S2-056REST插件拒绝服务攻击 总结使用了struts2 REST插件,制作一个精心雕琢的XML请求能造成拒绝服务攻击. 谁应该关注 | | | 在Struts REST插件中使用XStream处理程序时,可能会发生DoS攻击 | | | | | | Struts 2.1.1 - Struts 2.5.14.1 | | Yevgeniy Grushka & Alvaro Munoz from HPE | | |
问题来源REST插件使用了带漏洞的XStream库,当使用精心制作的特殊XML payload恶意请求导致Dos攻击。 解决更新至apache Struts 版本2.5.16并且可以选择切换XML处理器为Jackson(细节在这), 另一个可选项是基于Apache Struts2.5.16中的Jackson XML处理器自定义实现XML处理器。 向后兼容预计不会有后向不兼容问题。 解决办法使用如 此处描述的 jackson XML 处理器而不是默认的XStream XML处理器。#切换Jackson链接:http://struts.apache.org/plugins/rest/#custom-contenttypehandlers
|