标签存档: struts

STRUTS2最近量产漏洞分析(2013-6)

可能是由于沟通问题,导致struts2官方对我提交的S2-012漏洞名称理解错误,漏洞描述为struts2的某个示例应用出现漏洞,但是struts2是按照框架出现漏洞修补的。而这个s2-012的发布竟然引发了一连串血案。[……]

read more–>

继续阅读 »

Struts 2.2.3 DOS漏洞

在struts2和webwork中,曾出现了远程代码执行漏洞,但是后来因为补丁会导致部分应用出现BUG,所以官方又给出了2次补丁。但是这次的修补,重新开启一个小小的功能,也同时开启了一个必杀dos炸弹。这个炸弹需要结合java浮点漏洞使用。
[……]

read more–>

继续阅读 »

Struts2框架安全缺陷《Webzine4文章》

看到大家都在刷幻影的planet,webzine地址:

http://secinn.appspot.com/pstzine/read?issue=4
我也投了一篇凑个热闹,《Struts2框架安全缺陷》:
http://secinn.appspot.com/pstzine/read?issue=4&articleid=3
本篇blog再贴一下,欢迎大家评论。
摘要

本文介绍了java开发流行框架struts2以及webwork的一些安全缺陷,并举例说明框架本身以及开发人员使用 框架时,所产生的种种安全问题,以及作者挖掘框架安全漏洞的一些心得体会。

推荐以下人群阅读

了解java开发 了解框架开发 了解web application安全 “网络安全爱好者”

[……]

read more–>

继续阅读 »