【正文】 :52:5211:52Mar234Mar23 ? 1越是無(wú)能的人，越喜歡挑剔別人的錯(cuò)兒。 。但在設(shè)計(jì)功能時(shí)濫用 OGNL,只要帶這樣的關(guān)鍵字 ${OGNL表達(dá)式代碼 }，框架就會(huì)把中間的代碼作為 OGNL表達(dá)式執(zhí)行。 Struts2一系列遠(yuǎn)程代碼執(zhí)行漏洞，都是在功能設(shè)計(jì)時(shí)，安全過(guò)濾不嚴(yán)格及 OGNL濫用造成的！ 所以 ,你們?cè)谑褂?OGNL設(shè)計(jì)功能的時(shí)候千萬(wàn)不能學(xué)習(xí) Struts2官方?。。? WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者 WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者 struts2遠(yuǎn)程代碼執(zhí)行相關(guān)示例 第一個(gè)是 2023年 7月 14號(hào)， Struts2/XWork “,POC示例 : ?(39。比如，多個(gè)容器類型映射一個(gè)應(yīng)用目錄時(shí)（同時(shí)能夠解析 php文件）： String fileName=““（后綴名全部大寫(xiě)） ,從而繞過(guò)黑名單，因?yàn)?equals嚴(yán)格 大小寫(xiě)的。 個(gè)人覺(jué)得 referer是 web服務(wù)器層面上的部署防御，應(yīng)用代碼層面應(yīng)該使用 token。39。 StringBuilder result = new StringBuilder( + 50)。 WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者 參數(shù)值轉(zhuǎn)義 html標(biāo)簽的偽代碼示例： public static String filter(String str) { if (str == null) return (null)。:()。 WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者 20 示例：某個(gè)添加管理員的功能 WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者 只要管理員訪問(wèn)下面的 url，就可以創(chuàng)建一個(gè)管理員 : =csrfage=12birthday=19700101note=test 攻擊者：想辦法讓管理員訪問(wèn)這個(gè)地址 img src=攻擊地址 例如，使用 html img 標(biāo)簽在管理員經(jīng)常訪問(wèn)的網(wǎng)站頁(yè)面嵌入下面的攻擊代碼： img src=Word=csrfage=12birthday=19700101note=test WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者 22 WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者 23 WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者 24 WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者 25 實(shí)現(xiàn)攻擊有兩個(gè)基本條件： 攻擊者必須非常熟悉被攻擊的應(yīng)用 被攻擊應(yīng)用的用戶必須是登錄狀態(tài)（實(shí)際中，重要功能操作權(quán)限須有登錄狀態(tài)） 危害： 實(shí)際危害決定于 CSRF對(duì)應(yīng)用中功能操作后對(duì)業(yè)務(wù)的影響。 if (“關(guān)鍵字查詢匹配 key1”) { ( and key1= ?)。 RequestDispatcher rd = (path)。allowStaticMethodAccess39。 11:52:5211:52:5211:52Saturday, March 4, 2023 ? 1乍見(jiàn)翻疑夢(mèng)，相悲各問(wèn)年。 上午 11時(shí) 52分 52秒 上午 11時(shí) 52分 11:52: ? 楊柳散和風(fēng)，青山澹吾慮。 :52:5211:52:52March 4, 2023 ? 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 上午 11時(shí) 52分 52秒 上午 11時(shí) 52分 11:52: ? 沒(méi)有失敗，只有暫時(shí)停止成功！。 WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者 Struts2標(biāo)簽使用，與基礎(chǔ)漏洞原理一樣？ s:include value=%{}/ Include 標(biāo)簽實(shí)現(xiàn)外部參數(shù)包含文件的功能，導(dǎo)致安全目錄繞過(guò)！ WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者 發(fā)現(xiàn)，它和前面“安全目錄繞過(guò)”漏洞的示例，實(shí)現(xiàn)跳轉(zhuǎn)功能一樣，都是外部參數(shù)傳入，而這里 s:include標(biāo)簽設(shè)計(jì)時(shí)，是允許訪問(wèn)到 WEBINF及 METAINF這兩個(gè)安全目錄的。]39。 //文件輸出流邏輯代碼 …… WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者 使用 /../關(guān)鍵字進(jìn)行路徑回溯，偽 url示例如： 上面是可以控制絕對(duì)路徑，可下載任意文件，偽 url示例： 如果 filepath限制了路徑，如： filepath=”/xxx/“； filepath=(path)。繞過(guò)的原因是因?yàn)?，而實(shí)際開(kāi)發(fā)中我們會(huì)大量使用 session存儲(chǔ)數(shù)據(jù)，且 key有時(shí)是可預(yù)的，偽代碼例如： input type=“hidden” name=“” value=“實(shí)際開(kāi)發(fā)中可被預(yù)測(cè)的session key / input type=“hidden” name=“實(shí)際開(kāi)發(fā)中可被預(yù)測(cè)的 session key” value=“預(yù)測(cè)的session key的值” / WEB應(yīng)用安全和數(shù)據(jù)庫(kù)安全的領(lǐng)航者 建議： ?如果不想全局防御所有功能請(qǐng)求。 default:(content[i])。 i++) { switch (content[i]) { case 39。 ? 輸出： (我的輸入： +input)。break。HTTPOnly)。根據(jù)當(dāng)前權(quán)限及不同的數(shù)據(jù)庫(kù)類型，還可以讀、寫(xiě)文件，執(zhí)行系統(tǒng)命令或權(quán)限提升。 RequestDispatcher rd = (path)。)(\u0023rt\getRuntime()))=1 OgnlContext的屬性 39。 , March 4, 2023 ? 雨中黃葉樹(shù)，燈下白頭人。 。 2023年 3月 4日星期六 11時(shí) 52分 52秒 11:52:524 March 2023 ? 1一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。 :52:5211:52Mar234Mar23 ? 1世間成事，不求其絕對(duì)圓滿，留一份不足，可得無(wú)限完美。 } public void setName(String na