struts2安全指南简版.pdfVIP

Struts2 安全指南（简版_测试版） 文档信息 文档名称 Struts2 安全指南（简版_测试版） 文档管理编号 保密级别 文档版本号 制作人 吴建强 制作日期 2012-09-21 文档版本信息 时间 版本 说明 制作人 内容目录 1 说明4 2 漏洞分析及归类5 2.1 S2_003 XWork ParameterInterceptors bypass allows OGNL statement execution ...5 2.2 S2_005 XWork ParameterInterceptors bypass allows remote command execution (CVE- 2010-1870 )6 2.3 S2_007 XWork ParameterInterceptors bypass allows remote command execution S2_008 Remote command execution in Struts = (ExceptionDelegator) 7 2.4 S2_008 Arbitrary File Overwrite in Struts = 2.3.1 (ParameterInterceptor) 9 2.5 S2_009 ParameterInterceptor vulnerability allows remote command execution 9 2.6 struts2 框架 XSLTResult 本地文件代码执行漏洞10 2.7 apache struts2 remote code execute10 2.8 分类总结 12 2.9 调试技术 12 3 补丁13 4 安全编程注意事项17 5 安全配置18 6 参考19 1 说明 Struts2 是一个使用广泛的Java Web 框架，这几年内被发现了大量的严重安全漏洞， 分析被披露的漏洞原理及修补方式可以发现，Struts2 的开发过程缺乏足够的安全设计及编码 实现，同时对安全漏洞的报告响应及处理及其缓慢，导致其最新的版本依然存在一些未修补 的但已经被证实可以利用的“漏洞”。本指南首先对这几年被批露的漏洞进行简要分析、归 类，然后依据这些漏洞出现的原因及攻击程序普遍利用的方式在最新版本 上进行裁剪， 修补未经官方公开确认的漏洞，增强系统特性的配置，删除危险功能。最后提出了一些开发 中及配置的安全建议。 2 漏洞分析及归类 2.1 S2_003 XWork ParameterInterceptors bypass allows OGNL statement execution (\u0023 + session[\user\])(unused)=0wn3d 此参数通过\u0023(或其他变种)越过 了参数名的检查，可以操作用户session，当时漏洞发现者“可能”没有发现是可以执行代 码的。 Xwork2.0.5 中的可接受参数名的正则表达式如下，注意看这居然是一个基于半黑名 单的正则表达式。\ 这个符号可以越过此检查。 private String a eptedParamNames = [\\p{Graph}[^,#:=]]*; 在修复版Xwork2.0.6 中参数名的正则表达式没有变，\ 这个符号依然可以越过此检查 private String a eptedParamNames = [\\p{Graph}[^,#:=]]*; 用户提交的参数名中\u0023 会转化为\\u0023，这个值不会等于# ，所以越过了参数名正则表达式， 测试会发现 ognl 表达式在处理\u0023 或\\u0023 值都会处理为# （这可能是个bug...），导致能正常执行 ognl 表达式。 此漏洞是如何修补