st2 - 0nise's Blog ---1931se TeAm!

0nise's Blog ---1931sec TeAm!

0nise's Blog
专注于渗透测试与安全开发

标签关键词

关于 st2 的文章共有3条

时代新闻

【转载】Struts2 S2-037漏洞检测方法及修复方案附工具

阅读(1375)评论(3)

2016年5月12日,Apache官方发布安全通告S2-033(CVE-2016-3087),在开启动态方法调用(Dynamic Method Invocation)的情况下,攻击者使用REST插件调用恶意表达式可以远程执行代码。 2016年6月9日,Apache官方发布新的安全通告S2-037,与S2-033...

时代新闻

【转载】Struts2 037远程命令执行漏洞初步分析

阅读(1231)评论(0)

在群里有人说struts2又出新漏洞了,当晚乌云就刷了起来,今天过来本地复现了一下,在这里说一下自己的分析结果(如果觉得我说错了还请指出) struts2介绍就不介绍了,个人感觉作为一个框架struts2是非常牛逼的,虽然现在出了很多安全问题 本地复现条件: java JDK 1.7 Tomcat 7.0...

时代新闻

【转载】Struts2 S2-037漏洞预警

阅读(1747)评论(0)

漏洞描述 Apache Struts2在使用REST插件的情况下,攻击者使用REST调用恶意表达式可以远程执行代码。该漏洞编号为CVE-2016-4438,定名S2-037。该漏洞和S2-033漏洞触发流程基本一致,都是在ActionMapping中methodName带入到OGNL表达式中执行,从...