某企业网络拓扑如图3-1所示,该企业内部署有企业网站Web服务器和若干办公终端,Web服务器(http://www.xxx.com)主要对外提供网站消息发布服务,Web网站系统采用JavaEE开发。 采用测试软件输入网站www.xxx.com/inde

admin2019-03-09  51

问题 某企业网络拓扑如图3-1所示,该企业内部署有企业网站Web服务器和若干办公终端,Web服务器(http://www.xxx.com)主要对外提供网站消息发布服务,Web网站系统采用JavaEE开发。

采用测试软件输入网站www.xxx.com/index.action,执行ifconfig命令,结果如图3-2所示。

从图3—2可以看出,该网站存在 (8) 漏洞,请针对该漏洞提出相应防范措施。
(8)备选答案:
A.Java反序列化  B.跨站脚本攻击  C.远程命令执行  D.SQL注入

选项

答案(8)C 防范措施: (1)升级漏洞补丁; (2)升级Struts2版本; (3)部署能够防范远程命令执行攻击的Web防护系统。

解析 从图3-2可知,该网站可以使用工具远程执行ifconfig命令,说明存在远程命令执行漏洞,漏洞编号为:S2-45说明为Struts2的漏洞。应该立即升级漏洞补丁或者升级Struts2版本,并部署Web安全防护系统,对该网站进行安全防护。
转载请注明原文地址:https://kaotiyun.com/show/1mQZ777K
0

最新回复(0)