jinspire

摘要： 漏洞与补丁齐飞，蓝屏共死机一色。最近struts2的安全漏洞影响面甚广，此后门为可以在url中直接远程调用脚本的漏洞和一个重定向漏洞。大家可以在s2-016远程执行脚本漏洞和s2-017重定向开放漏洞中看到攻击的例子。第一个漏洞即远程执行脚本通过构造ProcessBuilder创建进程执行脚本，框架开放度太大，由外界用户输入的字符串可以被当成代码执行。第二个漏洞重定向开放则可被钓鱼网站利用，外链上伪造成如著名电子商务网站淘宝，京东，比如是打折新款,用户点击后来到一个钓鱼网站,这网站可以跟淘宝或京东网站登陆界面做的一样，来欺骗用户进行获取密码。 struts2作为一个老牌的web开源框架，尚且. 阅读全文