风の愿 » STRUTS2

S2-016 & S2-017 Filter Patcher

S2-016 是一个最近爆出来的高危任意代码执行漏洞,struts2 官方给出的修复方案是升级到最新版本。然而在很多使用了 struts2 的系统中,struts2 版本号都比较低,在没有网站源代码的情况下直接升级 struts2 组件容易出现兼容性问题。

在这种情况下可以使用 Servlet 的过滤器来对参数进行过滤,快速修补漏洞。这种方案不需要修改网站代码,兼容性高,方便快捷。

Read More »
Published @ 27th July, 2013

struts2 (S2-016) exploit script

最近冒出来了一个 struts2 的 0day ( S2-016 )。

FreeBuf 26# 上有人贴了一个 Python 版的 exploit,由于我不熟悉 Python,并且那个脚本有一些很不爽的 bug(如不支持多参数),所以我对它进行了一些改进并改成了 Node.js 版,供大家娱乐。

Read More »
Published @ 21st July, 2013
1