF 符號進行分隔的,瀏覽器根據這兩個 CRLF 符號來獲取 HTTP 內容並顯示。因此,一旦攻擊者能夠控制 HTTP 消息頭中的字符,注入一些惡意的換行,就能注入一些會話 Cookie 或者 HTML 代碼。
修復建議
1、過濾 \r 、\n 及其各種編碼的換行符,避免輸入的數據污染到其他 HTTP 消息頭。
18.LDAP注入
漏洞描述
由於Web 應用程序沒有對用戶發送的數據進行適當過濾和檢查,攻擊者可修改LDAP 語句的結構,並且以數據庫服務器、Web 服務器等的權限執行任意命令,許可權可能會允許查詢、修改或除去 LDAP 樹狀構造內任何數據。
修復建議
對用戶的輸入內容進行嚴格的過濾。
19.URL 跳轉
漏洞描述
有的Web 應用程序中使用URL參數中的地址作為跳轉鏈接的功能 ,攻擊者可實施釣魚、惡意網站跳轉等攻擊。
修復建議
1、在進行頁面跳轉前校驗傳入的URL是否為可信域名。
2、白名單規定跳轉鏈接
20.明文傳輸
漏洞描述
用戶登錄過程中使用明文傳輸用戶登錄信息,若用戶遭受中間人攻擊時,攻擊者可直接獲取該用戶登錄賬戶,從而進行進一步滲透。
修復建議
1、用戶登錄信息使用加密傳輸,如密碼在傳輸前使用安全的算法加密后傳輸,可采用的算法包括:不可逆hash算法加鹽(4位及以上隨機數,由服務器端產生);安全對稱加密算法,如AES(128、192、256位),且必須保證客戶端密鑰安全,不可被破解或讀出;非對稱加密算法,如RSA(不低於1024位)、SM2等。
2、使用https來保證傳輸的安全。
21.網頁木馬
漏洞描述
經滲透測試發現目標站點存在webshell,攻擊者可直接爆破口令使用木馬,非常低成本的進行惡意操作。
修復建議
1、確認並刪除木馬文件,並進行本地文件漏洞掃描排查是否還存在有其他木馬。
2、發現並及時修復已存在的漏洞。
3、通過查看日志、服務器殺毒等安全排查,確保服務器未被留下后門
22.備份文件泄露
漏洞描述
網站備份文件或、敏感信息文件存放在某個網站目錄下,攻擊者可通過文件掃描等方法發現並下載該備份文件,導致網站敏感信息泄露。
修復建議
1、不在網站目錄下存放網站備份文件或敏感信息的文件。
2、如需存放該類文件,請將文件名命名為難以猜解的無規則字符串。
23.敏感信息泄露
漏洞描述
在頁面中或者返回的響應包中泄露了敏感信息,通過這些信息,給攻擊者滲透提供了非常多的有用信息。
修復建議
1、如果是探針或測試頁面等無用的程序建議刪除,或者修改成難以猜解的名字。
2、不影響業務或功能的情況下刪除或禁止訪問泄露敏感信息頁面。
3、在服務器端對相關敏感信息進行模糊化處理。
4、對服務器端返回的數據進行嚴格的檢查,滿足查詢數據與頁面顯示數據一致。
24.短信/郵件轟炸
漏洞描述
由於沒有對短信或者郵件發送次數進行限制,導致可無限次發送短信或郵件給用戶,從而造成短信轟炸,進而可能被大量用戶投訴,從而影響公司聲譽。
修復建議
在服務器限制發送短信或郵件的頻率,如同一賬號1分鍾只能發送1次短信或郵件,一天只能發送3次。
25.phpinfo信息泄漏
漏洞描述
Web站點的某些測試頁面可能會使用到PHP的phpinfo()函數,會輸出服務器的關鍵信息,造成服務器信息泄露,為攻擊提供有利的信息。
修復建議
1、刪除phpinfo 函數。
2、若文件無用可直接刪除。
26.IIS短文件名泄露漏洞
漏洞描述
Internet Information Services(IIS,互聯網信息服務)是由微軟公司提供的基於運行Microsoft Windows的互聯網基本服務。 Microsoft IIS在實現上存在文件枚舉漏洞,攻擊者可利用此漏洞枚舉網絡服務器根目錄中的文件。危害:攻擊者可以利用“~”字符猜解或遍歷服務器中的文件名,或對IIS服務器中的.Net Framework進行拒絕服務攻擊。
攻擊者可通過該漏洞嘗試獲取網站服務器文件的文件名,達到獲取更多信息來入侵服務器的目的。
修復建議
修改Windows配置,關閉短文件名功能。
1.關閉NTFS 8.3文件格式的支持。該功能默認是開啟的,對於大多數用戶來說無需開啟。
2.如果是虛擬主機空間用戶,可采用以下修復方案:
1)修改注冊列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation的值為1(此修改只能禁止NTFS8.3格式文件名創建,已經存在的文件的短文件名無法移除)。
2)如果你的web環境不需要asp.net的支持你可以進入Internet 信息服務(IIS)管理器 --- Web 服務擴展 - ASP.NET 選擇禁止此功能。
3)升級net framework 至4.0以上版本。
3.將web文件夾的內容拷貝到另一個位置,比如D:\www到D:\www.back,然后刪除原文件夾D:\www,再重命名D:\www.back到D:\www。如果不重新復制,已經存在的短文件名則是不會消失的。
27.應用程序錯誤信息泄露
漏洞描述
攻擊者可通過特殊的攻擊向量,使web服務器出現500、403等相關錯誤,導致信息泄漏如絕對路徑、webserver版本、源代碼、sql語句等敏感信息,惡意攻擊者很有可能利用這些信息實施進一步的攻擊。
修復建議
1、自定義錯誤頁面或使用統一的錯誤頁面提示。
28.Apache Tomcat默認文件
漏洞描述
Apache Tomcat默認樣例文件沒有刪除或限制訪問,可能存在cookie、session偽造,進行后台登錄操作
修復建議
1、刪除樣例文件
2、限制文件訪問權限
29.Crossdomain.xml 配置不當
漏洞描述
網站根目錄下的 crossdomain.xml 文件指明了遠程Flash 是否可以加載當前網站的資源(圖片、網頁內容、Flash等)。如果配置不當,可能導致遭受跨站請求偽造(CSRF)攻擊。
