记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

Apache Struts OGNL注入漏洞原理与示例

概述通过本篇文章,我们主要了解如何在Apache Struts中实现OGNL注入。我们将举例阐述Struts中的两个关键漏洞:CVE-2017-5638(Equifax信息泄露)和CVE-2018-11776。Apache Struts是一个免费的开源框架,用于创建现代的Java Web应用程序。Apache Struts中有许多严重的漏洞,它的一个特性是支持OGNL(对象图导航语言),这也是许多漏洞的主要原因。其中的一个漏洞(CVE-2017-5638)直接导致了2017年的Equifax信息泄露,暴露了超过1.45亿美国公民的个人信息。尽管该公司的年收入超过30亿美元,但他们仍然没有逃过Apache Struts
发布时间:2019-03-29 12:20 | 阅读:87557 | 评论:0 | 标签:Web安全 Apache Struts 注入 漏洞

Apache Struts远程代码执行漏洞分析(CVE-2018-11776)

一、概述8月22日,Apache软件基金会公开了Apache Struts中的一个高危远程代码执行漏洞。Apache Struts是一个流行的开源框架,用于以Java编程语言开发Web应用程序。该漏洞(CVE-2018-11776)由Semmle安全研究团队的Man Yue Mo发现并报告,该团队主要致力于寻找开源软件中的高危漏洞。根据漏洞严重程度,我们强烈建议使用了Struts的组织和开发人员立即升级Struts组件。在此前,曾经披露过类似的高危漏洞,结果漏洞利用方式也随之在1天内发布,对众多关键基础架构和客户数据都造成了威胁。二、缓解方法这一新的远程代码执行漏洞会影响Apache Struts2的所有版本,官方已于
发布时间:2018-08-29 12:20 | 阅读:90100 | 评论:0 | 标签:漏洞 Apache Struts

Equifax因Struts漏洞未及时打补丁 面临4500亿美元集体诉讼赔偿

征信公司Equifax值不值得信任?个人数据放那里保不保险?这些问题的答案似乎越来越明朗了。该公司不仅遭受了史上最大数据泄露——1.43亿人的姓名、社会安全号、家庭住址等信息被黑,其各种安全漏洞还在不断被专家们指证。如一款检查用户是否被黑的工具并没有功效;一个信用监测网站似乎可以被黑。Equifax是手机消费者金融数据的三家主流信用机构之一,上周刚刚公开了这起耸人听闻的大型数据泄露,据称除1.43亿美国消费者个人数据外,尚有不明数量的加拿大和英国客户的个人数据也受到了影响。9月12日,因自身存储在Equifax数据库中的信息,于2017年5月1日至8月1日期间遭到非授权访问,加拿大受害者对Equifax提起了集体诉讼,称Equifax违反了服务协议,对他们的信息处理不周,侵犯了他们的隐私权,要求4500亿美元的
发布时间:2017-09-18 06:30 | 阅读:96631 | 评论:0 | 标签:牛闻牛评 Apache Struts Equifax 安全漏洞 数据泄露 赔偿 集体诉讼 漏洞

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云