如何在不更新我的Java代码的情况下缓解Struts 2恶意内容类型攻击?
我会在条件中添加'%','}'和'{'字符,以及它们也不是有效的内容类型标头条目,并且存在于此漏洞的POC漏洞利用有效内容中。
RewriteCond %{HTTP:Content-type} [$\#()%}{]
RewriteRule . [F,L]
对不起,如果我的语法错误,因为我尚未测试此条目。
附:我甚至冒险添加'@','?'和';'字符,但这些可能会破坏应用程序,如果过滤,因为我认为它们实际上是技术上允许的,但我从未在任何应用程序实现中看到内容类型标头中的那些。
Apache的mod_rewrite可以过滤掉不良内容类型。
可以进行更高级的检查 - 但是这会检查我们不希望在传入的内容类型标头中看到的字符:
RewriteCond %{HTTP:Content-type} [$\#()]
RewriteRule . [F,L]
在启用mod_rewrite之后,您可以将此添加到httpd.conf或虚拟主机内:
# MITIGATE CVE-2017-5638
RewriteCond %{HTTP:Content-type} [$\#()%}{'"] [OR]
RewriteCond %{HTTP:Content-Disposition} [$\#()%}{'"] [OR]
RewriteCond %{HTTP:Content-Length} [$\#()%}{'"]
RewriteRule . "-" [F,L]