當前位置:首頁 >  科技 >  IT業(yè)界 >  正文

360網(wǎng)站安全發(fā)布Struts2漏洞檢測工具

 2014-04-28 14:55  來源: A5專欄   我來投稿 撤稿糾錯

  域名預訂/競價,好“米”不錯過

360網(wǎng)站安全率先發(fā)布“Struts2漏洞檢測工具”。截止到今天上午10點,已經(jīng)有800多家網(wǎng)站通過該工具進行了安全檢測。

“Struts2漏洞檢測”工具使用非常簡單,只需要輸入域名即可進行檢測。檢測結(jié)果中,還提供了該Struts2漏洞的臨時修復方案。

Apache Struts2的該漏洞是國外安全研究人員日前發(fā)現(xiàn)的。研究人員發(fā)現(xiàn),Apache Struts2在處理CVE-2014-0094的漏洞補丁中存在缺陷,會被輕易繞過,黑客進而能竊取到網(wǎng)站數(shù)據(jù)。

圖:360網(wǎng)站安全率先發(fā)布“Struts2漏洞檢測工具”

4月24日,360網(wǎng)站衛(wèi)士第一時間添加防御規(guī)則,并率先發(fā)布臨時解決方案;4月25日下午,Apache官方才發(fā)布Struts2漏洞的臨時修復方案;4月25日晚上,360網(wǎng)站安全檢測率先發(fā)布“Struts2漏洞檢測”工具()。

Struts2的該漏洞主要影響國內(nèi)電商、銀行、運營商等諸多大型網(wǎng)站。

廣大網(wǎng)站可以使用該“Struts2漏洞檢測”工具檢查自己的網(wǎng)站是否存在該漏洞。同時,網(wǎng)站也可以申請加入360網(wǎng)站衛(wèi)士,以有效攔截基于Struts2漏洞的黑客攻擊。

附:Struts2漏洞臨時修復方案

第一種:找到你的struts.xml文件,將excludeParams的內(nèi)容替換成下面的代碼:

(.*\.|^|.*|\[('|"))(c|C)lass(\.|('|")]|\[).*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*

第二種:如果你使用的是struts-default.xml的默認參數(shù)攔截器,請將以下代碼:

...

...

替換為:

(.*\.|^|.*|\[('|"))(c|C)lass(\.|('|")]|\[).*,^dojo\..*,^struts\..*,^session\..*,^request\..*,^application\..*,^servlet(Request|Response)\..*,^parameters\..*,^action:.*,^method:.*

...

更多信息請參考官方網(wǎng)站:

申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!

相關文章

熱門排行

信息推薦