str2-045漏洞事件，你想要的这里都有

话说昨天一觉醒来，发现整个安全圈被一个名为str2-045的漏洞霸屏了，好多小伙伴已经开始了喜刷刷的艰苦奋斗过程。然而对于很多小白童鞋来讲，他们可能还是处于懵逼的状态，别急，咱们专门为你们做了一期专题，来告诉你这到底是咋回事！

这个漏洞的全名啊，叫做：基于Jakarta插件的插件的Struts远程代码执行漏洞。根据官方评价，这个漏洞属于高危漏洞，他的漏洞编号是：CVE-2017-5638

那这个漏洞到底是怎么一回事呢？

Struts是Apache基金会的一个开源项目,Struts框架广泛应用于政府、公安、交通、金融行业和运营商的网站建设，是应用最广泛的Web应用框架之一。

S2-045(CVE-2017-5638)中Struts使用的Jakarta解析文件上传请求包不当，当攻击者使用恶意的Content-Type，会导致远程命令执行。实际上在default.properties文件中，struts.multipart.parser的值有两个选择，分别是jakarta和pell。其中的jakarta解析器是Struts2框架的标准组成部分，在默认情况下jakarta是开启的，所以该漏洞的严重性、危害性应该特别重视。

这个漏洞主要出现在：Struts 2.3.5  -  Struts 2.3.31; Struts 2.5  -  Struts 2.5.10这几个版本

进一步了解请点击：【漏洞分析】S2-045 原理初步分析（CVE-2017-5638）

福利来了：

咱们i春秋在漏洞曝光后火速针对该漏洞制作出了课程以及实验，

希望通过课程和实验让大家真正去了解[S2-045]Struts2远程命令执行漏洞的危害，掌握漏洞修复防御技术。

传送门：

【S2-045】 Struts2远程命令执行漏洞(CVE-2017-5638)

更多福利：

str2-045漏洞指南【附有POC和EXP】

http://bbs.ichunqiu.com/thread-19964-1-1.html

顺便附上咱们论坛小伙伴分享的工具哦：

http://bbs.ichunqiu.com/thread-19963-1-1.html

当然少不了小伙伴们亲自上场分享的实战篇：

如何快速利用s02-45漏洞并获取服务器权限

最后是str2-045漏洞的加固修复方案：
论str2-045漏洞的加固方案