修復建議
對於不需要從外部加載資源的網站,在 crossdomain.xml 文件中更改allow-access-from的domain屬性為域名白名單。
30.目標服務器啟用了不安全 HTTP 方法
漏洞描述
目標服務器啟用了不安全的傳輸方法,如PUT、TRACE、DELETE、MOVE等,這些方法表示可能在服務器上使用了 WebDAV,由於dav方法允許客戶端操縱服務器上的文件,如上傳、修改、刪除相關文件等危險操作,如果沒有合理配置dav,有可能允許未授權的用戶對其進行利用,修改服務器上的文件。
修復建議
1、關閉不安全的傳輸方法,只開啟POST、GET方法。
2、如果服務器不使用 WebDAV 可直接禁用,或為允許webdav的目錄配置嚴格的訪問權限,如認證方法,認證需要的用戶名,密碼。
31.weblogic SSRF服務器請求偽造
漏洞描述
目標存在weblogic SSRF服務器請求偽造漏洞。WebLogic是用於開發、集成、部署和管理大型分布式Web應用、網絡應用和數據庫應用的Java應用服務器。SSRF(Server-Side Request Forgery:服務器端請求偽造) 是一種由攻擊者構造形成由服務端發起請求的一個安全漏洞。一般情況下,SSRF攻擊的目標是從外網無法訪問的內部系統。(正是因為它是由服務端發起的,所以它能夠請求到與它相連而與外網隔離的內部系統)。Weblogic中間件默認帶有“UDDI 目錄瀏覽器”且為未授權訪問,通過該應用,可進行無回顯的SSRF請求。攻擊者可利用該漏洞對企業內網進行大規模掃描,了解內網結構,並可能結合內網漏洞直接獲取服務器權限。
修復建議
1、若不影響業務則可刪除uddiexplorer文件夾
2、限制uddiexplorer應用只能內網訪問
32.Apache Struts2 遠程代碼執行漏洞(S2-019)
漏洞描述
Apache Struts2的“Dynamic MethodInvocation”機制是默認開啟的,僅提醒用戶如果可能的情況下關閉此機制,如果未關閉此機制將導致遠程代碼執行漏洞,遠程攻擊者可利用此漏洞在受影響應用上下文中執行任意代碼。
修復建議
1、目前廠商已經發布了升級補丁以修復這個安全問題,請到廠商的主頁下載。
2、或者手工設置struts.xml文件<constantname="struts.enable.DynamicMethodInvocation"value="false"/>
33.Apache Struts2 遠程代碼執行漏洞(S2-037)
漏洞描述
Apache Struts2在使用REST插件時,攻擊者可以繞過動態方法執行的限制,調用惡意表達式執行遠程代碼。
修復建議
建議用戶到官方獲取最新補丁或者最新版本程序。
34.Apache Struts2 DevMode 遠程代碼執行漏洞
漏洞描述
為了便於開發人員調試程序,Struts2提供了一個devMode模式,可以方便查看程序錯誤以及日志等信息。當Struts2中的devMode模式設置為true時,存在嚴重遠程代碼執行漏洞。如果WebService 啟動權限為最高權限時,可遠程執行任意命令,包括關機、建立新用戶、以及刪除服務器上所有文件等等。
修復建議
建議用戶到官方獲取最新補丁或者最新版本程序。
或者將struts.properties中的devMode設置為false,或是在struts.xml中添加如下代碼: <constant name="struts.devMode"value="false"/>。
35.Apache Struts2 遠程代碼執行漏洞(S2-045)
漏洞描述
Apache Struts2的Jakarta Multipartparser插件存在遠程代碼執行漏洞,漏洞編號為CVE-2017-5638。攻擊者可以在使用該插件上傳文件時,修改HTTP請求頭中的Content-Type值來觸發該漏洞,導致遠程執行代碼。
修復建議
檢測方式查看web目錄下/WEB-INF/lib/目錄下的struts-core.x.x.jar ,如果這個版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之間則存在漏洞。
1、建議用戶到官方獲取最新補丁或者最新版本程序。
2、更新至Strusts2.3.32或者Strusts2.5.10.1,或使用第三方的防護設備進行防護。
3、臨時解決方案:刪除commons-fileupload-x.x.x.jar文件(會造成上傳功能不可用)。
4、修改WEB-INF/classes目錄下的配置
在WEB-INF/classes目錄下的struts.xml中的struts 標簽下添加
<constantname=”struts.custom.i18n.resources”value=”global”/>;
在WEB-INF/classes/目錄下添加global.properties,文件內容如下:
struts.messages.upload.error.InvalidContentTypeException=1
36.Apache Struts2 遠程代碼執行漏洞(S2-033)
漏洞描述
Apache Struts2在開啟動態方法調用(DynamicMethod Invocation)的情況下,攻擊者使用REST插件調用惡意表達式可以遠程執行代碼。
修復建議
1、用戶到官方獲取最新補丁或者最新版本程序。
2、或者在允許的情況下禁用動態方法調用(Dynamic Method Invocation),修改Struts2的配置文件struts.xml,將struts.enable.DynamicMethodInvocation設置為“false”。