云夕阁安全社区
标题: S2-056REST插件拒绝服务攻击 [打印本页]
作者: rodster 时间: 2018-3-28 00:32
标题: S2-056REST插件拒绝服务攻击
S2-056REST插件拒绝服务攻击
总结使用了struts2 REST插件,制作一个精心雕琢的XML请求能造成拒绝服务攻击.
谁应该关注 | |
| 在Struts REST插件中使用XStream处理程序时,可能会发生DoS攻击 |
| |
| |
| Struts 2.1.1 - Struts 2.5.14.1 |
| Yevgeniy Grushka & Alvaro Munoz from HPE |
| |
问题来源REST插件使用了带漏洞的XStream库,当使用精心制作的特殊XML payload恶意请求导致Dos攻击。
解决更新至apache Struts
版本2.5.16并且可以选择切换XML处理器为Jackson(细节在这),
另一个可选项是基于Apache Struts2.5.16中的Jackson XML处理器自定义实现XML处理器。
向后兼容预计不会有后向不兼容问题。
解决办法使用如
此处描述的 jackson XML
处理器而不是默认的XStream XML处理器。#切换Jackson链接:http://struts.apache.org/plugins/rest/#custom-contenttypehandlers
欢迎光临 云夕阁安全社区 (http://bbs.yunxige.org/) |
Powered by Discuz! X3.2 |