Struts2漏洞补丁陷乌龙门百度加速乐提供独家防御方案

180 阅读 0 评论 119 点赞

我是靠谱客的博主健壮冷风，最近开发中收集的这篇文章主要介绍Struts2漏洞补丁陷乌龙门百度加速乐提供独家防御方案，觉得挺不错的，现在分享给大家，希望可以做个参考。

概述

目前官方在GitHub上对该问题做出了修正。然而该修正公布后，安全人员很快发现，官方给出的补丁仍然存在漏洞，可被绕过。随后SCANV网址安全中心附上了临时修复方案以应对此次官方的乌龙门。百度加速乐也已率先升级了防御规则，目前百度加速乐可独家防御该漏洞。

　　如果站长没有使用百度加速乐，也可以根据SCANV网址安全中心提供的临时修复方案自行修复：

　　修改struts源码中的struts-default.xml

　　替换所有的 ^dojo\..*

　　改为 (.*\. ^)class\..*,.*'class'.*,(.*\. ^)class\[.*,^dojo\..*

　　据了解Struts2已不是第一次出现重大安全事故，去年9月Struts2曝出漏洞，国家多家重要政府网站受到影响，其中不乏部委级网站。此次再次曝出漏洞显现出互联网安全问题的严重性。