标签存档: struts

STRUTS2最近量产漏洞分析（2013-6）

可能是由于沟通问题，导致struts2官方对我提交的S2-012漏洞名称理解错误，漏洞描述为struts2的某个示例应用出现漏洞，但是struts2是按照框架出现漏洞修补的。而这个s2-012的发布竟然引发了一连串血案。[……]

在struts2和webwork中，曾出现了远程代码执行漏洞，但是后来因为补丁会导致部分应用出现BUG，所以官方又给出了2次补丁。但是这次的修补，重新开启一个小小的功能，也同时开启了一个必杀dos炸弹。这个炸弹需要结合java浮点漏洞使用。
[……]

看到大家都在刷幻影的planet，webzine地址：

http://secinn.appspot.com/pstzine/read?issue=4

我也投了一篇凑个热闹，《Struts2框架安全缺陷》：
http://secinn.appspot.com/pstzine/read?issue=4&articleid=3

本篇blog再贴一下，欢迎大家评论。

本文介绍了java开发流行框架struts2以及webwork的一些安全缺陷，并举例说明框架本身以及开发人员使用框架时，所产生的种种安全问题，以及作者挖掘框架安全漏洞的一些心得体会。