Apache Struts又雙叒叕爆文件上傳漏洞了。

自Apache Struts框架發(fā)布以來，就存在多個版本的漏洞，其中一些漏洞涉及到文件上傳功能。這些漏洞可能允許攻擊者通過構(gòu)造特定的請求來繞過安全限制，從而上傳惡意文件。雖然每次官方都發(fā)布補丁進(jìn)行修復(fù)，但是問題一直沒有根除過，時不時的又爆出新的漏洞。

那么有沒有辦法杜絕Apache Struts文件上傳漏洞呢？

依靠Apache Struts自身肯定是不行的，畢竟官方也不知道什么時候爆出新的漏洞。

所謂文件上傳漏洞，是指繞過系統(tǒng)安全限制，非法上傳惡意文件。哪如果讓黑客不能上傳惡意文件，或是讓上傳的惡意文件不能被執(zhí)行，不就解決問題了嗎？

思路有了，接下來就是如何實現(xiàn)攔截功能。要阻止黑客上傳惡意文件，可以使用殺毒軟件和防篡改功能來解決。殺毒軟件不說了，沒有一家殺毒公司敢保證100%的攔截效果，只能作為輔助手段。那就只剩下防篡改功能了。

但新的問題又來了，惡意文件有兩種，一種是破壞操作系統(tǒng)的可執(zhí)行文件，一種是破壞網(wǎng)站的網(wǎng)頁木馬。對于破壞操作系統(tǒng)的可執(zhí)行文件，總不至于對全操作系統(tǒng)做防篡改保護(hù)吧，這樣操作系統(tǒng)將立刻藍(lán)屏。幸運的是，可以使用《護(hù)衛(wèi)神.防入侵系統(tǒng)》的“進(jìn)程防護(hù)”來解決這個問題?！斑M(jìn)程防護(hù)”模塊用于對軟件做防護(hù)，可以限制軟件的網(wǎng)絡(luò)通信范圍和文件訪問范圍。設(shè)置以后，軟件只能按照預(yù)定規(guī)則訪問文件和網(wǎng)絡(luò)，沒有任何辦法越權(quán)，輕松搞定非法提權(quán)。

Apache Struts一般和Tomcat集成使用，接下來我們以Tomcat為防護(hù)對象，通過《護(hù)衛(wèi)神.防入侵系統(tǒng)》，手把手演示如何一勞永逸的解決Apache Struts文件上傳漏洞。

防護(hù)思路如下：

1、 設(shè)置Tomcat對jsp文件和可執(zhí)行文件只有讀取權(quán)限（阻止上傳非法文件）

2、 設(shè)置Tomcat只對網(wǎng)站目錄和日志目錄有寫權(quán)限（保障網(wǎng)站正常訪問）

3、 設(shè)置Tomcat不能執(zhí)行任何文件（禁止執(zhí)行高危命令，例如cmd.exe、net.exe）

注意：雖然本文以Windows為例，但對Linux系統(tǒng)也適用，只是設(shè)置方法大同小異，詳情請咨詢護(hù)衛(wèi)神客服！

第一步：添加Tomcat防護(hù)對象

（圖一：添加Tomcat防護(hù)）

第二步：在“文件訪問”選項卡，添加如下文件訪問規(guī)則

溫馨提示：護(hù)衛(wèi)神.防入侵系統(tǒng)按優(yōu)化級順序逐條匹配訪問路徑規(guī)則，匹配到禁止操作就跳出。優(yōu)先級數(shù)字越小，越優(yōu)先執(zhí)行！

優(yōu)先級	訪問路徑	操作限制
1	*\conhost.exe	禁止新建、禁止改名、禁止修改、禁止刪除
1	*\werfault.exe	禁止新建、禁止改名、禁止修改、禁止刪除
10	*.jsp	禁止執(zhí)行、禁止新建、禁止改名、禁止修改、禁止刪除
10	*.exe	禁止執(zhí)行、禁止新建、禁止改名、禁止修改、禁止刪除
20	d:\wwwroot\*	禁止執(zhí)行
20	c:\hws.com\hwsjspmaster\tomcat9\*	禁止執(zhí)行
20	c:\windows\temp\*	禁止執(zhí)行
20	c:\windows\syswow64\config\systemprofile\*	禁止執(zhí)行
20	c:\programdata\microsoft\*	禁止執(zhí)行
99	*	禁止執(zhí)行、禁止新建、禁止改名、禁止修改、禁止刪除

添加結(jié)果如下圖：

（圖二：Tomcat進(jìn)程防護(hù)規(guī)則）

文件訪問規(guī)則解釋：

優(yōu)先級為“1”的規(guī)則：

最先執(zhí)行的規(guī)則，這2個是Windows啟動Tomcat產(chǎn)生的配套進(jìn)程。

只允許讀取和執(zhí)行，防止黑客創(chuàng)建同名文件繞過防護(hù)。

優(yōu)先級為“10”的規(guī)則：

設(shè)置禁止寫操作的文件類型。.jsp是網(wǎng)頁木馬，.exe是可執(zhí)行文件。同樣還可以添加其他類型，例如：.do、.dll、.vbs等等。

只允許讀取，防止黑客上傳此類惡意文件。

優(yōu)先級為“20”的規(guī)則：

設(shè)置允許寫操作的目錄。一般填寫網(wǎng)站目錄、Tomcat安裝目錄、系統(tǒng)臨時目錄。

允許讀取和寫操作，禁止執(zhí)行。

優(yōu)先級為“99”的規(guī)則：

設(shè)置其他文件的訪問規(guī)則。填寫“*”，表示所有文件。

只允許讀取，禁止黑客寫操作任何文件，或執(zhí)行高危命令（cmd.exe、net.exe）。

第三步：檢查攔截效果

設(shè)置好防護(hù)規(guī)則后，黑客再想通過Apache Struts上傳網(wǎng)頁木馬、惡意病毒，或執(zhí)行高危命令（cmd.exe、net.exe）就成為不可能了，都會被護(hù)衛(wèi)神攔截，輕松搞定Apache Struts文件上傳漏洞。即使后期再次爆出此種漏洞，也不用擔(dān)心，護(hù)衛(wèi)神會一如既往的守護(hù)服務(wù)器安全！攔截效果如下圖：

（圖七：攔截非法執(zhí)行cmd.exe提權(quán)）

（圖八：攔截上傳可執(zhí)行文件）

（圖八：攔截上傳JSP文件）

原文：如何一勞永逸解決Apache Struts文件上傳漏洞